Az ingyenes megoldás, amely mattot adott a DarkBit zsarolóknak

2023-ban komoly kibertámadás érte az egyik vállalatot: VMware ESXi szervereit titkosították, áldozatul esve a DarkBit nevű zsarolóvírusnak. Az akció időzítése arra utalt, hogy az iráni Védelmi Minisztérium elleni dróntámadások megtorlásaként történt, mivel a zsarolók korábban Irán-barát hekkercsoportként tűntek fel, és antiizraeli üzenetekkel színesített zsarolólevelet hagytak maguk után. Követelésük 80 Bitcoin, azaz közel 18 millió forint volt.

Művelet a káosz és a hírnévrombolás jegyében

A támadók ezúttal nem is próbáltak tárgyalni az áldozattal, inkább az okozott leállásra és a nyilvánosságra került botrányra helyezték a hangsúlyt, ami tipikus az államilag támogatott hekkercsoportoknál. Az izraeli kibervédelmi szervek Irán államilag finanszírozott APT-támadóival hozták összefüggésbe az incidenst, akik rendszeresen hajtanak végre kiberkémkedési akciókat.

Hogyan törték fel a DarkBit-et?

A Profero szakemberei, mivel akkor még nem létezett működő visszafejtő program, maguk kezdtek el dolgozni a zsarolóvírus elemzésén. A DarkBit minden fájlhoz egyedi, futás közben generált AES-128-CBC kulcsot használt, amelyet RSA-2048 algoritmussal titkosítva tárolt a fájl végén. Kiderült azonban, hogy maga a kulcsgenerálás nagyon alacsony variációval működik, különösen, ha hozzáveszik a titkosítás időpontját, amit a fájl módosítási idejéből ki lehet következtetni. Így a lehetséges kulcsok száma csak néhány milliárd volt.

A VMDK (virtuális szerver) fájlok jól ismertek voltak a szakemberek előtt, mivel ezek fejléce mindig ugyanazokat a bájtokat tartalmazza. Ennek köszönhetően elég volt a lehetséges kulcsokkal ezt a 16 bájtot végigpróbálni, nem kellett az egész fájlt brute force módszerrel feltörni. Így egy nagy teljesítményű számítógépes környezetben sikerült visszafejtő kulcsokat találni.

Az üres helyek mentették meg az adatokat

A Profero csapat közben rájött, hogy a VMDK fájlok többsége „ritka”, vagyis tele vannak üres helyekkel – így a DarkBit által titkosított fájldarabok is főleg értéktelen, üres részeket fedtek le. Mivel a titkosítás csak véletlenszerű blokkokat érintett, és a rendszerfájlok jelentős része változatlan maradt, az értékes adatok nagy részét titkosítás nélkül, egyszerűen ki lehetett nyerni. Így a kulcsok visszafejtése nélkül is sikerült visszaállítani a fontos fájlokat.

A szakértők szerint a támadók jobban jártak volna, ha az adatok teljes megsemmisítését választják (adatmegsemmisítő – data wiper), mint zsarolóvírust használnak, hiszen a taktikájuk, hogy nem egyezkednek a váltságdíjról, végül a támadás kudarcához vezetett. Bár a DarkBit-hez készült visszafejtőt nem teszik nyilvánosan elérhetővé, a jövőbeni áldozatok segítséget kérhetnek a Proferótól.

2025, adrienne, www.bleepingcomputer.com alapján

Share on Social Media