Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Ransomware z otwartym źródłem wymknął się spod kontroli – backdoor nie zadziałał…
Pisaliśmy ostatnio o opensource-owym ransomware szyfrującym dyski (Hidden Tear), jednak autor (Turek, Utku Sen) wprowadził tam specjalnie lukę, umożliwiającą odszyfrowanie „przejętych” zasobów dyskowych:
I decided to write a code which has huge security flaws so we can reverse the damage if anyone affected with it.
Turecki autor postanowił w swoich 'edukacyjnych’ eksperymentach jednak iść dalej – przygotował projekt EDA2, który tym razem (prawdopodobnie) nie posiadał specjalnie wprowadzonej luki w samym mechanizmie szyfrującym. Był za to zaopatrzony w panel administracyjny (rodzaj C&C) i to tutaj autor wprowadził backdoor.
Zatem po przejęciu pewnej liczby ofiar przez ransomware zbudowany na bazie EDA2, Turek mógł dostać się do panelu i odszyfrować dyski pechowców (albo wyciągnąć od nich kasę?).
Jednak w realnym przypadku coś poszło nie tak. Na bazie (ctrl+c, ctrl+v) EDA2 powstał Magic Ransomware, z C&C na darmowym hostingu. Ktoś zgłosił fraud na adresie IP C&C, właściciel hostingu zaorał serwis i nie posiada backupów (nici zatem z użycia backdoora w panelu…).
Finał jest taki, że tym razem ofiary zostaną bez pomocy, nawet jeśli zapłacą okup.
Turek kwituje to tak: „I’m sorry, I failed this time.” i usuwa projekt EDA2 z githuba.
–Michał Sajdak