Kaseya’s “Master Key” für REvil-Attacke online veröffentlicht

  • Der Entschlüsseler ist für andere Unternehmen, die von der Flut von Angriffen betroffen waren, bevor die berüchtigte Ransomware-Gruppe untertauchte, nur von geringem Nutzen, so die Forscher.

    Jemand hat den Master-Entschlüsselungsschlüssel veröffentlicht, den Kaseya verwendet hat, um die Dateien zu entschlüsseln, die durch einen REvil-Ransomware-Angriff auf das Unternehmen verschlüsselt wurden, von dem Kunden in 22 Ländern im letzten Monat betroffen waren.

    Auch wenn der Schlüssel für Sicherheitsforscher interessant sein mag, ist es unwahrscheinlich, dass er für andere Unternehmen, die von REvil in der Angriffswelle vom 2. Juli betroffen waren, von Nutzen ist.

    Ein Sicherheitsforscher, der auf Twitter unter dem Benutzernamen @Pancak3 auftritt, fand den angeblichen Schlüssel in einem Hackerforum und twitterte darüber, wobei er einen Screenshot des Schlüssels auf Twitter und GitHub veröffentlichte.

    [Blocked Image: https://alltechnews.de/daten/2021/08/Kaseyas-Master-Key-fuer-REvil-Attacke-online-veroeffentlicht.png]
    Während zunächst angenommen wurde, dass der Schlüssel alle REvil-Angriffe, die zur gleichen Zeit wie der Kaseya-Angriff stattfanden, entschlüsseln könnte, wurde den Forschern bald klar, dass der Entschlüsseler – der einigen als echt erschien – nur für die Dateien bestimmt war, die beim Kaseya-Angriff gesperrt wurden.

    “Erste Tests deuten darauf hin, dass dies legitim sein könnte, aber zitieren Sie mich nicht, Sie brauchen eine eigene Verifizierung”, twitterte @SOS oder SwiftonSecurity, ein Systemsicherheitsforscher, der den Blog Decent Security schreibt.

    Der in Oregon ansässige ethische Hacker @Jeff McJunkin hat ebenfalls getwittert, dass der Hauptentschlüsselungsschlüssel legitim zu sein scheint. “Wenn Sie betroffen sind, sollten Sie auf jeden Fall einen Blick darauf werfen (natürlich zunächst in einer isolierten Laborumgebung)”, schrieb er auf Twitter.

    Forscher von Flashpoint gaben an, dass sie die Entschlüsselungs-Binärdatei mit dem kommentierten Schlüssel aus dem Thread gepatcht und eine mit dem neuen REvil-Testmuster infizierte Sandbox erfolgreich entschlüsselt haben, “nachdem sie die Dateierweiterungen in “universal_tool_xxx_yyy” geändert hatten, wie im Screenshot zu sehen”, heißt es in einem am Dienstag veröffentlichten Blogbeitrag.

    “Die Dateien wurden ordnungsgemäß entschlüsselt, sobald die Dateierweiterungen umbenannt wurden”, so die Forscher.

    Kaseya war eines der Opfer einer weltweiten Ransomware-Attacke, die REvil am 2. Juli startete, nicht lange bevor die Gruppe verschwand. Die Angriffe auf Kaseya nutzten inzwischen gepatchte Zero-Days in der Kaseya Virtual System/Server Administrator (VSA)-Plattform aus und betrafen 60 Kunden, die die On-Premises-Version der Plattform nutzen.

    Viele der Betroffenen waren Managed Service Provider (MSPs), die VSA zur Verwaltung der Netzwerke anderer Unternehmen nutzen. Zusätzlich zu den direkten Kunden waren auch etwa 1.500 nachgelagerte Kunden dieser MSPs betroffen.

