Το ransomware μπορεί να είναι ένα από τα πιο καταστροφικά συμβάντα ασφαλείας για έναν οργανισμό, αφού μπορεί να σταματήσει τις λειτουργίες και να προκαλέσει σημαντικό οικονομικό και συναισθηματικό στρες. Εάν τα αντίγραφα ασφαλείας δεν είναι διαθέσιμα ή έχουν παραβιαστεί, ένας επηρεασμένος οργανισμός ενδέχεται να μην έχει άλλη επιλογή από το να εξετάσει το ενδεχόμενο να πληρώσει τα λύτρα για να ανακτήσει τα δεδομένα του. Η κατάσταση επιδεινώνεται εάν το πρόγραμμα αποκρυπτογράφησης που πληρώσατε είναι ελαττωματικό ή εάν παρέχεται λάθος κλειδί, όπως στην πρόσφατη περίπτωση του Hazard Ransomware. Η GuidePoint Security συμβουλεύει ανεπιφύλακτα τη δημιουργία αντιγράφων ασφαλείας κρυπτογραφημένων δεδομένων πριν από την έναρξη της διαδικασίας αποκρυπτογράφησης. Αν και μπορεί να φαίνεται περίεργο, αυτό το μέτρο προφύλαξης βοηθά στην αποφυγή μη αναστρέψιμης απώλειας δεδομένων εάν προκύψουν προβλήματα κατά την αποκρυπτογράφηση.

Δείτε επίσης: NoName ransomware: “Συνεργασία” με την ομάδα RansomHub;

Η GuidePoint αναφέρει την περίπτωση ενός αναξιόπιστου αποκρυπτογραφητή, που σχετίζεται με το Hazard Ransomware. Σε αυτήν την περίπτωση, ο χάκερ παρείχε έναν αποκρυπτογραφητή που δεν ήταν σε θέση να αποκρυπτογραφήσει σωστά όλα τα αρχεία του θύματος λόγω ενός ελαττώματος στο πρόγραμμα κρυπτογράφησης ransomware. Αυτό το ελάττωμα εκδηλώθηκε όταν δύο κρυπτογραφήσεις εκτελέστηκαν μέσα σε δευτερόλεπτα η μία μετά την άλλη στο ίδιο σύστημα — Με άλλα λόγια, ο κρυπτογραφητής ήταν ελαττωματικός.

Hazard Encryptor

Όταν εκτελέστηκε το Hazard Ransomware, χρειάστηκαν τέσσερα σημαντικά βήματα για την κρυπτογράφηση των αρχείων:

  1. Προσδιορισμός του στοχευμένου αρχείου με βάση την επέκταση αρχείου
  2. Κρυπτογράφηση καθορισμένων τμημάτων δεδομένων εντός στοχευμένου αρχείου
  3. Προσθήκη ένας υποσέλιδου δεδομένων με την τιμή προετοιμασίας κρυπτογράφησης (IV)[2]
  4. Μετονομασία του αρχείου με την επέκταση αρχείου ransomware

Κατά την εκτέλεση του κρυπτογραφητή, ένα σύντομο παράθυρο μεταξύ των βημάτων δύο και τέσσερα επέτρεψε σε έναν δεύτερο κρυπτογραφητή να κρυπτογραφήσει εκ νέου το αρχείο πριν από την αλλαγή του ονόματος αρχείου. Ήταν προφανές ότι αυτό το σενάριο δεν αναμενόταν από τον προγραμματιστή του ransomware, καθώς είχε επίσης ως αποτέλεσμα να λείπουν bytes στο κομμάτι δεδομένων που αναφέρθηκε στο τρίτο βήμα.

Δείτε ακόμα: Το Λύκειο Charles Darwin έκλεισε μετά από επίθεση Ransomware

Η σωστή δομή του υποσέλιδου ενός κρυπτογραφημένου αρχείου Hazard αναλύεται σε τρεις ενότητες:

  • Αναγνωριστικό συμβολοσειράς 768 byte
  • Τιμή επαλήθευσης κατακερματισμού 32 byte – Σε κόκκινο χρώμα
  • Διάνυσμα εκκίνησης 16 byte (IV) – Σε μπλε

Το σχήμα 1 περιέχει ένα παράδειγμα ενός έγκυρου υποσέλιδου κρυπτογραφημένου αρχείου, όπου το IV περιέχει 16 byte δεδομένων.

Το Σχήμα 2 περιέχει ένα παράδειγμα μη έγκυρου υποσέλιδου κρυπτογραφημένου αρχείου, όπου το IV ήταν κατεστραμμένο λόγω πολλαπλών κρυπτογραφητών που εκτελούνται ταυτόχρονα. Ενώ η τιμή επαλήθευσης κατακερματισμού εξακολουθεί να είναι τα σωστά 32 byte, στο IV λείπουν τα τελευταία τρία byte δεδομένων.

Παρά το γεγονός ότι περιείχε μόνο 13 byte για το IV, το πρόγραμμα αποκρυπτογράφησης απαιτούσε ακόμα τα πλήρη 16 byte για τη σωστή αποκρυπτογράφηση των δεδομένων. Δεδομένου ότι αυτή η τιμή δημιουργήθηκε τυχαία από τον κρυπτογραφητή, ήταν αδύνατο να προβλεφθεί η τιμή των byte που λείπουν. Ο αριθμός των byte που λείπουν στο IV αντιπροσωπεύει 256X πιθανές τιμές, όπου X είναι ο αριθμός των byte που λείπουν.

Λύση

Αφού εντόπισε τη βασική αιτία της αποτυχίας αποκρυπτογράφησης, το GuidePoint προσπάθησε να επικοινωνήσει με τον χάκερ του Hazard Ransomware για να δει εάν θα μπορούσε να παρέχει βοήθεια. Ωστόσο, είτε λόγω γλωσσικού φραγμού είτε λόγω τεχνικού κενού, η «τεχνική του υποστήριξη» φαινόταν ανίκανη να κατανοήσει το πρόβλημα. Αντίθετα, ο χάκερ απλώς παρείχε μια μετονομασμένη έκδοση ενός προηγουμένως παρεχόμενου αποκρυπτογραφητή και αγνόησε τις επακόλουθες ερωτήσεις.

Δείτε επίσης: SonicWall: Κρίσιμη ευπάθεια χρησιμοποιείται από ransomware συμμορίες

Ωστόσο, λόγω της σημασίας των αρχείων που ήταν κρυπτογραφημένα, το GuidePoint μπόρεσε να εφαρμόσει μια λύση για την ανάκτηση του κατεστραμμένου κρυπτογραφημένου αρχείου. Επιδιορθώνοντας το δυαδικό αρχείο αποκρυπτογράφησης, το GuidePoint μπόρεσε να εξαναγκάσει όλα τα πιθανά byte που απομένουν στο IV μέχρι να βρεθεί η έγκυρη τιμή, με αποτέλεσμα ένα αποκρυπτογραφημένο αρχείο. Επρόκειτο για 16.777.216 πιθανές τιμές.

Η CISA προσφέρει έναν εξαιρετικό οδηγό για την πρόληψη επιθέσεων ransomware και την ασφάλεια των αντιγράφων ασφαλείας, που διατίθεται εδώ.

Πηγή: securityboulevard