Viele Dateien nur teilweise verschlüsselt
Wenn Ransomware-Angreifer selbst unter Druck geraten
Es ist ein weit verbreiteter Irrglaube, dass mit Ransomware verschlüsselte Dateien nicht wiederhergestellt werden können
Viele Unternehmen geben im Fall eines Ransomware-Angriffs zu schnell den Kriminellen nach. Aber auch die Angreifer unterliegen dem gleichen zeitlichen Druck und werden bei der Verschlüsselung nachlässig. Ein Beispiel aus der Arbeit des DCSO Incident Response Team (DIRT) zeigt, warum das passiert und wie sich diese Situation für die Wiederherstellung der Daten nutzen lässt.
Die Experten der DCSO wurden von einem Opfer der Ransomware Akira beauftragt, die betroffenen geschäftskritischen Daten wiederherzustellen. Bei diesem Vorfall verschafften sich die Angreifer erfolgreich Zugriff auf den ESXi-Hypervisor und konnten so die Linux-Version der Ransomware Akira auf dem System installieren. Sie fuhren alle virtuellen Maschinen herunter und verschlüsselten die entsprechenden .vmdk-Dateien (virtuelle Festplatten).
Für eine möglichst schnelle Wiederherstellung der Daten startete das DCSO-Team ein Linux-Betriebssystem auf dem ESXi-Host, ohne es zu installieren. Anschließend kam eine Ersatzfestplatte der gleichen Größe wie beim ESXi-Datenspeicher für die Wiederherstellung zum Einsatz.
Nach dem Booten des Linux-Betriebssystems musste das Team zunächst den ESXi-Datenspeicher identifizieren, der das "VMware VMFS"-Dateisystem verwendet. Hier sind alle virtuellen Festplatten (.vmdk) gespeichert. Dazu wurde das Ergebnis des Linux-Befehls fdisk nach dem "VMware VMFS"-Dateisystem durchsucht.
Es trat jedoch eine Fehlermeldung in "vmfs-tools" auf, die das Aufspielen eines bestehenden Patches erforderte. Danach ließ sich der Inhalt der betroffenen virtuellen Festplatten lesen, die allerdings immer noch verschlüsselt waren.
Es ist ein weit verbreiteter Irrglaube, dass mit Ransomware verschlüsselte Dateien nicht wiederhergestellt werden können. Dies hängt jedoch von der Art der verschlüsselten Datei, ihrer Größe und der Art und Weise ab, wie die Verschlüsselung durchgeführt wurde.
Bei diesem Vorfall verschlüsselte Akira die virtuelle Festplatte der VM nur teilweise. Damit erreichen die Angreifer eine viel höhere Geschwindigkeit der Verschlüsselung und das Opfer hat weniger Zeit zum Reagieren. Außerdem basieren die meisten Erkennungslogiken auf der Annahme einer vollständigen Verschlüsselung und den entsprechenden Auswirkungen auf die CPU-Auslastung, der Ähnlichkeit zwischen unverschlüsselten und verschlüsselten Dateien und der E/A-Rate.
Das DCSO-Team versuchte daher zunächst, die nicht verschlüsselten Partitionen auf der Festplatte der VM wiederherzustellen. Dazu war eine intakte NTFS-Partition in den unverschlüsselten Teilen zu finden. Dies gelang mit einem eigens entwickelten Bash-Skript. Anschließend begann die Wiederherstellung der geschäftskritischen Daten mit Hilfe von Sleuth Kit.
Fazit
Da verschiedene Ransomware-Varianten Dateien nur teilweise verschlüsseln, lohnt es sich, NTFS-Partitionen in betroffenen virtuellen Festplatten daraufhin zu durchsuchen. Unverschlüsselte Teile erleichtern den Security-Teams die Wiederherstellung großer Datenmengen. Allerdings sollten sie dazu erst den erforderlichen Patch auf "vmfs-tools" anwenden, wenn sie die Software aus den Repositories ihrer Linux-Distribution installiert haben. (DCSO: ra)
eingetragen: 12.12.24
Newsletterlauf: 28.02.25
DCSO: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.
eingetragen: 12.12.24
Newsletterlauf: 26.02.25