Sogar ihre Namen sind unbekannt, aber sie haben über 4 Millionen Menschen vor Lösegeld gerettet! Sie sind großartige Hackerhelden …

Matthew, der IT-Manager einer Schule im Zentrum von London, erhielt am Montag, den 23. November 2020, gegen 21:00 Uhr eine Nachricht. Einer seiner Kollegen berichtete, dass auf die Website der Schule nicht zugegriffen werden konnte.

Matthew versuchte selbst, auf die Website zuzugreifen, war jedoch erfolglos. Zuerst: „Ich frage mich, ob ich mein Passwort vergessen habe?“ dachte er, erkannte aber bald, dass die Seite den Benutzernamen nicht erkannte.

Die öffentliche Schule, in der Matthew arbeitet, der seinen Nachnamen nicht preisgeben möchte, ist eine Einrichtung, die die Kinder nicht sehr wohlhabender Familien aus Indien, Pakistan und Osteuropa besuchen. Die wertvollste Nahrungsquelle für viele der rund 150 Schüler im Alter zwischen 5 und 10 Jahren ist das kostenlose Schulessen am Mittag. In dem alten Gebäude aus der Queen-Victoria-Zeit versuchen die Lehrer mit einem begrenzten Budget, ihr Bestes für ihre Schüler zu geben, und halten alle Fortschritte der Kinder von dem Moment an fest, in dem sie ihre Stifte zum ersten Mal in der Hand halten. Diese Fotos werden dann auf einen Koprozessor hochgeladen, wo auch andere Schularbeiten durchgeführt werden.

Matthews Aufgabe, die 2016 begann, extern zu arbeiten, besteht darin, diese unersetzlichen Aufzeichnungen über die Lernwege der Kinder zu bewahren. Das Geld, das er für diesen Job erhält, ist recht begrenzt, aber Matthew erfüllt diese kostbare Aufgabe mit großer Hingabe.

Zurück zur Nacht des 23. November 2020 … Als Matthew sah, dass die Seite nicht zugänglich war, versuchte er alles, was er konnte. Um 02:00 Uhr beschloss er, als letztes Heilmittel den Kundendienst der Firma anzurufen, die den Serverdienst anbietet. Er kaufte einen neuen Server und verband die Website der Schule mit diesem Server. Aber die Seltsamkeit ging weiter. Matthew konnte keine Dokumente öffnen, deren Namen er auf dem Server sah. Alle von ihnen hatten eine Erweiterung namens „.encrypt“ am Ende ihres Namens.

Matthew war entsetzt über die plötzliche Erkenntnis: Die Schule war Opfer eines Ransomware-Angriffs geworden, einer Cyberkriminalität, die sich jetzt schnell ausbreitet.

Ransomware, die sich in der Mitte von Piraterie und Kryptographie befindet, sperrt Dokumente in Systemen, die sie infiziert. Das Entsperren ist nur durch Eingabe des wahren Verschlüsselungsschlüssels möglich. Für diesen Verschlüsselungsschlüssel verlangen die Hacker riesige Geldsummen.

„ALLE IHRE DOKUMENTE SIND GESPERRT, SIE HABEN 2 TAGE ZUR BEZAHLUNG“

Die Hacker hatten das System der Schule über ein Internetportal infiltriert, das Lehrer zur Verwaltung von Inhalten verwendeten. Eigentlich wurde ein Patch veröffentlicht, um die Sicherheit des Portals zu verbessern, aber Matthew, der mehrere Kunden gleichzeitig bediente, vergaß, dieses Update durchzuführen, weil er zu beschäftigt war.

„Ich habe den Rat, den ich anderen gegeben habe, nicht befolgt. Ich war sehr enttäuscht und verlegen. Ich hatte das Gefühl, als hätte mir jemand in den Bauch geschlagen“, sagte Matthew.

