Fehler im Verschlüsselungsalgorithmus: Master Key für Hive Ransomware entschlüsselt
von Tina Siering
Update vom 27. Januar 2023:
Im Januar 2023 ist deutschen Ermittlern in Zusammenarbeit mit Europol, dem FBI und weiteren US-Behörden ein Schlag gegen die Hacker-Gruppe "Hive" gelungen: Cyberspezialisten konnten in die kriminelle IT-Infrastruktur der Täter eindringen, eine Vielzahl von Servern beschlagnahmen sowie Daten und Accounts des Netzwerks und seiner Nutzer sichern. Die Website der Hacker im Darknet ist inzwischen offline.
"Hive" soll in den vergangenen Jahren weltweit für mehr als 1500 Cyberangriffe gegen Unternehmen und Organisationen verantwortlich gewesen sein – alleine mehr als 70 in Deutschland. Unter den Opfern fanden sich vor allem Krankenhäuser, Bildungseinrichtungen, Finanzunternehmen und Unternehmen aus dem Bereich der kritischen Infrastruktur.
Wie gelang es, die Hive Ransomware zu knacken?
Mitte Februar 2022 veröffentlichten Forscher der südkoreanischen Kookmin Universität die Mitteilung, dass es ihnen gelungen war, den Verschlüsselungsmechanismus der Hive Ransomware zu knacken. In Versuchen konnten sie den Hauptschlüssel der Ransomware wiederherstellen, ohne dass ihnen der private Schlüssel für den jeweiligen Prozess bekannt war.
Die Experten bedienten sich dazu einer Schwachstelle im Verschlüsselungsalgorithmus, die sie durch eine Analyse des Verhaltensmusters der Ransomware gefunden hatten. Diese kryptografische Schwachstelle erlaubt es, den Hauptschlüssel der Dateiverschlüsselung einfach zu erraten.
Die Forscher des Projekts an der Kookmin Universität sind überzeugt, dass sich aus der gefundenen Schwachstelle eine zuverlässige Methode entwickeln, um nahezu alle Daten, die mit der Hive Ransomware verschlüsselt sind, wiederherzustellen.
Sie gehen davon aus, dass ihre Technik in 92 bis 98 Prozent der Fälle wirksam ist und so bis zu 95 Prozent der verschlüsselten Daten rettet. Für betroffene Opfer heißt dies, dass Angriffe mit der Hive Ransomware zukünftig eventuell ihren Schrecken verlieren und sich auch viele bereits verschlüsselte Daten wiederherstellen lassen.
Was ist die Hive Ransomware?
Hive gehört zur Kategorie Ransomware as a Service. Ähnlich wie bei einer Cloud-Dienstleistung bieten die Cyberkriminellen die Plattform als digitalen Service an. Andere Kriminelle mieten die Plattform, um Cyberangriffe mit den Werkzeugen von Hive zu starten. Die Entwickler hinter Hive erhalten dann einen Teil der erpressten Lösegelder bei erfolgreichen Cyberattacken oder lassen sich die Nutzung der Ransomware direkt bezahlen.
Hive trat erstmals im Juni 2021 auf und kommt seitdem immer häufiger bei Ransomware-Attacken zum Einsatz. Bereits im Herbst 2021 gehörte Hive zu den zehn aktivsten Ransomware-Varianten weltweit. Über 350 Unternehmen wurden bis Oktober 2021 Opfer von Cyberattacken mit dieser Ransomware.
Ransomware und die Verschlüsselung von Daten im Allgemeinen
Dass es den südkoreanischen Forschern gelang, die Ransomeware zu knacken, ist eine überraschende und gute Nachricht. Betroffene Opfer haben nun Hoffnung darauf, dass ihre Daten doch noch zu retten sind. Jedoch gibt es keine Garantie, dass diese Methode auch in Zukunft wirksam bleiben wird. Denn die Cyberkriminellen hinter der Ransomware werden mit hoher Wahrscheinlichkeit auf die aktuellen Entwicklungen reagieren und die Ransomware weiterentwickeln.
Es ist somit davon auszugehen, dass die Hacker die Sicherheitslücke in naher Zukunft schließen. Ähnlich wie ein Sicherheitsupdate für Software, das in kurzer Zeit nach der Entdeckung einer Lücke veröffentlicht wird, aktualisieren die Hacker ihre Ransomware as a Service. Für die Kriminellen ist dies schließlich eine lukrative Einkommensquelle.
Aus diesem Grund ist es entscheidend, dass sich Unternehmen und IT-Verantwortliche nicht auf diese Art der Datenrettung im Falle einer Ransomware-Attacke verlassen. Viel wichtiger ist es, vorzubeugen und so nicht auf eine Entschlüsselung angewiesen zu sein. Hier sind es vor allem zwei Methoden, mit denen Unternehmen ihre Netzwerke schützen beziehungsweise einen Datenverlust verhindern.
Der erste Punkt betrifft die Backup-Strategie: Jedes Unternehmen benötigt mehrfach abgesicherte Sicherheitskopien aller digitalen Informationen. Hier hat sich die 3-2-1-Backup-Strategie als Minimalstandard etabliert. Diese Strategie legt fest, dass es zu jedem Zeitpunkt drei Datenkopien in zwei Speicherarten gibt und eine Kopie auf einem externen System gespeichert ist, das vom Netzwerk getrennt ist.
Die zweite ist die Implementierung einer aktiven Angriffsfrüherkennung. Diese Systeme scannen durchgängig das eigene Netzwerk und suchen nach verdächtigen Aktivitäten. Dazu gehören vor allem die Aktionen von Hackern, die unter anderem Ransomware wie Hive in kompromittierten Netzwerken ausbringen. Die Angriffsfrüherkennung alarmiert die Verantwortlichen in der IT in Echtzeit, wenn eine verdächtige Aktivität identifiziert wurde. Damit ist es möglich, Cyberangriffe bereits in der Anfangsphase zu unterbinden, bevor es den Hackern gelingt, die Ransomware zu aktivieren oder anderweitig größeren Schaden anzurichten.