Investigadores de la firma de ciberseguridad Profero Cracked Darkbit Ransomware Cifryption, lo que permite a las víctimas recuperar archivos de forma gratuita. Buenas noticias para las víctimas del ransomware Darkbit, los investigadores de la firma de ciberseguridad Profero crujieron el proceso de cifrado, permitiendo a las víctimas recuperar archivos gratis sin pagar el rescate. Sin embargo, en este momento, la compañía aún no ha lanzado al descifrador. La Dirección Nacional Cibernética de Israel vinculó la operación de ransomware Darkbit con el actor de Irán-Nexus Actor Muddywater Apt Group. En 2023, Profero respondió a un ataque de ransomware Darkbit que cifra múltiples servidores VMware ESXi, sospechosos de represalia por huelgas de drones iraníes. Los atacantes no negociaron el rescate, centrándose en la interrupción operativa y una campaña de influencia para dañar la reputación de la víctima. El grupo, que se hacía pasar por los hacktivistas pro-iran, había atacado previamente instituciones israelíes. En este caso, exigieron 80 bitcoin e incluyeron mensajes anti-Israel en notas de rescate, pero ProRero rompió el cifrado, permitiendo la recuperación de archivos gratuitos. Durante el análisis del ransomware Darkbit, los investigadores de Profero encontraron que su método de generación de claves AES-128-CBC produjo claves débiles y predecibles. Utilizando marcas de tiempo de archivo y encabezados VMDK conocidos, redujeron el espacio de claves a miles de millones de posibilidades, lo que permite el force de bruto eficiente. «Hicimos uso de un arnés de ruptura de clave AES-128-CBC para probar si nuestra teoría era correcta, así como un descriptor que tomaría un VMDK cifrado y un par clave y IV como entrada para producir el archivo no entrelazado. El arnés se ejecutaba en un entorno de alto rendimiento, lo que nos permite acelerar la tarea lo más rápido posible, y después de un día de bruto force, ¡fuimos exitosos!» Lee el informe publicado por los expertos. «Habíamos demostrado que era posible y obtuvimos la clave. Luego continuamos con la fuerza bruta de otro VMDK, pero este método no era escalable por dos razones: cada archivo VMDK nos llevaría un día para descifrar el arnés se encuentra en un entorno de HPC y es limitado en la capacidad de escala. Profero creó una herramienta para probar todas las semillas posibles y generar pares clave y IV, y combinarlas con encabezados VMDK. Este proceso les permitió recuperar las claves de descifrado. También aprovecharon la escasez de archivos VMDK, donde las grandes partes de contenido permanecieron sin cifrar debido al cifrado parcial por el ransomware, para recuperar la mayoría de los archivos necesarios directamente, sin pasar por el descifrado de la fuerza bruta durante gran parte de los datos. «Los archivos VMDK son escasos, lo que significa que están en su mayoría vacíos y, por lo tanto, los fragmentos encriptados por el ransomware en cada archivo también están en su mayoría vacíos. Estadísticamente, la mayoría de los archivos contenidos en los sistemas de archivos VMDK no se encriptarán, y la mayoría de los archivos dentro de estos sistemas de archivos no eran relevantes para nosotros/ nuestra tarea/ nuestra investigación». concluye los expertos. «Entonces, nos dimos cuenta de que podíamos caminar el sistema de archivos para extraer lo que quedaba de los sistemas de archivos VMDK internos … ¡y funcionó! La mayoría de los archivos que necesitábamos simplemente podían recuperarse sin descifrado». Sígueme en Twitter: @SecurityAffairs y Facebook y Mastodon Pierluigi Paganini (SecurityAffairs-Hacking, Ransomware) Post original URL: https://securityaffairs.com/181064/malware/researchers-cracked-the-rrycrycryttttip–by-darkbit-ranso Noticias, malware, ransomware Darkbit, piratería, piratería, noticias de seguridad de la información, Irán, seguridad de la información de TI, malware, Muddywater, Pierluigi Paganini, Asuntos de Seguridad, Noticias de seguridad – APT, Breaking News, Malware, Darkbit Ransomware, Hacking, Hacking Security Security, Iran, IT Security, Malware, Muddywater, Pierluigi Paganini, Paganini, Afios de seguridad de seguridad, Security News, News Security News, News, News, News, News, News, Muddywater, Pierluigi Paganini, Paganini, Afios de seguridad de seguridad, Security News, News, News, News, News, Muddywater, Pierluigi Paganini, Paganini, Afios de seguridad de seguridad, Security