Az ingyenes megoldás, amely mattot adott a DarkBit zsarolóknak
2023-ban komoly kibertámadás érte az egyik vállalatot: VMware ESXi szervereit titkosították, áldozatul esve a DarkBit nevű zsarolóvírusnak. Az akció időzítése arra utalt, hogy az iráni Védelmi Minisztérium elleni dróntámadások megtorlásaként történt, mivel a zsarolók korábban Irán-barát hekkercsoportként tűntek fel, és antiizraeli üzenetekkel színesített zsarolólevelet hagytak maguk után. Követelésük 80 Bitcoin, azaz közel 18 millió forint volt.
Művelet a káosz és a hírnévrombolás jegyében
A támadók ezúttal nem is próbáltak tárgyalni az áldozattal, inkább az okozott leállásra és a nyilvánosságra került botrányra helyezték a hangsúlyt, ami tipikus az államilag támogatott hekkercsoportoknál. Az izraeli kibervédelmi szervek Irán államilag finanszírozott APT-támadóival hozták összefüggésbe az incidenst, akik rendszeresen hajtanak végre kiberkémkedési akciókat.
Hogyan törték fel a DarkBit-et?
A Profero szakemberei, mivel akkor még nem létezett működő visszafejtő program, maguk kezdtek el dolgozni a zsarolóvírus elemzésén. A DarkBit minden fájlhoz egyedi, futás közben generált AES-128-CBC kulcsot használt, amelyet RSA-2048 algoritmussal titkosítva tárolt a fájl végén. Kiderült azonban, hogy maga a kulcsgenerálás nagyon alacsony variációval működik, különösen, ha hozzáveszik a titkosítás időpontját, amit a fájl módosítási idejéből ki lehet következtetni. Így a lehetséges kulcsok száma csak néhány milliárd volt.
A VMDK (virtuális szerver) fájlok jól ismertek voltak a szakemberek előtt, mivel ezek fejléce mindig ugyanazokat a bájtokat tartalmazza. Ennek köszönhetően elég volt a lehetséges kulcsokkal ezt a 16 bájtot végigpróbálni, nem kellett az egész fájlt brute force módszerrel feltörni. Így egy nagy teljesítményű számítógépes környezetben sikerült visszafejtő kulcsokat találni.
A Profero csapat közben rájött, hogy a VMDK fájlok többsége „ritka”, vagyis tele vannak üres helyekkel – így a DarkBit által titkosított fájldarabok is főleg értéktelen, üres részeket fedtek le. Mivel a titkosítás csak véletlenszerű blokkokat érintett, és a rendszerfájlok jelentős része változatlan maradt, az értékes adatok nagy részét titkosítás nélkül, egyszerűen ki lehetett nyerni. Így a kulcsok visszafejtése nélkül is sikerült visszaállítani a fontos fájlokat.
A szakértők szerint a támadók jobban jártak volna, ha az adatok teljes megsemmisítését választják (adatmegsemmisítő – data wiper), mint zsarolóvírust használnak, hiszen a taktikájuk, hogy nem egyezkednek a váltságdíjról, végül a támadás kudarcához vezetett. Bár a DarkBit-hez készült visszafejtőt nem teszik nyilvánosan elérhetővé, a jövőbeni áldozatok segítséget kérhetnek a Proferótól.
2025, adrienne, www.bleepingcomputer.com alapján
filózó
Te mit gondolsz, etikailag elfogadható-e a hekkerek részéről az ilyen támadás?
Te a helyükben inkább megsemmisítetted volna az adatokat, vagy zsarolást választottál volna?
Véleményed szerint helyes, hogy a visszafejtő programokat nem teszik közzé nyilvánosan?
A Kongói Demokratikus Köztársaság és Uganda területén kitört ebola-járványt vasárnap nemzetközi jelentőségű egészségügyi vészhelyzetnek minősítette az Egészségügyi Világszervezet...
