Offer for ransomware tog hævn: Hackede hackerne og offentliggjorde krypteringsnøglerne

Ransomware-offer brød ind i bagmændenes C&C-server.

Som regel sætter man sin lid til antivirus og sikkerhedseksperter, når det gælder beskyttelse mod hackerangreb, men i nogle tilfælde er ofrene kompetente nok til at tage sagen i egne hænder.

Bleeping Computer og ZDNet kan for eksempel fortælle om en datakyndig person, som blev udsat for en ransomwarevirus, og som simpelthen tog hævn over hackerne.

Hackede C&C-serveren og fandt nøglerne

Tobias Frömel, en tysk softwareudvikler, var blandt ofrene, som for nylig fik sine filer krypteret af en ransomware-virus kaldet Muhstik.

Frömel endte ganske vist med at betale løsepengesummen for at få låst sine filer op, men derefter analyserede han den ondsindede software og hackede sig ind på bagmændenes C&C-server (command and control).

Der fik han adgang til dekrypteringsnøglerne til samtlige af ofrene – 2.858 – som han derefter publicerede på Pastebin.com.

Derudover lavede softwareudvikleren et dekrypteringsprogram, som han gjorde tilgængeligt via cloudtjenesten Mega.

»Ja, jeg ved godt, det jeg gjorde, også var ulovligt, men han brugte servere med flere webshells, som allerede var hacket … og jeg er ikke skurken her,« skriver Tobias Frömel i et indlæg på Bleeping Computers forum. Udvikleren betalte 670 euro for at få sine egne filer dekrypteret.

Rettet mod NAS-enheder

Andre ofre for ransomwarevirusset har efter sigende bekræftet, at Frömels dekrypteringsværktøj fungerer, og at de har formået at låse deres filer op igen. Udvikleren publicerede erhvervelsen af krypteringsnøglerne i flere tweets.

Muhstik-softwaren er målrettet NAS-enheder produceret af den taiwanske producent QNAP. Selskabet offentliggjorde en sikkerhedsmeddelelse om den ondsindede software tidligere denne måned, hvor de oplyser, at alvorlighedsgraden af softwaren er høj.

Ifølge QNAP er det enheder, som bruger svage SQL-server-passwords og kører driftspakken phpMyAdmin, som er ekstra udsat for angrebene. Selskabet råder brugere til blandt andet at bruge stærke phpMyAdmin-passwords og deaktivere tjenesten, når man har muligheden.

Artiklen er fra digi.no.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Sune Marcher

Det er ret fint gjort af Tobias Frömel - altså, bevares, der er risiko for at forstyrre efterforskning, så derfor bør man nok lige koordinere det med nogle myndigheder... men fedt at han får hjulpet folk med at få adgang til deres filer.

Til gengæld kan jeg ikke rigtigt finde ud af om jeg synes det er modigt eller dumdristigt af ham. Det lyder lidt som om nogle af folkene bag visse af disse operationer er hardcore kriminelle, og jeg ville nok ikke personligt turde satse på de kun opererer i cyberspace.

  • 2
  • 0
Hans Nielsen

Hero or Villain:
"Jeg brød ind i din bil, for at påvise manglende sikkerhed i låsen"


God eksemple, men forkerte premiser.

Har lagt en denne besked i din Postkasse, fordi jeg ved ved et tilfælde opdaget at din bil ikke var låst, eller retter din dør stod åbnet.

Jeg har rullet vinduet op for dig, hvis det skulle begynde at regne, og lukket døren.

Men synes du skulle sikker dig noget bedre, og tage bilnøglerne med ind, når du holder på en offenligt gade, men så mange fodgængere.

mvh

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize