Das hier ist ein vollständig KI generierter Artikel.

Gute Nachrichten für die Opfer der DarkBit-Ransomware: Forscher der Cybersicherheitsfirma Profero haben den Verschlüsselungsprozess geknackt, was es den Opfern ermöglicht, ihre Dateien kostenlos wiederherzustellen, ohne das Lösegeld zahlen zu müssen.

Hintergrund der DarkBit-Ransomware

Die DarkBit-Ransomware wurde mit der Iran-nahen Bedrohungsgruppe MuddyWater in Verbindung gebracht. Diese Gruppe hat in der Vergangenheit israelische Institutionen ins Visier genommen und dabei politische Botschaften in ihre Lösegeldforderungen eingebaut. Bei einem Angriff im Jahr 2023 wurden mehrere VMware ESXi-Server verschlüsselt, ohne dass die Angreifer bereit waren, über das Lösegeld zu verhandeln. Stattdessen konzentrierten sie sich auf operative Störungen und eine Kampagne zur Rufschädigung der Opfer.

Technische Details zur Entschlüsselung

Die Forscher von Profero entdeckten, dass die von DarkBit verwendete AES-128-CBC-Schlüsselgenerierung schwache und vorhersehbare Schlüssel produzierte. Durch die Nutzung von Dateizeitstempeln und bekannten VMDK-Headern konnten sie den Schlüsselraum auf Milliarden von Möglichkeiten reduzieren und so ein effizientes Brute-Forcing ermöglichen. Die Analyse ergab, dass viele VMDK-Dateien größtenteils unverschlüsselt blieben, was eine direkte Wiederherstellung der meisten benötigten Dateien ermöglichte, ohne aufwendige Entschlüsselung.

Fazit

Die erfolgreiche Entschlüsselung der DarkBit-Ransomware durch Profero zeigt, dass selbst komplexe Bedrohungen überwunden werden können. Dies ist ein bedeutender Schritt zur Unterstützung der Opfer und zur Stärkung der Cybersicherheit gegen staatlich unterstützte Bedrohungen.

Quelle: https://securityaffairs.com/181064/malware/researchers-cracked-the-encryption-used-by-darkbit-ransomware.html