Matthew streifte durch die Trümmer des Schulgeländes und fand eine Notiz. Die Notiz mit dem Titel „Hack for Life“ enthielt diese Worte:

„Alle Ihre Dokumente sind gesperrt! Die Struktur und der Inhalt Ihrer Dokumente wurden irreversibel verändert. Sie können sie nicht sehen, lesen oder bearbeiten. Aber mit unserer Hilfe können Sie Ihre Dokumente wiederherstellen. Nachdem Sie das Lösegeld bezahlt haben , können wir alle Ihre Dokumente entschlüsseln. Sobald wir das Lösegeld erhalten haben, haben wir einen Grund, Sie zu täuschen.“ denn wir sind keine Barbaren, und so etwas wäre zu unserem Vorteil.

Sie haben 2 Tage Zeit, um zu bezahlen. Nach 2 Tagen verdoppelt sich der Entschlüsselungspreis. Nach einer Woche drei. Aus diesem Grund empfehlen wir Ihnen, die Zahlung innerhalb weniger Stunden vorzunehmen.“

Dies war nicht Matthews erster Kampf mit Ransomware. Auch das Softwareunternehmen, für das er zuvor arbeitete, wurde 2018 angegriffen. Anstatt zu zahlen, verbrachte Matthew zwei Tage damit, die Informationen des Unternehmens wiederherzustellen. Unternehmensvertreter hingegen dachten, dass das Ansehen der Institution Schaden nehmen und die Anleger in Panik geraten würden, wenn der Vorfall bekannt würde. Zwei Tage später gaben die Führungskräfte auf und forderten Matthew auf, das Lösegeld von 2 Bitcoins (etwa 10.000 US-Dollar an diesem Tag) zu zahlen. Der Schlüssel zur Entschlüsselung wurde dem Zahler Matthew übergeben, und das Unternehmen ließ den Vorfall hinter sich und nahm seine Aktivitäten wieder auf.

Aber ein solcher Angriff, den ein großes Unternehmen als wertlosen Fehler behandelte, hatte das Potenzial, für eine wirtschaftlich angeschlagene Schule katastrophal zu sein. „Eine Bewertung durch die Kinder wäre unmöglich. Die monatelangen Bemühungen der Lehrer würden umsonst sein. Die Schule würde die Inspektion nicht bestehen“, sagte Matthew.

SIE REDUZIEREN DIE ZUFÄLLIGE ANFRAGE VON 10 TAUSEND EURO AUF 1000 EURO, ABER…

Nach einer schlaflosen Nacht meldete Matthew die Situation seinen Vorgesetzten und wurde beauftragt, mit den Angreifern zu verhandeln. Die Tatsache, dass die Schule kein anderes Heilmittel zu haben schien, als den Angreifern Geld zu geben, würde dazu führen, dass andere Schulen ins Visier genommen wurden. Matthew und seine Manager beschlossen, den Angriff geheim zu halten. Sie wollten nicht, dass das Prestige der Schule getrübt wird, also entschieden sie sich, die Strafverfolgungsbehörden nicht zu informieren. Lehrern und Eltern wurde gesagt, dass das System nicht funktioniere.

Der Lösegeldschein enthielt nicht den von den Angreifern geforderten Betrag. „Wie viel möchten Sie meinen Computer entschlüsseln?“, schrieb Matthew an die Gmail-Adresse der Hacker. er hat eine mail geschickt. Die Antwort war: „Sie müssen 10.000 Euro bezahlen. Heute sind es 10.000. Morgen sind es 15.000. Wenn Sie noch zwei Tage warten, sind es 20.000.“

Matthew wusste, dass sich die Schule eine solche Zahlung nicht leisten konnte. Also beschloss er zu verhandeln und tat so, als hätte der Überfall nicht viel Schaden angerichtet.