    Am späten 22. Juli teilte Kaseya mit, dass es den Master-Entschlüsselungsschlüssel “über einen Dritten” erhalten habe, so dass unklar ist, ob das Unternehmen das von REvil für den Angriff geforderte Lösegeld in Höhe von 70 Millionen US-Dollar bezahlt hat. Das Unternehmen nutzte den Schlüssel, um seine eigenen Dateien zu entschlüsseln, und arbeitete mit der Sicherheitsfirma Emsisoft zusammen, um den von den Angriffen betroffenen Kunden zu helfen, dasselbe zu tun.

    Schlüssel auf Kaseya-Angriff beschränkt

    Obwohl Emsisoft sich zu diesem Zeitpunkt nicht zu seiner Arbeit äußern wollte, Kaseya-Kunden bei der Entschlüsselung ihrer Dateien nach dem REvil-Angriff zu helfen, meldete sich CTO Fabian Wosar am Dienstag auf Twitter zu Wort, um zu bestätigen, dass der im Dark Web veröffentlichte Kaseya-Hauptschlüssel nicht für alle REvil-Angriffe galt, die zeitgleich stattfanden.

    “Der öffentliche Schlüssel des REvil-Hardcodierers lautet 79CD20FCE73EE1B81A433812C156281A04C92255E0D708BB9F0B1F1CB9130635”, twitterte Wosar, der auch ein Ransomware-Experte ist. “Der durchgesickerte Schlüssel erzeugt den öffentlichen Schlüssel F7F020C8BBD612F8966EFB9AC91DA4D10D78D1EF4B649E61C2B9ADA3FCC2C853. Daher ist der durchgesickerte Schlüssel nicht der private Schlüssel des Betreibers.”

    Zu diesem Zeitpunkt ist noch unklar, wie der Schlüssel in ein Online-Forum gelangt ist, obwohl einige auf Twitter spekulieren, dass einer der Kunden von Kaseya, der den Schlüssel verwendet hat, dafür verantwortlich sein könnte.

    “Ich wette, es ist ein [SIC] NDA-Verletzung, von der jemand ablenken will”, twitterte der Sicherheitsreporter Jeremy Kirk von der Information Security Media Group. “Es sieht allerdings nicht so aus, als ob der Schlüssel zu diesem Zeitpunkt für irgendjemanden von Nutzen wäre.

    Er könnte Recht haben, denn einige haben auf Twitter berichtet, dass der Schlüssel in Tests, die sie durchführen, um seine Legitimität zu beweisen, nicht wie erwartet funktioniert hat.

    “Ich warte noch auf weitere Tests, aber einige sind fehlgeschlagen”, twitterte Catalin Cimpanu, ein Cybersecurity-Reporter bei The Register. “Vielleicht gibt es bestimmte Schritte, die die Leute übersehen haben. We’ll find out.”

    Einer der Gründe für diesen Fehler könnte laut einem anderen Forscher darin liegen, dass der von @Pancak3 gepostete Entschlüsselungsschlüssel nicht mehr aktuell ist.

    “Bitte beachten Sie, dass REvil decrypter Version 2.1 / 2.2 von vor mehr als einem Jahr verwendet wurde”, twitterte der offensive Sicherheitsforscher Ahmed Mohamed. “Aber die Version auf dem Screenshot ist 2.0. Wir können also nicht garantieren, dass es funktioniert, aber Sie können es versuchen.”

    [Blocked Image: https://alltechnews.de/daten/2021/07/1627497625_347_BlackMatter-Haron-Boese-Ransomware-Neugeburten-oder-Wiedergeburten.jpg]Machen Sie sich Sorgen, woher der nächste Angriff kommen könnte? Wir halten Ihnen den Rücken frei. Melden Sie sich JETZT für unser bevorstehendes Live-Webinar “How to Think Like a Threat Actor” in Zusammenarbeit mit Uptycs am 17. August um 11 AM EST an und finden Sie heraus, wo genau Angreifer es auf Sie abgesehen haben und wie Sie dort zuerst ankommen. Schließen Sie sich der Moderatorin Becky Bracken und den Uptycs-Forschern Amit Malik und Ashwin Vamshi am 17. August um 11 Uhr EST für diese LIVE-Diskussion an.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com