Um novo descriptografador de ransomware 'White Phoenix' permite que as vítimas recuperem parcialmente os arquivos criptografados por cepas de ransomware que usam criptografia intermitente.
A criptografia intermitente é uma estratégia empregada por vários grupos de ransomware que alterna entre criptografar e não criptografar pedaços de dados.
Esse método permite que um arquivo seja criptografado muito mais rapidamente, deixando os dados inutilizáveis para a vítima.
Em setembro de 2022, a Sentinel Labs informou que a criptografia intermitente está ganhando espaço no espaço de ransomware, com todos os grandes RaaS oferecendo pelo menos como uma opção para afiliados e a BlackCat/ALPHV tendo aparentemente a implementação mais sofisticada.
No entanto, de acordo com a CyberArk, que desenvolveu e publicou 'White Phoenix', essa tática introduz fraquezas na criptografia, porque deixar partes dos arquivos originais não criptografados cria o potencial para a recuperação gratuita de dados.
As operações de ransomware que usam criptografia intermitente incluem BlackCat, Play, ESXiArgs, Qilin/Agenda e BianLian.
A CyberArk desenvolveu o White Phoenix depois de experimentar com arquivos PDF parcialmente criptografados, tentando recuperar texto e imagens de objetos de fluxo.
Os pesquisadores descobriram que, em certos modos de criptografia BlackCat, muitos objetos em arquivos PDF permanecem inalterados, permitindo que os dados sejam extraídos.
No caso da recuperação de imagens, ela é tão simples quanto remover os filtros aplicados.
No caso da recuperação de texto, os métodos de restauração incluem identificar pedaços de texto nos fluxos e concatená-los ou reverter a codificação hex e a confusão CMAP (mapeamento de caracteres).
Depois de recuperar com sucesso arquivos PDF usando a ferramenta White Phoenix, a CyberArk encontrou possibilidades de restauração semelhantes para outros formatos de arquivo, incluindo arquivos baseados em arquivos ZIP.
Esses arquivos usando o formato ZIP incluem formatos de documento Word (docx, docm, dotx, dotm, odt), Excel (xlsx, xlsm, xltx, xltm, xlsb, xlam, ods) e PowerPoint (pptx, pptm, ptox, potm, ppsx, ppsm, odp).
A restauração para esses tipos de arquivo é alcançada usando 7zip e um editor hexadecimal para extrair os arquivos XML não criptografados dos documentos afetados e executar a substituição de dados.
O White Phoenix automatiza todos os passos acima para os tipos de arquivo suportados, embora a intervenção manual possa ser necessária em alguns casos.
A ferramenta está disponível para download gratuito no repositório público do GitHub da CyberArk.
Os analistas relatam que sua ferramenta de recuperação de dados automatizada deve funcionar bem para os tipos de arquivo mencionados criptografados pelas seguintes cepas de ransomware:
No entanto, é essencial observar que o White Phoenix não produzirá bons resultados em todos os casos, mesmo que seja teoricamente suportado.
Por exemplo, se uma grande parte de um arquivo tiver sido criptografada, incluindo seus componentes críticos, os dados recuperados podem ser incompletos ou inúteis.
Portanto, a eficácia da ferramenta está diretamente relacionada à extensão do dano ao arquivo.
Para casos em que o texto é armazenado como objetos CMAP em arquivos PDF, a recuperação é possível somente se nem o texto nem os objetos CMAP forem criptografados, exceto em casos raros em que a codificação hex corresponde aos valores originais dos caracteres.
O BleepingComputer testou o White Phoenix com uma pequena amostra de arquivos PDF criptografados pela ALPHV e arquivos PPTX e DOCX criptografados pela Play e não conseguiu recuperar nenhum dado usando a ferramenta.
No entanto, a CyberArk explicou que isso pode ser causado pelo uso de criptografia intermitente nos ataques de onde recebemos amostras ou pelos arquivos estarem muito criptografados para serem analisados corretamente.
"Dependendo da amostra de ransomware específica sendo usada, diferentes tamanhos de arquivo podem estar muito criptografados para recuperar dados.
Se os seguintes caracteres não forem vistos no arquivo, é provável que esteja totalmente criptografado e o White Phoenix não poderá ajudar", disse a CyberArk ao BleepingComputer.
Para que o White Phoenix funcione corretamente, os formatos Zip/Office devem conter a string "PK\x03\x04" no arquivo a ser suportado.
Além disso, os PDFs precisam conter as strings "0 obj" e "endobj" para serem parcialmente recuperados.
Se o White Phoenix não encontrar essas strings, ele afirmará que o tipo de arquivo não é suportado, como mostrado abaixo em nossos testes limitados.
Embora esse descriptografador possa não funcionar para todos os arquivos, ele pode ser muito útil para as vítimas tentarem recuperar "alguns" dados de arquivos críticos.
A CyberArk convida todos os pesquisadores de segurança a baixar e experimentar a ferramenta e se juntar ao esforço para melhorá-la e ajudar a estendê-la para mais tipos de arquivo e cepas de ransomware.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...