„Ich habe keine 10.000 Euro, um Sie zu bezahlen. Es tut mir leid, aber das ist eine lächerliche Forderung. Wir sind eine kleine Schule mit begrenzten Ressourcen. Die überwiegende Mehrheit unserer Informationen ist gesichert, nur ein paar kürzlich hochgeladene Fotos fehlen . Ich kann maximal 500 Dollar bezahlen, es gehört dir.“ Matthews Strategie schien zunächst funktioniert zu haben, indem er eine weitere Nachricht mit der Aufschrift „Lassen Sie es mich wissen, ob es für Sie angemessen ist“ schickte. Die Antwort der Hacker lautete „1000 Euro Endangebot Wenn Sie nicht annehmen, müssen wir dieses Gespräch beenden“.

Matthäus war erleichtert. Die Schule konnte 1000 Euro aufbringen. Die Katastrophe schien vorbei zu sein. Die Hacker wollten die Zahlung in Bitcoin. Matthew selbst wusste, wie man Bitcoins kauft, da er in Kryptowährungen investiert hatte. 1000 Euro in Bitcoin umgetauscht und in eine von einem Hacker gemeldete Brieftasche übertragen. Dann schrieb er eine Erklärung mit den Worten: „Okay, ich habe sie geschickt.

Als er die Antwort sah, war er schockiert: „Entschuldigung, wir können 1000 Euro nicht akzeptieren. Sie müssen 10.000 Euro bezahlen.

Die Angreifer hatten Matthew getäuscht. Sie gaben vor, Kompromisse einzugehen, hatten Matthew im Voraus bezahlt und den Schlüssel nicht gegeben. Matthew war so aufgebracht, dass er sogar die Verhandlungsregel Nummer eins vergaß: „Zeig deinem Gegner nicht, dass du in Schwierigkeiten steckst.“ Verzweifelt begann sie zu betteln: „Sie sagten 1000 Euro letztes Angebot und wir haben zugesagt.“

Aber der Angreifer hatte nicht die Absicht, nachzugeben. „Das kann ich nicht akzeptieren“, antwortete er und fügte hinzu: „Tut mir leid, das geht mich nichts an.“

ES GIBT NUR EINEN, DER DAS PASSWORT BROCKEN KANN

Matthew fing an, das Internet zu durchsuchen, in der Hoffnung, ein Wunder zu finden. Er stieß im Forumsbereich der Website BleepingComputer (Computer mit Signalton) auf Korrespondenz von Opfern der Ransomware namens VashSorena. Diese Software fügte am Ende der Dokumente auch eine Erweiterung in Form von „.encrypt“ hinzu.

„Heute hat diese Ransomware meinen Computer infiziert, ich habe das Lösegeld bezahlt, aber der Angreifer hat nicht geholfen“, schrieb Matthew im Forum.

Andere Benutzer rieten Matthew, die Lösegeldforderung und einige der verschlüsselten Dokumente auf ID Ransomware hochzuladen und den Gründer der Website, bekannt unter dem Benutzernamen demonslay335, zu kontaktieren. Sie sagten: „Wenn jemand den Code knacken kann, dann demonslay335.“

Dann schickte Matthew eine Nachricht an demonslay335: „Hallo, mein Server, auf dem die Schüler meiner Schule ihre Fortschritte aufzeichnen, wurde gehackt und verschlüsselt. Bitte, können Sie mir helfen?

Wie George Orwell vor vielen Jahren sagte: „Die Geschichte der Zivilisation ist größtenteils die Geschichte der Waffen“. Heutzutage verändern digitale Waffen die Welt, und die größte Bedrohung scheint Ransomware zu sein. Ransomware ist viel effizienter und profitabler als Cyber-Bugs wie Identitätsdiebstahl. Da unsere Abhängigkeit vom Internet in allen Bereichen unseres Lebens zunimmt, erweitern sich die Möglichkeiten von Übeltätern, Geld zu verdienen und Chaos zu verursachen, ins Unendliche. Es ist nicht genau bekannt, wie oft Ransomware-Angriffe auftreten und welche Auswirkungen sie haben, da viele Opfer zögern, den Vorfall den Behörden zu melden oder es mit der Öffentlichkeit zu teilen. Aber Software mit seltsamen Namen wie Bad Rabbit und LockerGoga hat in den letzten Jahren Millionen von Unternehmen, Regierungsbehörden, gemeinnützigen Organisationen und Einzelpersonen gelähmt. Hacker nutzen die Abhängigkeit der Gesellschaft von Computern aus und verlangen Tausende, Millionen oder sogar Dutzende Millionen Dollar, um Systeme wieder in Gang zu bringen. Während der Pandemie hat eine Welle von Cyber-Erpressung Krankenhäuser und andere lebenswichtige Einrichtungen funktionsunfähig gemacht, Unternehmen und Schulen zur Schließung gezwungen und Menschen weiter von ihren Verwandten, Freunden und Kollegen entfremdet.

