A empresa de cibersegurança Profero conseguiu quebrar a criptografia dos encryptors da gangue de ransomware DarkBit, permitindo a recuperação dos arquivos de uma vítima gratuitamente, sem a necessidade de pagamento de resgate.
Isso ocorreu em 2023, durante a resposta a um incidente conduzido pelos especialistas da Profero, que foram chamados para investigar um ataque de ransomware a um de seus clientes, o qual havia criptografado múltiplos servidores VMware ESXi.
O momento do ciberataque sugere que foi uma retaliação pelos ataques de drones em 2023 no Irã, que visavam uma fábrica de munições pertencente ao Ministério da Defesa iraniano.
No ataque de ransomware, os atores da ameaça afirmaram ser do DarkBit, que anteriormente se passava por hacktivistas pró-iranianos, visando instituições educacionais em Israel.
Os atacantes incluíram declarações anti-Israel em suas notas de resgate, exigindo pagamentos de resgate de 80 Bitcoins.
O Comando Nacional de Cibersegurança de Israel associou os ataques do DarkBit ao grupo APT patrocinado pelo estado iraniano conhecido como MuddyWater, que tem um histórico de conduzir ataques de ciberespionagem.
No caso investigado pela Profero, os atacantes não se engajaram em negociações de pagamento de resgate, mas pareceram estar mais interessados em causar disrupção operacional.
Em vez disso, os atacantes lançaram uma campanha de influência para maximizar o dano reputacional à vítima, o que é uma tática associada a atores estatais se passando por hacktivistas.
No momento do ataque, não existia um decryptor para o ransomware DarkBit, então os pesquisadores da Profero decidiram analisar o malware em busca de possíveis fraquezas.
O DarkBit usa uma chave única AES-128-CBC e Vector de Inicialização (IV) gerados em tempo de execução para cada arquivo, criptografados com RSA-2048, e anexados ao arquivo bloqueado.
A Profero descobriu que o método de geração de chave usado pelo DarkBit possui baixa entropia.
Quando combinado com o timestamp de criptografia, que pode ser inferido a partir dos tempos de modificação de arquivo, o espaço total de chaves é reduzido para algumas bilhões de possibilidades.
Além disso, descobriram que os arquivos Virtual Machine Disk (VMDK) em servidores ESXi têm bytes de cabeçalho conhecidos, então só tinham que forçar bruta os primeiros 16 bytes para ver se o cabeçalho correspondia, em vez de todo o arquivo.
A Profero construiu uma ferramenta para tentar todas as sementes possíveis, gerar pares de chave/IV candidatos e verificar contra cabeçalhos VMDK, que eles executaram em um ambiente de computação de alta performance, recuperando chaves de decriptação válidas.
Paralelamente, os pesquisadores descobriram que muito do conteúdo do arquivo VMDK não havia sido impactado pela criptografia intermitente do DarkBit, uma vez que esses arquivos são esparsos e muitos chunks criptografados caem em espaço vazio.
Isso permitiu que recuperassem quantidades significativas de dados valiosos sem ter que descriptografá-los pela força bruta das chaves.
"Quando começamos a trabalhar para acelerar nossa força bruta, um de nossos engenheiros/membros da equipe teve uma ideia interessante", explicou a Profero.
"Arquivos VMDK são esparsos, o que significa que são majoritariamente vazios, e, portanto, os chunks criptografados pelo ransomware em cada arquivo também são majoritariamente vazios.
Estatisticamente, a maioria dos arquivos contidos nos sistemas de arquivos VMDK não serão criptografados, e a maioria dos arquivos dentro desses sistemas de arquivos não eram de qualquer forma relevantes para nós/nossa tarefa/nossa investigação."
"Então, percebemos que poderíamos percorrer o sistema de arquivos para extrair o que restava dos sistemas de arquivos VMDK internos... e funcionou! A maioria dos arquivos de que precisávamos pôde simplesmente ser recuperada sem decriptação."
A Profero observou que os objetivos do DarkBit teriam sido melhor atendidos com um data wiper em vez de ransomware, e que a recusa dos atacantes em negociar não deixou outra escolha a não ser dissecar a criptografia do malware em busca de um método de recuperação.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...