Vibe-Coding-Verdacht: Ransomware-Panne mündet in totalem Datenverlust
Sicherheitsforscher vom Halcyon Ransomware Research Center haben eine noch recht junge Ransomware namens Sicarii untersucht und dabei einen Fehler entdeckt, der jegliche Lösegeldverhandlungen mit den Angreifern zu einem unsinnigen Unterfangen macht. Denn laut Bericht der Forscher(öffnet im neuen Fenster) wird der private Schlüssel, der zur Wiederherstellung der mit Sicarii verschlüsselten Daten nötig ist, einfach verworfen.
Den Angaben zufolge verfügt die Ransomware über eine durchaus funktionsfähige RSA-Implementierung. Es wird also ein gültiges RSA-Schlüsselpaar erzeugt, das anschließend zur Verschlüsselung der Daten auf einem infiltrierten System dient. Der private Schlüssel wird jedoch gelöscht, so dass eine Wiederherstellbarkeit der Daten beinahe ausgeschlossen ist.
Vollständig auszuschließen ist eine Datenrettung nie, denn die Ransomware kann auch noch andere bisher unbekannte Schwachstellen enthalten, die eine Entschlüsselung ermöglichen – so wie es etwa bei der Black-Basta-Ransomware der Fall war. Dennoch bringt der verworfene private Schlüssel die Betreiber der Sicarii-Ransomware in eine schwierige Verhandlungsposition, wenn Angriffsopfer davon erfahren.
Entschlüsselungsprogramme unwirksam
Die Halcyon-Forscher betonen, dass Sicarii über keinerlei Master-Key verfügt, der den Angreifern eine spätere Entschlüsselung der Daten ermöglichen würde. Stattdessen werde für jede Ausführung der Ransomware ein eigenes Schlüsselpaar generiert und der private Schlüssel verworfen. Von den Angreifern bereitgestellte Entschlüsselungsprogramme sind damit unwirksam.
Bei Sicarii handelt es sich um eine RaaS-Operation (Ransomware as a Service), die seit Dezember 2025 auf einschlägigen Plattformen beworben wird. Sicherheitsforscher von Check Point hatten erstmals am 14. Januar über die Ransomware berichtet(öffnet im neuen Fenster) . Die Angreifer geben sich demnach selbst als israelisch aus. Jedoch fanden die Forscher Hinweise darauf, dass es sich dabei um eine False-Flag handeln könnte, da die Akteure in Foren wohl primär in sauberem Russisch und Englisch kommunizieren, wohingegen ihre Hebräisch-Kenntnisse eher beschränkt zu sein scheinen.
Um der Behauptung zur israelischen Herkunft Nachdruck zu verleihen, meidet Sicarii wohl sogar die Ausführung auf israelischen IT-Systemen – ein Verhalten das bei Malware von russischen Akteuren schon häufiger beobachtet wurde.
Wahrscheinlich mit KI entwickelt
Wie Check Point unter Verweis auf Angaben des Betreibers schildert, soll die Leak-Seite der Sicarii-Ransomware-Operation mit KI-Tools erstellt worden sein. Die Halcyon-Forscher gehen sogar davon aus, dass auch bei der Entwicklung der Ransomware ein Vibe-Coding-Ansatz verfolgt wurde und führen den Fehler mit dem verworfenen Private-Key auf diesen Umstand zurück.
Zuletzt war auch der Hackergruppe Cybervolk ein peinlicher Fehler mit ihrer Ransomware Volklocker unterlaufen. Dieser hatte jedoch für Angriffsopfer eher erfreuliche Auswirkungen, denn bei Volklocker wurde der Entschlüsselungsschlüssel nicht verworfen, sondern im Klartext auf den Systemen der Opfer zurückgelassen. Die verschlüsselten Daten konnten also leicht wieder entschlüsselt werden.