EINE KINDHEIT MIT MOBBING, ARMUT, KREBS UND ANSTRENGUNG…

Michael Gillespie, online bekannt als demonslay335 (Dämonenjäger), lebte damals in Illinois, Meilen von London entfernt, und kämpfte von seinem bescheidenen Büro über seinem Haus aus gegen Ransomware. Sie hatten acht Katzen, zwei Hunde und ein Kaninchen und nannten Gillespies Büro das „Katzenzimmer“. Der Raum war leer, abgesehen von einem Laptop auf dem Tisch, einem Bildschirm in einem Regal an der Wand, einem veralteten Sofa und einem Poster seines Lieblingsfilms „Der König der Löwen“.

Gillespie, der damals kurz vor seinem 29. Geburtstag stand, hatte ein sehr schwieriges Leben. Sie war in der Schule gemobbt worden, hatte mit Armut und Krebs zu kämpfen. Sie waren in ihrer Kindheit so arm, dass sie von Zeit zu Zeit bei Freunden oder Verwandten einziehen mussten. Mit 16 Jahren begann er bei Nerds on Call, einem Computerreparaturdienst, zu arbeiten. Er hat sich selbst beigebracht, wie man Ransomware in diesem Unternehmen knackt, in dem er mehr als 10 Jahre gearbeitet hat.

Im Laufe der Zeit hat es sich zu einem der kompetentesten Ransomware-Cracker der Welt entwickelt. Die von ihm erstellten Tools zum Knacken von Passwörtern wurden von mindestens 1 Million Menschen auf der ganzen Welt heruntergeladen. Gillespie, der dafür keinen Cent erhielt, ersparte denen, denen er half, ein Lösegeld in Höhe von Hunderten Millionen Dollar. Inmitten von mehr als 1000 bekannter Ransomware hat es es geschafft, mehr als 100 zu knacken.

Für Gillespie ist das Internet heute eine Art Zufluchtsort, ein Zuhause. Gillespies Verwandte und Freunde in Illinois, der fast seine ganze wache Zeit online verbringt, sind sich des Einflusses von demonslay335 in der Internetwelt nicht bewusst.

DAS KENNTNISVOLLSTE MITGLIED DES RANDOM SOFTWARE HUNTING Squad

Gillespie ist für seinen Einfallsreichtum und seine Unermüdlichkeit bekannt und das bekannteste Mitglied des Ransomware Hunting Squad. Dieses ausgewählte, nur auf Einladung verfügbare Team besteht aus einer Gruppe von Technikgenies, die ihr Leben dem Knacken von Ransomware gewidmet haben. Diese auf der ganzen Welt verteilten Freiwilligen kommen den Opfern zu Hilfe, die sich das Lösegeld nicht leisten können oder die Zahlung grundsätzlich verweigern. Insgesamt gelang es den Gruppenmitgliedern, mehr als 300 Ransomware zu knacken, was die Milliarden von Dollar an Lösegeldforderungen frustrierte, die die obersten 4 Millionen Opfer erreichten.

Viele der Mitglieder des Ransomware Hunting Squad sind Personen, die wie Gillespie aus Armut erfolgreich wurden. Sie haben keine technische Ausbildung, sie haben sich alles selbst beigebracht. Die Abwesenheit und der Missbrauch einiger in der Vergangenheit waren einflussreich bei der Ergreifung von Maßnahmen gegen Tyrannen. Sie verstecken sich hinter Pseudonymen oder Online-Identitäten, falls die von ihnen abgewehrten Übeltäter Vergeltung üben könnten. Mehr als einer hatte sich noch nie gesehen.