A Survivor – Görögország (Survivor Greece) forgatását azonnali hatállyal leállították, miután egy fiatal versenyző, Stavros Floros életveszélyes balesetet szenvedett...
A technológiai átalakulás új korszakát éljük, ahol a fejlett algoritmusok már nemcsak támogatják, hanem egyre inkább kiváltják azokat a szakértői feladatokat, amelyekben az embereknek fejlődniük kellene...
A GameSir G8+ MFi jelentős előrelépés a mobil játékvezérlők világában, amely a G8 Galileo bevált tulajdonságait vette alapul, majd szinte minden kritikus ponton továbbfejlesztette azt...
Kételyek merültek fel, hogy a nemrég megjelent, Mixtape című történetközpontú játék hamarosan eltűnhet a digitális boltokból a zeneszámok licencproblémái miatt...
Hihetetlen, de mégis igaz, hogy az Egyesült Államokban működő adatközpontok évente annyi áramot fogyasztanak, amellyel több mint 16 millió otthon energiaigényét lehetne fedezni...
Kenya elképesztő technológiai ugrásra készült, amikor májusban bejelentették a G42 és a Microsoft közös, 1 milliárd dolláros adatközpont-beruházását...
Csak három évvel a megjelenése után végleg eltűnik a digitális boltok polcairól a LEGO 2K Gyorsulás (LEGO 2K Drive), az a nyílt világú versenyjáték, ahol saját építésű járgányaiddal száguldozhatsz...
😐 Ez a jelenség jól illusztrálható azzal, hogy ha egy alkotó bármilyen megjegyzést tesz egy legendás játék folytatásáról, az internetes rajongók azonnal az új rész bejelentését vizionálják...
Mi fűzte össze ezt a napot? Alkotmányok 📜, háborúk ⚔️ és történelmi első alkalmak 🚆 formálták a világot: Norvégia alkotmánya, a Boshin-háború lezárása, a Watergate-ügy nyilvános szenátusi meghallgatásai és az első legális azonos nemű házasságok mind ide kötődnek...
💪 Ami kezdetben ártalmatlannak tűnt, az utóbbi években jelentősen megváltozott: világszerte milliók home office-ba kényszerültek, ami alaposan átrajzolta, mit várunk el az irodabútortól...
A közelmúltban egy tengerjáró hajón történt hantavírus-kitörés miatt jelenleg mintegy 150 utast figyelnek meg, illetve akár hathetes karanténba is helyeznek...
🕵 Egy 17. századi marylandi temető különös titkot rejtett: egy mindössze nyolcéves fiú földi maradványait találták meg, aki túlnyomórészt afrikai származású volt...
Az agyunk működése mögötti titkos összetevőkre újabb fény vetült: amerikai kutatók felfedezték, hogy a tartós szorongással élőknél kimutathatóan kevesebb található egy létfontosságú agyi tápanyagból, amelyet az emberek többsége amúgy is hiányosan visz be...
💰 Az új Gmail-fiókok tulajdonosai néhány országban kellemetlen meglepetéssel szembesülnek: a megszokott 15 GB ingyenes tárhely helyett kezdetben csak 5 GB-ot kapnak...
🤒 Az öregedéssel és krónikus betegségekkel kapcsolatban egészen új tényezőt fedeztek fel a kutatók: a bélben képződő parányi részecskék, úgynevezett exoszómák is kulcsszerepet játszhatnak a szervezet gyulladásos folyamataiban...
A Metroid Dread fejlesztőjeként ismert MercurySteam komoly változások elé néz: a stúdió kénytelen volt elbocsátásokat bejelenteni, miközben legújabb akciójátékuk, a God of War-hangulatú Blades of Fire végre Steamen is elérhetővé vált...
Több mint 1600 kilométerrel Ecuador partjaitól nyugatra, a Csendes-óceán mélyén található Gofar-törésvonal már legalább harminc éve szinte óraműpontossággal produkál nagy, 6-os erősségű földrengéseket...
