.
Até mesmo os operadores de ransomware cometem erros e, no caso da gangue de ransomware Key Group, um erro criptográfico permitiu que uma equipe de pesquisadores de segurança desenvolvesse e lançasse uma ferramenta de descriptografia para restaurar arquivos embaralhados.
O descriptografador funciona apenas em uma versão específica do ransomware construída por volta de 3 de agosto, de acordo com o provedor de informações sobre ameaças ElectricIQ, que detectou os erros dos criminosos e os explorou para desenvolver a ferramenta de restauração baseada em Python.
Está disponível gratuitamente: ElectricIQ publicou o script Python na quinta-feira em um relatório sobre a gangue de língua russa. Confira a detalhese role para baixo até o Apêndice A para ver o script inteligente.
Se você for uma vítima de ransomware do Key Group, sugerimos que você analise o que foi dito acima em breve, caso a gangue descubra a ferramenta de descriptografia e reescreva seu malware de acordo – ou muda seu modelo de negócios completamente.
“O ransomware Key Group usa criptografia AES, implementada em C#, usando a classe RijndaelManaged, que é um algoritmo de criptografia simétrica”, escreveu Arda Büyükkaya, pesquisadora do ElectricIQ.
Ele criptografa os dados das vítimas usando AES no modo CBC usando uma chave derivada de uma senha fixa e salt fixo, disse Büyükkaya. E foi aí que a turma estragou tudo, nos disseram: aquele sal fixo com senha fixa. Isso torna bastante trivial escrever uma rotina de descriptografia para os arquivos ransomwared, pois você conhece todos os segredos necessários para reverter a criptografia.
“O ransomware usa a mesma chave AES estática e vetor de inicialização (IV) para criptografar recursivamente os dados da vítima e alterar o nome dos arquivos criptografados com a extensão keygroup777tg”, disse Büyükkaya.
Essa chave de criptografia estática, juntamente com “múltiplos erros criptográficos”, permitiu à ElectricIQ fazer engenharia reversa do malware e desenvolver um descriptografador para esta versão específica.
Apesar de seus erros, a gangue ainda acredita que está usando um “algoritmo de criptografia de nível militar” e tem dito às vítimas que elas não têm outra opção a não ser pagar o pedido de resgate se quiserem restaurar seus dados. Tal é PR.
A equipe de inteligência sobre ameaças também descreve o Key Group, que só existe desde janeiro, como um “ator de ameaça pouco sofisticado”, o que é bastante contundente.
Além do canal público do Telegram da gangue, que é usado para negociar pagamentos de resgate, os analistas da ElectricIQ dizem que também viram o Key Group usar um canal privado do Telegram para vender e compartilhar cartões SIM, doxing de dados e acesso remoto a servidores de câmeras IP. ®
.