Ihr Engagement sowohl für ihre Sache als auch füreinander ist jedoch sehr stark. Wenn zum Beispiel jemand wirtschaftlich schwierige Zeiten durchmacht, springt auf jeden Fall einer seiner Bandkollegen ein und rettet durch eine Spende oder ein Jobangebot diejenigen, die in Schwierigkeiten geraten. Sie sind in verschiedenen Ländern wie den USA, England, Deutschland, Spanien, Italien, Ungarn und den Niederlanden verstreut, aber der eigentliche Ort, an dem sie alle leben, ist die Internetwelt.

„WIR SIND ALLE GEMEINSAM AUSGESCHLOSSENE MENSCHEN“

Die Teammitglieder haben auch bezahlte Jobs: Sie arbeiten in mehreren Bereichen der Cybersicherheit. Sie sehen das Knacken von Ransomware als Leidenschaft. Viele, wenn sie sich auf die Lösung eines Problems konzentrieren, vergessen die Welt und arbeiten Tag und Nacht für sie. Es ist ihnen egal, stark zu sein; Wenn es so viel wäre, wären sie damit beschäftigt, neue Software zu entwickeln, anstatt die vorhandene Ransomware zu knacken.

Fabian Wosar, einer der Mitglieder des Teams, fasste die ganze Gruppe mit den Worten zusammen: „Ich glaube, wir sind alle irgendwie Randgruppen“. In Deutschland geboren und aufgewachsen und heute am Rande von London lebend, hat Wosar nicht einmal einen Schulabschluss. Wosar, Gillespies Mentor und wertvollster Passwort-Cracker des Ransomware Hunting Squad, sagte: „Wir alle haben Macken, die uns von der gewöhnlichen Welt isolieren, aber sie haben Macken, die sich als nützlich erweisen, wenn wir Ransomware beobachten und Menschen helfen so gut zusammenarbeiten können. Leidenschaft in dir. Und du brauchst kein Diplom, solange du die Entschlossenheit hast, dir die notwendigen Fähigkeiten beizubringen.“

Natürlich kann der Konzern nicht alle Software knacken. Denn eine richtig codierte Ransomware ist unmöglich zu knacken. Schwachstellen ergeben sich jedoch aus der Inkompetenz, Kurzsichtigkeit oder Unterschätzung einiger Angreifer gegenüber ihren Gegnern. Genau an diesen Punkten setzt das Ransomware Hunting Team an.

Teammitglieder füllen eine wachsende Lücke. Weil offizielle Behörden bisher keine geeigneten Maßnahmen gegen Ransomware-Angriffe ergreifen konnten. Beispielsweise kann das FBI den Opfern keine andere Alternative bieten, als ihnen zu raten, das Lösegeld nicht zu zahlen. Ein wertvoller Teil der Piraten operiert in Ländern wie Russland, Iran und Nordkorea. Die Regierungen dieser Länder tun nicht viel, um die Piraten zu stoppen, außerdem sollen sie von diesen Angriffen profitieren, die als Modul des anonymen virtuellen Krieges gegen den Westen gelten, um Informationen zu erhalten und sogar einen Anteil zu erhalten des gezahlten Lösegeldes. Auch Vertreter des Privatsektors wie Versicherer und Cybersicherheitsunternehmen, deren Gewinne sich mit der Verbreitung von Lösegeldangriffen vervielfachen, zögern, endgültige Lösungen zu entwickeln.

DIESE KÄMPFENDEN PIRATEN SIND SEHR WIE PIRATEN

Ransomware-Hacker und Räuber, die auf entgegengesetzten moralischen Extremen stehen, sind genau wie die Menschen auf der Welt. Nachdem sie das Katz-und-Maus-Spiel beiseite gelegt haben, plaudern die Piraten voller Beleidigungen und Lob mit den Jägern. Ihre Bewunderung und Geschicklichkeit für Ransomware werden geteilt.

