Ein bedeutender Durchbruch im Kampf gegen Ransomware wurde durch die Entwicklung eines innovativen Entschlüsselungstools für die Linux-Version der Akira-Ransomware erzielt. Der Cybersicherheitsexperte Johannes Nugroho hat eine Lösung entwickelt, die die Rechenleistung von Grafikkarten nutzt, um verschlüsselte Daten ohne Lösegeldzahlung wiederherzustellen.
Technische Analyse der Akira-Ransomware-Verschlüsselung
Die Akira-Ransomware implementiert einen hochkomplexen Verschlüsselungsmechanismus, der auf Nanosekunden-präzisen Zeitstempeln basiert. Für jede verschlüsselte Datei wird ein einzigartiger Schlüssel generiert, der aus vier verschiedenen Zeitstempeln abgeleitet und durch 1500 SHA-256-Hashing-Runden verarbeitet wird. Die resultierenden Schlüssel werden mit RSA-4096 verschlüsselt und an die betroffenen Dateien angehängt.
Innovative Entwicklung des Entschlüsselungstools
Die Entwicklung des Tools erforderte einen dreiwöchigen intensiven Entwicklungsprozess und erhebliche Rechenressourcen. Durch den Einsatz von 16 NVIDIA RTX 4090 Grafikkarten über die Cloud-Dienste RunPod und Vast.ai konnte die erforderliche Rechenleistung bereitgestellt werden. Die Gesamtkosten für die GPU-Ressourcen beliefen sich auf etwa 1.200 Dollar.
Optimierungsstrategien und Performance
Die Effizienz des Entschlüsselungstools wurde durch mehrere Ansätze optimiert. Die Analyse von Systemprotokollen ermöglichte die Eingrenzung der Verschlüsselungszeiträume, während Datei-Metadaten zur Präzisierung der Verschlüsselungsendzeiten beitrugen. Diese Strategien reduzierten den erforderlichen Schlüssel-Suchraum erheblich.
Praktische Anwendung und Leistungsfähigkeit
Die aktuelle Version des Tools benötigt etwa 10 Stunden für die Entschlüsselung einer einzelnen Datei unter Verwendung leistungsstarker GPUs. Bei größeren Datenmengen kann der Wiederherstellungsprozess mehrere Tage in Anspruch nehmen. Das Tool wurde auf GitHub veröffentlicht und steht der Öffentlichkeit zur Verfügung, inklusive detaillierter Dokumentation.
Wer ist betroffen?
Akira-Ransomware richtet sich vorrangig gegen Unternehmen im KMU-Segment sowie Organisationen in der Gesundheits-, Bildungs- und Fertigungsbranche, die Linux-basierte Server betreiben. Besonders gefährdet sind VMware ESXi-Umgebungen, da die Linux-Variante gezielt auf diese Infrastrukturen ausgelegt ist. Laut CISA-Warnungen wurden seit 2023 über 250 Organisationen weltweit kompromittiert.
Empfohlene Schutzmaßnahmen
- Systemprotokolle regelmäßig sichern und außerhalb der Produktivumgebung aufbewahren, um den Entschlüsselungsprozess zu unterstützen
- Netzwerksegmentierung implementieren, um die laterale Ausbreitung von Ransomware zu begrenzen
- Multifaktor-Authentifizierung für alle administrativen Zugänge aktivieren
- VMware ESXi-Systeme auf aktuelle Patchstände bringen und unnötige Dienste deaktivieren
- Offline-Backups nach der 3-2-1-Regel anlegen: drei Kopien auf zwei Medientypen, eine davon außer Haus
Dieses Entschlüsselungstool demonstriert das Potenzial von High-Performance-Computing in der Cybersicherheit. Die technische Analyse von Tinyhack dokumentiert die Methode, die verwendeten GPU-Ressourcen und die praktischen Grenzen des Ansatzes im Detail.
