Af Eskil Sørensen, 09/07/24
Antivirusfirmaet Avast har opdaget en svaghed i en ransomware-familie kaldet DoNex og frigivet en dekrypteringkode, så evt. ofre kan gendanne deres filer gratis.
Det skriver Bleeping Computer og The Register.
Avast oplyser, at man i fortrolighed har samarbejdet med myndighederne ift. at tilbyde dekryptering til ofre for DoNex ransomware siden marts 2024. Fortroligheden skyldes, at man gerne vil sikre, at trusselsaktørerne ikke får nys om dekrypteringsmetodikkerne, så de kan at lære af fejlen og rette den. Avast har derfor og naturligvis ikke uddybet, hvor svagheden ligger, så det kan stort set dreje sig om hvad som helst som fx genbrug af nøgler, forudsigelig nøglegenerering, forkert polstring eller andre problemer, hedder det.
Selve fejlen i DoNex blev offentliggjort på cybersikkerhedskonferencen Recon 2024, der fandt sted i juni. Derefter har Avast så besluttet at frigive dekrypteringsprogrammet.
Bleeping Computer skriver, at ransomwarefamilien DoNex er et 2024-rebrand af DarkRace, som igen var et 2023-rebrand af Muse ransomware, som først blev udgivet i april 2022.
Fejlen, som Avast altså har opdaget, påvirker alle tidligere DoNex ransomware-familievarianter, inklusive en falsk Lockbit 3.0-mærket variant brugt under navnet 'Muse' i november 2022.
Selv om de fleste aktiviteter for DoNex-ransomwarefamilien har fundet stedet i USA, Italien og Belgien, så viser et kort over påvirkede lande, at Danmark faktisk også er i blandt. Vi er dog ikke bekendte med hvor mange organisationer i Danmark, der er eller har været ramt af DoNex-ransowaren.
Links
https://www.theregister.com/2024/07/08/avast_secretly_gave_donex_ransomware/