Wosar hat wiederholt seine Fähigkeiten beim Knacken von Piratencodes unter Beweis gestellt und ist oft das Objekt von Komplimenten und Beleidigungen.

Präzedenzfall sind auch die Charaktereigenschaften von Jägern und Piraten. Viele sind Autodidakten, arbeitslose Technikfreaks. Sie sind ein wenig schwach in Bezug auf soziale Höflichkeit. Sie mögen Einzelspiele und Einzelkino. Beispielsweise stammt die Ransomware namens HakunaMatata aus dem berühmten Oscar-nominierten Soundtrack von Gillespies Lieblingsfilm „Der König der Löwen“. Genau wie die Mitglieder des Ransomware Hunting Teams sind die Hacker mehrere junge Männer. Sie sind auf der ganzen Welt verbreitet, leben aber in mehreren osteuropäischen Ländern.

Für einige Piraten ist der moralische Tribut, den sie fordern, eine Quelle des Stolzes. Beispielsweise halten sie nach Zahlung des Lösegelds ihr Wort und entfernen schnell die Passwörter. Weil sie wissen, dass sie weniger Geld von ihren zukünftigen Opfern bekommen, wenn sie ihr Wort nicht halten und ihre Gesprächspartner täuschen. Auf die Frage, warum sie solche Angriffe organisieren, bieten sie unterschiedliche Relationen an. Der gemeinsame Punkt dieser Beziehungen ist meist „Es geht nicht um Geld“. Die Richtigkeit dieser Aussage ist jedoch fraglich. Der größte Unterschied zwischen dem Zati Ransomware Hunting Team und den Piraten ist die Gier der zweiten Gruppe.

Fabian Wosar hat in den letzten Jahren so viel Ransomware geknackt, dass die Abwehr von Hackern zur Routine seines Lebens geworden ist. Diese Situation fing irgendwann an, die Aufmerksamkeit von Piraten auf sich zu ziehen. So versäumte beispielsweise der Programmierer der Ende 2016 weit verbreiteten Software namens NMoreira nicht, Wosar eine Stellungnahme zu hinterlassen. Die Botschaft, die mit „FWosar, du bist der Mann“ begann, fuhr fort: „Ich bin inspiriert von Typen, die verstehen, was sie tun. Ich hoffe, du kannst das auch brechen, ich sage es nicht aus Arroganz , du bist wirklich inspirierend. Ich umarme dich.“ Natürlich waren nicht alle Berichte so positiv. Zum Beispiel flehte ein Angreifer: „Wosar, bitte, zerbrich mich nicht! Das ist mein letzter Versuch. Wenn du auch diese Version brichst, fange ich mit Drogen an.“ (Diese Worte waren nicht sehr effektiv. Wosar, der die Ransomware knackte, entwarf auch einen Passwort-Cracker darauf.) Die am häufigsten anzutreffenden Hinweise waren beleidigende. Mitten im Code einer Software, bestehend aus Buchstaben- und Zahlenzeilen, erregten beispielsweise die Worte „C’mon, break me again, Wosar! Mal sehen, ob du den Mut hast“ die Aufmerksamkeit. In einer Erklärung gegenüber der BBC im Jahr 2019 erklärte Wosar, er sei froh, bemerkt zu werden, und sagte: „Sie haben sich die Mühe gemacht, zu schreiben, weil sie wussten, dass ich diese Nachricht sehen würde. Es ist eine sehr angemessene Motivationsquelle, zu wissen, dass unsere Arbeit verärgert einige böse Cyberkriminalitätsbanden.“

ER SAGTE AUF DEN ERSTEN BLICK „KANN NICHT BRECHEN“, ABER KURZ BEGINNEN

Gillespie arbeitete an einem Dienstag Ende November 2020 in seinem Büro. Er war so verwirrt von den Anfragen der Opfer, dass er kaum Zeit hatte, die Unterlagen zu überfliegen, die Matthew geschickt hatte.

