Bericht: Um nicht erwischt zu werden, verschlüsselt Ransomware Daten partiell

Sicherheitsforscher beobachten bei Erpressungstrojanern einen Trend zur schnelleren Verschlüsselung.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 44 Beiträge

(Bild: Foxeel,Shutterstock.com)

Von
  • Dennis Schirrmacher

Um das Zeitfenster zum Reagieren von Anti-Viren-Software und anderen Schutzmaßnahmen zu verkleinern, verschlüsseln einige Ransomware-Varianten Dateien nicht mehr komplett und können ihr Schadenswerk schneller beenden, bevor sie entdeckt werden. Das partielle Verschlüsseln ist ein weiterer Baustein im Katz-und-Maus-Spiel zwischen Ransomware-Machern und Anbietern von Sicherheitstools.

Sicherheitsforscher von SentinelLabs haben diesen neuen Ansatz beobachtet. Statt eine komplette Datei zu verschlüsseln, findet der Prozess nur für alle 16 Bytes einer Datei statt. Das reduziert den Zeitraum, in der ein Schädling auf einem Computer aktiv ist. Opfer können ihre Dateien trotz verkürzter Verschlüsselung nicht mehr öffnen und benötigen nach wie vor den Schlüssel, den Kriminelle nur gegen Lösegeld rausrücken.

Im gleichen Zuge verkleinert sich das zeitliche Intervall, in dem ein Viren-Scanner reagieren kann. Außerdem finden auf diese Weise weniger Festplattenzugriffe statt. Einige Anti-Ransomware-Tools analysieren solche Zugriffe, um verdächtiges Verhalten festzustellen. Dementsprechend könnten derartige Schutzmaßnahmen ins Leere laufen.

Die Sicherheitsforscher geben an, dass sie mit LockFile Mitte 2021 den ersten Erpressungstrojaner beobachtet haben, der diese Taktik an den Tag legt. Mittlerweile haben mehr Ransomware-Entwickler den Ansatz für sich entdeckt. Unter anderem die Verschlüsselungstrojaner Agenda, BlackCat und Black Basta sollen auf diese Art und Weise vorgehen.

In ihrer Analyse haben die Forscher herausgefunden, dass Black Basta sogar verschiedene Verschlüsselungsmodi anbietet. Neben der Vollverschlüsselung einer Datei gelingt dies wie beschrieben in bestimmten Byte-Blöcken. Es ist aber auch möglich, dass nur der Header verschlüsselt wird. Ein Auto-Modus kann die verschiedenen Modi bei der Ausführung wechseln. Obendrein sollen Malware-Entwickler stetig an den Verschlüsselungsalgorithmen feilen, um die Geschwindigkeit zu steigern.

(des)