In nur 10 Stunden: So hat ein Programmierer die gefährliche Akira-Ransomware geknackt
Die Ransomware Akira ist erstmals 2023 aufgetaucht. Die Verantwortlichen dahinter zielen damit vor allem auf große Unternehmen ab, deren Dateien sie verschlüsseln und gegen die Zahlung hoher Lösegelder wieder freischalten. Laut Threaddown soll die Akira-Gruppe so allein bis Anfang 2024 mehr als 250 Unternehmen angegriffen und insgesamt 42 Millionen US-Dollar erpresst haben.
Akira geknackt: So hat es ein einzelner Programmierer geschafft
Wie Bleeping Computer berichtet, ist es jetzt einem indonesischen Entwickler namens Yohanes Nugroho gelungen, die gefährliche Ransomware zu knacken. Er hat eine Entschlüsselungssoftware entworfen, um Akira außer Gefecht zu setzen. Seine Arbeit begann mit der Bitte eines Freundes. Dessen Linux-System wurde nämlich von Akira befallen. Nachdem Nugroho den Code und die Log-Files des Angriffs analysiert hatte, fielen ihm mehrere Dinge auf.
So wurde dem Programmierer klar, dass Akira die genaue Uhrzeit für den Angriff nutzt. Für jede Datei werden einzigartige Schlüssel generiert, die sich auf Zeitstempel bis zur Nanosekunde beziehen. Diese Schlüssel werden im Anschluss von Akira durch 1.500 Runden im SHA-256-Algorithmus verschlüsselt. Danach werden diese Dateien noch zusätzlich mit RSA-4096 verschlüsselt.
Da Akira mehrere Dateien gleichzeitig verschlüsselt, lassen sich die genauen Angriffszeiten nur schwer ohne Anhaltspunkte feststellen. Durch die Log-Files konnte der Entwickler aber abschätzen, wann die Verschlüsselung durchgeführt wurde und die Anzahl der möglichen Schlüssel drastisch reduzieren. Er konnte dadurch sogar Verschlüsselungs-Benchmarks für verschiedene Setups erstellen. Denn jede Hardware benötigt unterschiedlich lange, um die Verschlüsselungen durchzuführen.
Sein Entschlüsselungs-Tool setzt auf die Brute-Force-Methode, bei der die möglichen Kombinationen durchprobiert werden. Zunächst nutzte er dafür eine Nvidia RTX 3060 als Grafikkarte. Obwohl diese rund 60 Millionen Verschlüsselungstests pro Sekunde durchführen konnte, reichte es nicht aus, um Akira selbst mit der Eingrenzung der Schlüssel in einer passablen Zeit zu knacken. Auch eine RTX 3090 brachte keine große Verbesserung.
Letztlich griff der Programmierer auf einen Cloud-Dienst zurück, der ihm Zugriff auf 16 Nvidia RTX 4090 GPUs gab. Mit der Rechenpower konnte der Schlüssel innerhalb von zehn Stunden ermittelt werden. Nugroho betont allerdings, dass es bei mehr Dateien auch deutlich länger dauern kann. Für die Arbeit an dem Entschlüsselungs-Tool, das er auf Github veröffentlicht hat, benötigte er am Ende etwa drei Wochen Zeit und ein Budget von 1.200 US-Dollar.
„Laut Threaddown soll die Akira-Gruppe so allein bis Anfang 2024 mehr als 250 Unternehmen angegriffen und insgesamt 42 Milliarden US-Dollar erpresst haben.“
42 Mrd Dollar?
Das sind im Schnitt 168 Mio. pro Fall.
Das erscheint mir sehr hoch.