Nach einer schnellen Inspektion stellte er fest, dass die sechste Version einer unzerbrechlichen Ransomware namens Ouroboros bei dem Überfall auf die Schule verwendet wurde.

Der Ouroboros, ein altes Symbol, stellt eine Schlange dar, die ihren eigenen Schwanz frisst.

Der Ouroboros, ein altes Symbol, stellt eine Schlange dar, die ihren eigenen Schwanz frisst.

Nach dieser Entdeckung schickte Gillespie Matthew eine abschließende E-Mail mit den Worten: „Ouroboros v6 ist seit Oktober 2019, als seine Fehler behoben wurden, eine unknackbare Software. Das hätten Sie bereits von ID Ransomware erfahren sollen.“

Aber Matthew hatte nicht die Absicht, nachzugeben. Auf Gillespies eigener Website hieß die Software VashSorena und gab an, dass sie unter realen Bedingungen geknackt werden könne. „Reden wir über zwei verschiedene Namen für dieselbe Software oder habe ich eine Chance, das Passwort zu knacken?“, fragte Matthew. Sie fragte.

Gillespie betrachtete die Zeichen und andere Markierungen im Dateinamen noch einmal und stellte fest, dass er eine voreilige Entscheidung getroffen und einen sehr verständlichen Fehler begangen hatte. Es wurde angenommen, dass sowohl Ouroboros als auch VashSorena von Piraten iranischer Herkunft entwickelt wurden. Beide Software verschlüsseln Dokumente in der gleichen Form. Als er dies erkannte, machte er sich an die Arbeit.

ER HAT DEN MANGEL DER PIRATOREN FESTGESTELLT, ABER ERKLÄRTE ES NICHT

Die Software hatte eine Schwäche, weil die Entwickler, die VashSorena entworfen haben, an einer Stelle eine Abkürzung nehmen wollten. Die Softwareentwickler, die verfolgen wollten, ob das Lösegeld gezahlt wurde oder nicht, ordneten jedem Opfer eine eindeutige Identifikationsnummer zu. Tatsächlich war dies eine gängige Praxis bei Ransomware. Eine weitere Standardpraxis bestand darin, jedem Opfer einen privaten Schlüssel zu schicken, der seine Dokumente entschlüsseln würde. Der Unterschied zu VashSorena bestand darin, dass die Schlüssel miteinander verwandt waren. Auf diese Weise glaubte Gillespie, eine Lücke finden zu können.

Gillespie schaffte es im Juni 2020, die erste Version von VashSorena zu brechen, wollte aber nicht über diesen Erfolg sprechen, wie er es oft getan hat. Denn als die Angreifer von der Situation erfuhren, fiel es ihnen leicht, die Lücke zu schließen. Hackern zu helfen, ihre Software zu perfektionieren, war das Letzte, was Hunt Team tun wollte. Gillespie rettete mindestens 40 Opfer vor VashSorena, die ihn über BleepingComputer erreichten, teilte aber nicht mit, wie er einen Analysepfad entwickelt hatte. Dieser Ansatz des Rates, der nicht viel Aufmerksamkeit erregte, schien funktioniert zu haben. Die Angreifer aktualisierten VashSorena fünfmal, schlossen aber nicht die Lücke, die Gillespie fand.

Mithilfe der ID-Nummer in der Lösegeldforderung, die Matthew ihm schickte, konnte Gillespie die Software knacken und den Schlüssel generieren, um das Passwort auf den Dokumenten zu entfernen. Anschließend schrieb er ein Programm zum Entfernen von Passwörtern, mit dem Matthew seine Informationen wiederherstellen konnte. Er produzierte auch einen Schlüssel und schickte ihn mit der Nachricht an Matthew: „Würden Sie noch einmal nachsehen? Es war wirklich VashSorena und ich konnte Ihren Schlüssel brechen“.

