FonixCrypter zieht sich zurück

Die Cybercrime-Gruppe, die hinter der Ransomware FonixCrypter steckt, hat heute auf Twitter bekannt gegeben, dass sie den Quellcode der Ransomware gelöscht hat und plant, ihren Betrieb einzustellen. Als Geste des guten Willens gegenüber früheren Opfern hat die FonixCrypter-Bande außerdem ein Paket mit einem Entschlüsselungs-Tool, einer Anleitung und dem Master-Entschlüsselungsschlüssel der Ransomware veröffentlicht.

Diese Dateien können von ehemals infizierten Anwendern verwendet werden, um ihre Dateien kostenlos zu entschlüsseln und wiederherzustellen, ohne dass sie für einen Entschlüsselungsschlüssel bezahlen müssen.

Allan Liska, ein Sicherheitsforscher des Bedrohungsforschungsunternehmens Recorded Future, hat den Entschlüsseler auf Anfrage von ZDNet heute getestet und festgestellt, dass die FonixCrypter-App, die Anweisungen und der Hauptschlüssel wie angekündigt funktionieren.

„Der Entschlüsselungsschlüssel, der von den Akteuren hinter der Fonix-Ransomware zur Verfügung gestellt wurde, scheint legitim zu sein , denn er erfordert, dass jede Datei einzeln entschlüsselt wird“, so Liska gegenüber ZDNet. Das Wichtigste ist, dass sie den Hauptschlüssel mitgeliefert haben, der es jemandem ermöglichen sollte, ein viel besseres Entschlüsselungswerkzeug zu bauen“, fügte er hinzu.

Ein besserer Entschlüsseler ist derzeit bei Emsisoft in Arbeit und wird voraussichtlich nächste Woche veröffentlicht, so Michael Gillespie, ein Emsisoft-Sicherheitsforscher, der sich auf das Decodieren von Ransomware-Verschlüsselungen spezialisiert hat. Anwendern wird geraten, auf den Emsisoft-Entschlüsseler zu warten, anstatt den von der FonixCrypter-Bande bereitgestellten zu verwenden, der leicht andere Malware, wie z.B. Backdoors, enthalten kann, die die Opfer am Ende auf ihren Systemen installieren könnten.

Bevor die FonixCrypter-Ransomware-Gang heute stillgelegt wurde, war sie mindestens seit Juni 2020 aktiv, so Andrew Ivanov, ein russischer Sicherheitsforscher, der in den letzten vier Jahren Ransomware-Stämme in seinem persönlichen Blog verfolgt hat. Ivanovs FonixCrypter-Blogeintrag zeigt eine Geschichte ständiger Updates des FonixCrypt-Codes, wobei im letzten Jahr mindestens sieben verschiedene FonixCrypt-Varianten veröffentlicht wurden.

Auch wenn der Quellcode der Ransomware vielleicht nicht erstklassig war, funktionierte die Ransomware und wurde im letzten Jahr in der freien Wildbahn eingesetzt und forderte Opfer auf der ganzen Welt.

Derzeit deuten alle Anzeichen darauf hin, dass die FonixCrypter-Bande es ernst meint mit ihren Plänen, den Betrieb einzustellen. Liska sagte, dass die FonixCrypter-Bande heute ihren Telegram-Kanal entfernt hat, auf dem sie normalerweise die Ransomware für andere kriminelle Gruppen beworben hat. Der Analyst von Recorded Future wies aber auch darauf hin, dass die Gruppe auch Pläne angekündigt hat, in naher Zukunft einen neuen Kanal zu eröffnen.

Die FonixCrypter-Bande gab jedoch nicht an, ob sich dieser neue Telegram-Kanal auf die Bereitstellung eines neuen und verbesserten Ransomware-Stammes konzentrieren wird. Laut einer auf Twitter geposteten Nachricht behauptet die Gruppe, sie wolle sich von Ransomware wegbewegen und ihre Fähigkeiten auf „positive Weise“ nutzen. Was auch immer das bedeutet.

ANZEIGE

Kollaborationsplattform Slack: Effizient arbeiten – egal von wo

Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.

Jakob Jung

Recent Posts

OCSF: Neuer Standard für Cybersicherheit

Eine Koalition aus der Cybersicherheits- und Technologiebranche hat ein Open-Source-Projekt angekündigt, um Datensilos zu durchbrechen,…

6 Stunden ago

Container auf der Überholspur

Container werden immer populärer, denn damit können Entwickler Anwendungen auf der Grundlage eines kontinuierlichen Entwicklungsmodells…

7 Stunden ago

So erkennen Sie Deepfakes

Deepfakes werden bei Cyberkriminellen immer beliebter. Um sich zu schützen, können Sie diese Schwachstellen in…

12 Stunden ago

Sicherer surfen mit Microsoft Edge

Der Browser Microsoft Edge bietet erweiterte Sicherheitsfunktionen, die beim Surfen im Internet und beim Besuch…

13 Stunden ago

Modernes Schwachstellen-Management

Die Sicherheit für Informationstechnologie (IT) ist etabliert, aber bei Operational Technologie (OT) ist noch vieles…

1 Tag ago

So wehren Sie DDoS-Angriffe ab

Distributed-Denial-of-Service (DDoS)-Attacken werden immer gefährlicher. Wie Unternehmen mit dieser Gefahr umgehen sollten, schildert Security-Spezialist Steffen…

1 Tag ago