Billede: ZDNet
En bruger fik sin hævn på ransomware bande, som er krypteret sine filer ved at hacke deres server og slippe dekryptering nøgler til alle andre ofre.
Dette skete tidligere i dag og involverede Muhstik bande. Muhstik er en ny stamme af ransomware, der har været aktiv siden slutningen af September, ifølge rapporter [1, 2, 3].
Denne ransomware mål netværk-angrebet storage (NAS) enheder, der er fremstillet af Taiwanske hardware leverandør QNAP. Banden bag Muhstik ransomware er brute-forcing QNAP NAS-enheder, der bruger svage adgangskoder til den indbyggede phpMyAdmin service, i henhold til en sikkerhedsbulletin, der er offentliggjort af selskabet i sidste uge.
Efter at have fået adgang til phpMyAdmin installation, Muhstik operatører kryptere brugernes filer og gemme en kopi af nøgler til dekryptering på deres kommando og kontrol (C&C) server. QNAP filer krypteret med Muhstik kan blive anerkendt af hver fil ‘ s nye “.muhstik” file extension.
Irriteret software dev hacks tilbage
En af bandens ofre blev Tobias Frömel, en tysk software udvikler. Frömel var en af de ofre, der er betalt løsepenge efterspørgsel, så han kunne få adgang til sine filer.
Dog, efter at have betalt løsepenge, Frömel også analyseret ransomware, fik et indblik i, hvordan Muhstik drives, og så hentede de skurke’ database fra deres server.
“Jeg ved, det var ikke lovligt fra mig,” forsker skrev i en tekstfil han offentliggjort online på Pastebin tidligere i dag, indeholder 2,858 dekryptering nøgler.
“Jeg er ikke den dårlige fyr her,” Frömel tilføjet.
Gratis dekryptering metode nu tilgængelig
Udover at slippe dekryptering nøgler, den tyske udvikler har også offentliggjort en decrypter, at alle Muhstik ofre kan bruge til at låse deres filer. Decrypter er tilgængelige på MEGA [VirusTotal scan], og brugsanvisninger er avaiable på Bleeping Computer forum.
I mellemtiden, Frömel har haft travlt med at anmelde Muhstik ofre på Twitter om decrypter tilgængelighed, rådgive brugere mod at betale den løsesum.
Billede: ZDNet
Frömel ikke ønsker at kommentere yderligere i denne artikel udover Pastebin indlæg. En sikkerhedsekspert, der så Frömel arbejde fortalte ZDNet, at han meddelt myndighederne, og også oplysninger om de Muhstik gang i håb om medvirken myndigheder spor ned af hackere.
På trods af Frömel ‘ s foranstaltninger, der er imod loven, er det meget usandsynligt, at han vil blive tiltalt for hacking tilbage Muhstik bande og hjælpe tusindvis af ofre. Men, sikkerhed forskere rådes til at arbejde med myndigheder, når hacking tilbage, der svarer til, hvordan Avast arbejdet med fransk politi til at tage ned Retadup botnet.
Dette er den tredje ransomware stamme, der er blevet spottet i år rettet mod NAS-enheder, efter eCh0raix og en anden unavngiven stamme rettet mod Synology-enheder. En gratis decrypter blev udgivet for eCh0raix ofre i August.
Frömel ‘ s citater er blevet redigeret af hensyn til korrekt stavning.
Sikkerhed
Linux for at få kernen ‘lockdown’ funktion
Googles krig mod deepfakes: Som valget væve, det deler væld af AI-forfalsket videoer
De fleste malspam indeholder en skadelig URL-adresse i disse dage, ikke vedhæftede filer
Ransomware: Hvorfor betale en løsesum er en dårlig idé for alle i det lange løb (ZDNet YouTube)
Bedste sikkerhed i hjemmet af 2019: Professionel overvågning og DIY (CNET)
De fleste Fortune 500 selskaber stadig uigennemsigtige om sikkerhedsforanstaltninger (TechRepublic)
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre