Pesquisadores aproveitaram uma falha no esquema de criptografia do ransomware do Key Group e desenvolveram uma ferramenta de descriptografia que permite que algumas vítimas recuperem seus arquivos gratuitamente.
O decodificador foi criado por especialistas em segurança na empresa de threat intelligence EclecticIQ e funciona para versões do malware construídas no início de agosto.
Os atacantes alegaram que seu malware usava “criptografia AES de grau militar”, mas o software malicioso usa um salt estático em todos os processos de criptografia, tornando o esquema um tanto previsível e a criptografia possível de reverter.
“A senha é derivada de uma chave usando a função PBKDF2 de derivação de chave baseada em senha com um salt fixo", acrescentam os pesquisadores.
Key Group é um ator de ameaças de língua russa que entrou em ação no início de 2023, atacando várias organizações, roubando dados de sistemas comprometidos e, em seguida, usando canais privados do Telegram para negociar pagamentos de resgate.
A empresa russa de threat intelligence, BI.ZONE, relatou anteriormente que o Key Group baseou seu ransomware no construtor Chaos 4.0, enquanto a EclecticIQ viu o grupo vendendo em mercados da darknet de língua russa dados roubados e cartões SIM, bem como compartilhando dados de doxing e acesso remoto a câmeras IP.
O Key Group apaga arquivos originais do sistema da vítima após o processo de criptografia e acrescenta a extensão de arquivo .KEYGROUP777TG a todas as entradas.
Os invasores usam binários do Windows, os chamados LOLBins, para excluir cópias de sombra de volume, impedindo assim a restauração do sistema e dos dados sem pagar um resgate.
Além disso, o malware altera os endereços de host dos produtos antivírus em execução no sistema violado para impedi-los de buscar atualizações.
O decodificador de ransomware do Key Group é um script Python (compartilhado na seção Appendix A do relatório).
Os usuários podem salvá-lo como um arquivo Python e executá-lo usando o seguinte comando:
python decryptor.py /path/to/search/directory.
O script procurará no diretório alvo e em seus subdiretórios arquivos com a extensão .KEYGROUP777TG e irá descriptografar e salvar o conteúdo desbloqueado com o nome original do arquivo (decodificado da string base64).
Observe que algumas bibliotecas Python são necessárias, especialmente o pacote cryptography.
É sempre prudente fazer backup de seus dados (criptografados) antes de usar qualquer decodificador, pois o processo pode levar à corrupção irreversível dos dados e à perda permanente de dados.
O lançamento do decodificador da EclecticIQ pode provocar o Key Group a tratar das vulnerabilidades em seu ransomware, tornando as futuras versões mais difíceis de descriptografar.
No entanto, a ferramenta continua valiosa para indivíduos afetados pelas versões atuais.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...