Eine neue Ransomware-Familie namens Midnight greift auf den 2021 geleakten Quellcode von Babuk zurück – und fiel durch einen Implementierungsfehler bei RSA auf. Die Schwachstelle ermöglichte es Forschern von Norton, einen kostenlosen Decryptor bereitzustellen, mit dem betroffene Windows-Systeme ihre Daten wiederherstellen können.
Midnight-Ransomware: Babuk-Erbe und Fokus auf Geschwindigkeit
Midnight übernimmt weitgehend die Architektur von Babuk, inklusive des Konzepts des partiellen Verschlüsselns. Statt ganze Dateien zu chiffrieren, verschlüsselt die Malware nur ausgewählte Fragmente. Das beschleunigt den Angriff erheblich: Große Dokumente und Datenbanken werden in Sekundenbruchteilen unlesbar, was in Unternehmensumgebungen schnell zu Betriebsunterbrechungen führen kann.
Neuere Midnight-Builds erweitern den Zielkatalog und verschlüsseln nahezu alle gängigen Dateitypen – .exe, .dll und .msi sind explizit ausgenommen. Betroffene Dateien erhalten die Erweiterungen .midnight oder .endpoint; in manchen Fällen wird die Markierung zusätzlich im Dateiinhalte hinterlegt. Typische Artefakte sind die Erpressernotiz How To Restore Your Files.txt sowie Diagnoseprotokolle wie report.midnight oder debug.endpoint.
Kryptografie unter der Haube: ChaCha20 + RSA – und warum es scheiterte
Midnight setzt auf ein hybrides Schema: Die eigentlichen Dateiinhalte werden mit ChaCha20 verschlüsselt, während der zugehörige Sitzungsschlüssel via RSA geschützt wird. Dieser Ansatz gilt als Best Practice – sofern er korrekt implementiert ist. Forscher fanden jedoch einen Fehler im Umgang mit den RSA-Schlüsseln. Zunächst erlaubte dieser nur eine partielle Wiederherstellung, später wurde dank vertiefter Analyse ein vollwertiger Decryptor möglich. Der Fall unterstreicht, dass starke Algorithmen allein keine Sicherheit garantieren; kritische Schwachstellen entstehen häufig durch Fehlimplementierungen.
Kostenloser Norton-Decryptor: Funktionsweise und Einsatz in der Praxis
Der Norton-Decryptor steht für Windows x86 und x64 bereit. Das Tool scannt automatisch nach verschlüsselten Dateien (u. a. mit .midnight und .endpoint), legt Backup-Kopien an und startet die Wiederherstellung. Sicherheitsteams sollten die Sicherungsfunktion nicht deaktivieren, um Datenverlust bei beschädigten Dateien oder unerwarteten Abbrüchen zu vermeiden. Da Ransomware-Gruppen Fehler erfahrungsgemäß zügig beheben, ist das Zeitfenster für eine kostenlose Entschlüsselung potenziell begrenzt.
Indicators of Compromise (IoCs) und beobachtbare Artefakte
Zu den belastbaren IoCs gehören: neue Dateierweiterungen .midnight / .endpoint, die Erpressernotiz How To Restore Your Files.txt sowie Protokolldateien report.midnight und debug.endpoint. Aufgrund des beschleunigten Teilverschlüsselns kann es sehr schnell zu Funktionsausfällen kritischer Dienste kommen. Empfehlenswert sind deshalb proaktive Dateisystem- und Prozessüberwachung, restriktive Zugriffsrechte auf Netzfreigaben und die Korrelation von massiven Erweiterungsänderungen in SIEM/EDR.
Einordnung: Risiken, Abwehrmaßnahmen und Lessons Learned
Die Wiederverwendung des Babuk-Codes senkt den Einstieg für Angreifer und begünstigt die Entstehung neuer Ransomware-Varianten. Gleichzeitig eröffnet jede kryptografische Schwäche Verteidigern Chancen zur Datenrettung. In der Praxis reagieren Betreiber jedoch schnell mit Fixes. Organisationen sollten kompromittierte Hosts isolieren, verschlüsselte Dateien sichern und den offiziellen Norton-Decryptor testen.
Vorbeugend sind mehrschichtige Maßnahmen entscheidend: belastbare Backup-Strategien mit mindestens einer offline gehaltenen Kopie, Netzwerksegmentierung, EDR und verhaltensbasierte Erkennung, Härtung und Least-Privilege für Konten sowie konsequentes Patch-Management. Für die operative Detektion empfiehlt sich die Orientierung an MITRE ATT&CK, insbesondere an T1486 (Data Encrypted for Impact). Branchenberichte wie der Verizon DBIR zeigen seit Jahren, dass Ransomware zu den häufigsten und folgenschwersten Angriffsformen zählt; robuste Resilienzprozesse sind daher unerlässlich. Quellenhinweise: Analysen von NortonLifeLock zum Decryptor, Berichterstattung zum Babuk-Leak (2021) u. a. bei BleepingComputer und einschlägigen Threat-Intelligence-Anbietern.
Organisationen sollten jetzt handeln: betroffene Systeme isolieren, Beweise sichern, den kostenlosen Decryptor nutzen und die eigene Incident-Response- und Backup-Strategie schärfen. Wer proaktiv segmentiert, Rechte beschränkt, Updates zeitnah einspielt und Telemetrie auswertet, reduziert Ausfallzeiten und Folgekosten bei künftigen Erpressungskampagnen signifikant.
