FonixCrypter zieht sich zurück

Die Cybercrime-Gruppe, die hinter der Ransomware FonixCrypter steckt, hat heute auf Twitter bekannt gegeben, dass sie den Quellcode der Ransomware gelöscht hat und plant, ihren Betrieb einzustellen. Als Geste des guten Willens gegenüber früheren Opfern hat die FonixCrypter-Bande außerdem ein Paket mit einem Entschlüsselungs-Tool, einer Anleitung und dem Master-Entschlüsselungsschlüssel der Ransomware veröffentlicht.

Diese Dateien können von ehemals infizierten Anwendern verwendet werden, um ihre Dateien kostenlos zu entschlüsseln und wiederherzustellen, ohne dass sie für einen Entschlüsselungsschlüssel bezahlen müssen.

Allan Liska, ein Sicherheitsforscher des Bedrohungsforschungsunternehmens Recorded Future, hat den Entschlüsseler auf Anfrage von ZDNet heute getestet und festgestellt, dass die FonixCrypter-App, die Anweisungen und der Hauptschlüssel wie angekündigt funktionieren.

„Der Entschlüsselungsschlüssel, der von den Akteuren hinter der Fonix-Ransomware zur Verfügung gestellt wurde, scheint legitim zu sein , denn er erfordert, dass jede Datei einzeln entschlüsselt wird“, so Liska gegenüber ZDNet. Das Wichtigste ist, dass sie den Hauptschlüssel mitgeliefert haben, der es jemandem ermöglichen sollte, ein viel besseres Entschlüsselungswerkzeug zu bauen“, fügte er hinzu.

Ein besserer Entschlüsseler ist derzeit bei Emsisoft in Arbeit und wird voraussichtlich nächste Woche veröffentlicht, so Michael Gillespie, ein Emsisoft-Sicherheitsforscher, der sich auf das Decodieren von Ransomware-Verschlüsselungen spezialisiert hat. Anwendern wird geraten, auf den Emsisoft-Entschlüsseler zu warten, anstatt den von der FonixCrypter-Bande bereitgestellten zu verwenden, der leicht andere Malware, wie z.B. Backdoors, enthalten kann, die die Opfer am Ende auf ihren Systemen installieren könnten.

Bevor die FonixCrypter-Ransomware-Gang heute stillgelegt wurde, war sie mindestens seit Juni 2020 aktiv, so Andrew Ivanov, ein russischer Sicherheitsforscher, der in den letzten vier Jahren Ransomware-Stämme in seinem persönlichen Blog verfolgt hat. Ivanovs FonixCrypter-Blogeintrag zeigt eine Geschichte ständiger Updates des FonixCrypt-Codes, wobei im letzten Jahr mindestens sieben verschiedene FonixCrypt-Varianten veröffentlicht wurden.

Auch wenn der Quellcode der Ransomware vielleicht nicht erstklassig war, funktionierte die Ransomware und wurde im letzten Jahr in der freien Wildbahn eingesetzt und forderte Opfer auf der ganzen Welt.

Derzeit deuten alle Anzeichen darauf hin, dass die FonixCrypter-Bande es ernst meint mit ihren Plänen, den Betrieb einzustellen. Liska sagte, dass die FonixCrypter-Bande heute ihren Telegram-Kanal entfernt hat, auf dem sie normalerweise die Ransomware für andere kriminelle Gruppen beworben hat. Der Analyst von Recorded Future wies aber auch darauf hin, dass die Gruppe auch Pläne angekündigt hat, in naher Zukunft einen neuen Kanal zu eröffnen.

Die FonixCrypter-Bande gab jedoch nicht an, ob sich dieser neue Telegram-Kanal auf die Bereitstellung eines neuen und verbesserten Ransomware-Stammes konzentrieren wird. Laut einer auf Twitter geposteten Nachricht behauptet die Gruppe, sie wolle sich von Ransomware wegbewegen und ihre Fähigkeiten auf „positive Weise“ nutzen. Was auch immer das bedeutet.

ANZEIGE

Kollaborationsplattform Slack: Effizient arbeiten – egal von wo

Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.

ZDNet.de Redaktion

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

8 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

1 Tag ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

1 Tag ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

1 Tag ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

1 Tag ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

1 Tag ago