Ransomware: decodering dankzij zwakte in “Blackbyte”-code


BlackByte-slachtoffers kunnen hopen: gratis software decodeert alle bestanden die eerder werden versleuteld door de BlackByte-ransomware. Het Trustwave SpiderLabs-team is erin geslaagd een zwak punt in de kwaadaardige code te vinden en deze te exploiteren ten behoeve van de slachtoffers.

Het wordt steeds zeldzamer om een ​​decoderingstool te bouwen op basis van een ransomware-analyse. Het gebruik en meestal foutloze implementatie van asymmetrische encryptiemethoden, waarbij de private sleutel alleen bekend is bij criminelen en niet aanwezig is op het aangevallen systeem, is de norm geworden. Het succes van SpiderLabs is des te bevredigender.

De BlackByte-bende is vrij onbekend in vergelijking met scene-grootheden als REvil of Ryuk. Dat weerhoudt de daders er niet van om de handelspraktijken van de grotere criminelen te imiteren. Zo dreigt BackByte op een darknet-site om bij wanbetaling gegevens van genoemde bedrijven te publiceren.

Met betrekking tot deze bedreigingen onthult de Trustwave-analyse het bijna verfrissend onprofessionele karakter van de bende: de kwaadaardige BlackByte-code heeft helemaal geen functionaliteit om gegevens te exfiltreren. Slachtoffers kunnen dan ook opgelucht ademhalen, niet alleen bij de restauratie, maar ook bij de dreiging van publicatie van hun documenten.

Volgens het SpiderLabs-team gebruikt BlackByte geen asymmetrische methode om bestanden op een computer te versleutelen en ontsleutelen, in tegenstelling tot de professionele modellen, maar de symmetrische AES-versleutelingsmethode. Bovendien varieert de gebruikte sleutel niet afhankelijk van het systeem: de makers van malware bewaren een vaste “onbewerkte sleutel” in een bestand met de extensie .png (forest.png in het geval van de huidige analyse) op hun servers.

Dit bestand wordt tijdens de codering opnieuw geladen door de kwaadaardige code van BlackByte en permanent opgeslagen op het betreffende systeem. Zo lang bos.png wordt niet uitgewisseld op de servers, in wezen dezelfde onbewerkte sleutel (=hQ;d'%44eLHt!W8AU9y?(FO:<swB[F#<F) voor gebruik.

De losgeldbrief bevat al de (zij het versleutelde) “onbewerkte sleutel” die nodig is voor de decodering.

(Afbeelding: trustwave.com)

De eenvoud van de procedure wordt enigszins gecamoufleerd en verzwakt door het feit dat de onbewerkte sleutel op het systeem “verder wordt verwerkt” door de kwaadaardige code: hij arriveert daar in 3DES-gecodeerde vorm en wordt vervolgens gedecodeerd. De gestandaardiseerde functie PBKDF2 (Password-Based Key Derivation Function 2) wordt vervolgens gebruikt om uit de onbewerkte sleutel een sleutel af te leiden die voor AES-128 kan worden gebruikt.

De makers van malware gebruiken ook de asymmetrische RSA-procedure op één plek – maar alleen om de op deze manier versleutelde onbewerkte sleutel één keer in het chantagebericht weer te geven. De openbare sleutel die hiervoor wordt gebruikt, wordt permanent opgeslagen in een kwaadwillende codemodule.

Met de “Raw Key” doet BlackByte nogal wat. De onderzoekers vonden echter alle informatie die ze nodig hadden om te ontcijferen.

(Afbeelding: trustwave.com)

Uiteindelijk verandert geen van deze processen het feit dat alle informatie voor het versleutelen en ontsleutelen van de bestanden is opgeslagen in forest.png zijn inbegrepen. De decoderingstool van SpiderLabs gebruikt de informatie ook dienovereenkomstig forest.png op versleutelde bestanden of mappen – net zoals de kwaadaardige code uiteindelijk zou hebben gedaan in het geval van een betaling.

De daders vrezen nu financiële verliezen als gevolg van de decoderingstool. volgens een Rapport van beveiligingsonderzoeker Graham Cluley raadt de bende af om de decoderingstool te gebruiken. Het beweert dat het niet echt een enkele sleutel gebruikt en waarschuwt dat de tool de versleutelde bestanden mogelijk onomkeerbaar zou kunnen vernietigen. Gebruikers zouden dan “SpiderLabs aka ClownLabs” hiervoor moeten bedanken, concluderen de duidelijk pissige ransomwaremakers.

Helemaal correct (en belangrijk) is het advies dat Cluley op dit moment geeft om een ​​back-up te maken voordat je probeert te ontsleutelen. Want het is eigenlijk denkbaar dat forest.png of waarvan de inhoud in het verleden van tijd tot tijd is gewijzigd.

Als je dieper in de BlackByte-analyse wilt graven, bekijk dan de tweedelige technische blogpost van SpiderLab:


(ovw)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: