In c't 11/2019 beschrieb ein anonymer Autor, wie er, genervt von vielen Phishing-Spam-Mails, den Urheber einer solchen Mail hackte – erst dessen Webseite und dann dessen Home-Router. Am Ende konnte der Autor anhand des Klarnamens sogar die Adresse des Betrügers in Südafrika ausfindig machen. Diese Art des Zurückhackens scheint, entgegen der klaren Empfehlung der Redaktion, Schule zu machen.

So macht gerade die Geschichte eines Webentwicklers aus Meitingen in Bayern die Runde, der sich gegen Ransomware wehrte, in dem er deren Kontrollserver hackte und dort die Krypto-Schlüssel des Trojaners mitgehen ließ. Seitdem sucht er auf Twitter aktiv Opfer des Trojaners und schickt ihnen Links zu den Schlüsseln, mit denen sie ihre Daten retten können.

Unsicheres Trojaner-Kontrollzentrum

Der deutsche Webentwickler wurde Opfer der Malware Muhstik, die Netzwerkspeicher-Geräte (NAS) der Firma QNAP befällt. Nachdem er 670 Euro an die Erpresser gezahlt hatte, um seine Daten wiederzubekommen, analysierte er den Trojaner. Dabei gelang es ihm, Rückschlüsse auf die Kommandoserver der Kriminellen zu ziehen. Anscheinend hatten die Kriminellen Webserver Dritter kompromittiert und dort ihre Kontrollsoftware für den Muhstik-Trojaner installiert.

Über eine offene Webshell gelang es dem Deutschen, das PHP-Skript zu kapern, das die Daten neuer Opfer in eine SQL-Datenbank einträgt, erklärt er im Gespräch mit der US-amerikanischen Nachrichtenseite Bleeping Computer. Mit einem eigenen PHP-Skript generierte er nun, basierend auf dieser Datenbank, eigene Schlüssel zur Rettung der Daten aller 2.858 zu diesem Zeitpunkt erfassten Opfer des Trojaners. Der deutsche Webentwickler hat die Schlüssel der Opfer in einer Datei auf Pastebin veröffentlicht. Opfer des Trojaners können diese zusammen mit einem Entschlüsselungs-Tool der Sicherheitsfirma Emsisoft verwenden, um ihre Daten zu retten.

Zurückhacken ist strafbar

Ähnlich wie im Fall des anonymen c't-Autors wurde dem Angreifer auch hier die Unsicherheit der eigenen Systeme zum Verhängnis. Der Webentwickler aus Bayern schreibt in einem Forenbeitrag bei Bleeping Computer, dass ihm bewusst sei, dass er sich strafbar gemacht habe. Seiner Ansicht nach hat er aber nur Systeme gehackt, die zuvor schon von den Kriminellen gehackt waren. "Ich bin in dieser Situation nicht der Bösewicht", erklärt er in dem Forenbeitrag.

Trotzdem sei an dieser Stelle noch einmal ausdrücklich darauf hingewiesen, dass das Eindringen in die Computersysteme anderer strafbar ist, auch wenn es sich beim Ziel des Angriffs um Kriminelle handelt. Ob sich ein solcher Angriff moralisch rechtfertigen lässt, steht auf einem anderen Blatt. Strafverfolgungsbehörden und Gerichte interessiert im Zweifel aber erst einmal nur, ob ein Straftatbestand vorliegt. (fab)