Según el proveedor de antivirus Avast, las organizaciones encargadas de hacer cumplir la ley han estado compartiendo claves de descifrado con las víctimas del ransomware DoNex desde marzo de 2024. En una publicación de blog publicada el 8 de julio, el equipo de investigación de amenazas de Avast dijo que había proporcionado silenciosamente el descifrador a las víctimas del ransomware DoNex después de descubrir una falla en el esquema criptográfico del malware y sus predecesores. «La debilidad criptográfica se hizo pública en Recon 2024 y, por lo tanto, no tenemos motivos para mantener este secreto por más tiempo», escribieron los investigadores. ¿Qué es el ransomware DoNex? La primera muestra de lo que ahora se llama DoNex apareció en abril de 2022 como ransomware Muse. Cambió su nombre a LockBit 3.0 en noviembre de 2022, aunque en realidad no estaba vinculado a la cepa de ransomware LockBit. En mayo de 2023, cambió de marca nuevamente, esta vez bajo el nombre de DarkRace, antes del último cambio de marca a DoNex en marzo de 2024. Un aviso de seguridad de Symantec, propiedad de Broadcom, de marzo de 2024 dijo que el grupo detrás de DoNex había reclamado empresas, incluidas las estadounidenses y europeas, como víctimas en su sitio web TOR. Avast dice que los objetivos del grupo están principalmente en Estados Unidos, Italia y Bélgica. «Desde abril de 2024, DoNex parece haber detenido su evolución, ya que no hemos detectado nuevas muestras desde entonces. Además, el sitio TOR del ransomware ha estado inactivo desde ese momento», escribieron los investigadores. Dentro de la configuración del ransomware DoNex Las muestras del ransomware DoNex y sus versiones anteriores se cifran utilizando un cifrado XOR, un algoritmo de cifrado estándar. Durante la ejecución del ransomware, la función ‘CryptGenRandom()’ genera una clave de cifrado y luego se utiliza para inicializar la clave simétrica ChaCha20 y cifrar archivos. Una vez cifrado un archivo, la clave simétrica del archivo se cifra mediante RSA-4096 y se añade al final del archivo. Los archivos se seleccionan por su extensión, que se enumera en la configuración XML del ransomware. Los archivos pequeños (de hasta 1 MB) se cifran por completo, mientras que para los más grandes (de más de 1 MB) se utiliza un cifrado intermitente. Esto significa que el archivo se divide en bloques, que se cifran por separado. El ransomware también contiene configuraciones de extensiones y archivos incluidos en la lista blanca, así como solicitudes para eliminar servicios específicos. Para identificar si han sido atacados por operadores de DoNex, Avast recomendó observar el diseño de la nota de rescate, ya que las notas de DoNex y las de las marcas asociadas son similares.