„ERSTAUNLICH! ES FUNKTIONIERT!“

Es war Abend, als Matthew die Nachricht erhielt. Gemäß den Anweisungen von Gillespie konnte Matthew auf den alten Server zugreifen und die Fotos und andere Dokumente der Schüler wiederherstellen.

„Es ist erstaunlich! Es funktioniert“, antwortete er Gillespie und fügte hinzu: „Ich kann Ihnen nicht genug danken. Wie haben Sie das gemacht? Die Lehrer und Schüler der Schule werden Ihnen so dankbar sein …“

Aber Matthews Job endete nicht mit der Wiederherstellung seiner eigenen Dokumente. Er reichte eine Beschwerde bei Google ein und fragte, wie Ransomware-Angreifer Google Mail verwenden dürften. (Keine Antwort.) Die Schulbeamten hingegen erkannten, dass sie trotz ihres begrenzten Budgets ihre Investitionen in die Cybersicherheit erhöhen mussten. Unter der Leitung von Matthew wurde ein Gerät zum Sichern der Dokumente auf dem Server gekauft.

Matthew machte auch einen Plan, um die 1000 Euro zurückzubekommen, die er an die Piraten verloren hatte. Er setzte den Handel fort und tat so, als würde er den Schlüssel noch brauchen. Er schickte eine Nachricht an die Hacker: „Sie können Ihnen nur wieder vertrauen, wenn Sie mir meine Bitcoins zurücksenden. Dann schicke ich Ihnen 3000 Euro, um meine Papiere zurückzubekommen.“

Aber die Piraten hatten nicht die Absicht, es zu akzeptieren. „Es tut mir leid“, sagte der E-Mailer in seiner letzten Nachricht, „Selbst wenn Sie mir dieses Angebot für 10 Jahre machen, werde ich es ablehnen“.

Ransomware-Angriffe werden als aktualisierte Version der Entführung für das digitale Zeitalter beschrieben. Mit Techniken wie Phishing-E-Mails infiltrieren Hacker Computer. Sobald sie drin sind, aktivieren sie die Ransomware, nehmen die Computer als Geiseln und geben nicht nach, bis das gewünschte Kryptogeld bezahlt ist. Kryptographie, eines der Grundelemente von Ransomware, ist heute zum Rückgrat der Sicherheit im Internet geworden. Aber leider wird legale Kryptographie-Software, die von Bundesstaaten, Ministerien und Hochschulen entwickelt wurde, auch von Cyberkriminellen für böswillige Zwecke verwendet. Ransomware macht Verschlüsselung zur Waffe. Bevor diese Software auftauchte, mussten Piraten hart arbeiten, um ihre Angriffe zu Geld zu machen. Sie mussten einen Käufer finden, um ihre gestohlenen Ausweis- oder Kreditkarteninformationen zu verkaufen. Ob es dazu kommen würde, war fraglich. Ransomware machte die Abhängigkeit der Opfer von ihren Computern zu Geld und machte Piraterie zu einem profitablen Geschäft. Da der Fehler in Theorie und Praxis so einfach war, wurde jeder, der ein Ransomware-Paket im Dark Web kaufte, erpressbar. Als der Ransomware-Angriff auf die Colonial Pipeline im Mai 2021 an der Ostküste der Vereinigten Staaten für erhebliches Treibstoffleid sorgte, setzte die Washingtoner Regierung den Wert von Ransomware mit Terrorismus gleich. Das FBI verstärkte mittendrin seine Zusammenarbeit mit Privatdetektiven, einschließlich der Ransomware Hunting Squad. Aber Angreifer sind heute auch geschickter als früher. Sie verbessern ihre Kryptographie und wählen ihre Ziele subtiler. Während beide Seiten ihre Hände heben, steigt der Bedarf an Ransomware Hunting Squad von Tag zu Tag durch Unternehmen, Schulen, Krankenhäuser und Regierungseinrichtungen, die der Zweck der Angriffe sind.

Zusammengestellt aus dem in The Guardian veröffentlichten Artikel mit dem Titel „Ransomware hunters: the self-taught tech geniuses fight cybercrime“.

Freiheit