Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Schlüssel kaputt: Weitere Ransomware-Panne führt zu Totalverlust

In der Nitrogen- Ransomware klafft ein Bug, der alle Lösegeldverhandlungen ad absurdum führt. Die Daten können nicht mehr entschlüsselt werden.
/ Marc Stöckel
3 Kommentare News folgen (öffnet im neuen Fenster)
Mit Nitrogen verschlüsselte Daten sind nicht wiederherstellbar. (Bild: pixabay.com / Mmh30)
Mit Nitrogen verschlüsselte Daten sind nicht wiederherstellbar. Bild: pixabay.com / Mmh30

Erst kürzlich haben Sicherheitsforscher vor der Sicarii-Ransomware gewarnt , weil sich die damit verschlüsselten Daten nicht wiederherstellen lassen. Ein ähnliches Problem besteht offenbar auch bei der Nitrogen-Ransomware. Wie Forscher von Coveware in einem Blogbeitrag(öffnet im neuen Fenster) schildern, arbeitet die Ransomware mit einem beschädigten Public Key. Der für die Entschlüsselung vorgesehene Private Key funktioniert daher nicht.

Bei Nitrogen handelt es sich um eine Ransomware, die laut einem Bericht von Barracuda(öffnet im neuen Fenster) erstmals Mitte 2024 gesichtet wurde. Die Hackergruppe hinter Nitrogen ist schon seit 2023 aktiv und bediente sich zunächst der Blackcat-Ransomware. Später entwickelte die Gruppe jedoch Nitrogen und löste damit ihre Abhängigkeit von Blackcat auf.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Auf infiltrierten ESXi-Systemen weist Nitrogen jedoch laut Coveware einen gefährlichen Bug auf, der eine Wiederherstellung verschlüsselter Daten im Grunde unmöglich macht. Die Ransomware generiert zunächst gültige Schlüsselpaare. Der für die Verschlüsselung verwendete Public Key wird jedoch in Teilen durch eine andere Variable überschrieben.

Vier Bytes genullt

Die Forscher veranschaulichen den Fehler in ihrem Bericht anhand eines Auszugs aus dem Speicher. Dort ist zu sehen, dass die ersten vier Bytes des öffentlichen Schlüssels unerwartet mit Nullen gefüllt werden. Dieser beschädigte Key wird jedoch anschließend für die Datenverschlüsselung verwendet. "Das Endergebnis ist, dass niemand den privaten Schlüssel kennt, der zu dem beschädigten öffentlichen Schlüssel gehört" , so das Fazit der Forscher.

Dateien, die mit dem beschädigten öffentlichen Schlüssel verschlüsselt worden seien, könnten "auf keine Weise entschlüsselt werden, auch nicht durch Zahlung eines Lösegelds" , heißt es weiter. Nicht einmal die Angreifer seien in der Lage, die Daten zu entschlüsseln. Ohne Back-up bleiben die verschlüsselten Daten damit dauerhaft unzugänglich.

Bei der Sicarii-Ransomware liegt der Fehler zwar an anderer Stelle, jedoch hat er effektiv die gleichen Auswirkungen. Wie Forscher des Halcyon Ransomware Research Centers herausfanden , wird der für die Entschlüsselung nötige Private Key bei Sicarii nach der Erzeugung einfach verworfen. Sowohl bei Sicarii als auch bei Nitrogen sollten Betroffene also besser keine Lösegeldverhandlungen in Erwägung ziehen.

Zur Startseite 3 Kommentare

Relevante Themen

VerschlüsselungSecuritySicherheitslückeCybercrimeBack-upDatensicherheitVirusMalwareHacker