Ερευνητές ασφαλείας από την εταιρεία EclecticIQ αξιοποίησαν μια ευπάθεια στο σύστημα κρυπτογράφησης του ransomware Key Group και κατάφεραν να δημιουργήσουν ένα εργαλείο αποκρυπτογράφησης που επιτρέπει σε ορισμένα θύματα να ανακτήσουν τα αρχεία τους δωρεάν. Το εργαλείο λειτουργεί για εκδόσεις του ransomware που δημιουργήθηκαν στις αρχές Αυγούστου.
Οι εισβολείς ισχυρίστηκαν ότι το κακόβουλο λογισμικό τους χρησιμοποιούσε “military-grade AES encryption“, αλλά το locker χρησιμοποιεί static salt σε όλες τις διαδικασίες κρυπτογράφησης. Έτσι, το encryption scheme ήταν κάπως προβλέψιμο για τους ερευνητές και έδινε τη δυνατότητα για αντιστροφή της κρυπτογράφησης.
“Το Key Group Ransomware κρυπτογραφεί τα δεδομένα των θυμάτων χρησιμοποιώντας τον αλγόριθμο AES στο Cipher Block Chaining (CBC) mode με ένα δεδομένο static password“, εξηγεί η EclecticIQ.
“Ο κωδικός πρόσβασης προέρχεται από ένα key που χρησιμοποιεί το Password-Based Key Derivation Function 2 (PBKDF2) με ένα fixed salt“, αναφέρουν οι ερευνητές.
Δείτε επίσης: Trojanized Signal και Telegram apps μόλυναν χρήστες με το BadBazaar spyware
Key Group ransomware
Η Key Group είναι μια ρωσική hacking ομάδα που ξεκίνησε τις δραστηριότητές της στις αρχές του 2023. Έχει επιτεθεί σε διάφορους οργανισμούς και έχει κλέψει δεδομένα από παραβιασμένα συστήματα. Στη συνέχεια, οι hackers χρησιμοποιούν ιδιωτικά κανάλια Telegram για να διαπραγματευτούν για τα λύτρα.
Η ρωσική εταιρεία BI.ZONE ανέφερε προηγουμένως ότι η συμμορία Key Group έχει βασίσει το ransomware της στο Chaos 4.0 builder. Η EclecticIQ έχει δει την ομάδα να πωλεί σε ρωσόφωνες darknet αγορές κλεμμένα δεδομένα και κάρτες SIM, καθώς και να μοιράζεται δεδομένα doxing και απομακρυσμένη πρόσβαση σε κάμερες IP.
Όσον αφορά στον τρόπο λειτουργίας του ransomware, το Key Group διαγράφει τα αρχικά αρχεία από το σύστημα του θύματος, μετά τη διαδικασία κρυπτογράφησης, και εφαρμόζει την επέκταση αρχείου .KEYGROUP777TG στα κρυπτογραφημένα αρχεία.
Δείτε επίσης: Η νέα ομάδα ransomware Ransomed χρησιμοποιεί μια νέα τακτική εκβιασμού
Επιπλέον, οι εισβολείς χρησιμοποιούν Windows living-off-the-land binaries, τα λεγόμενα LOLBins, για να διαγράψουν Volume Shadow copies, ώστε να μην μπορούν οι χρήστες να ανακτήσουν τα δεδομένα τους χωρίς να πληρώσουν λύτρα.
Επιπλέον, το κακόβουλο λογισμικό αλλάζει τα host addresses των προϊόντων προστασίας από ιούς που εκτελούνται στο σύστημα, ώστε να μην μπορούν να λάβουν νέες ενημερώσεις.
Key Group ransomware: Εργαλείο αποκρυπτογράφησης
Το εργαλείο αποκρυπτογράφησης της EclecticIQ είναι ένα Python script. Οι χρήστες μπορούν να το αποθηκεύσουν ως αρχείο Python και στη συνέχεια να το εκτελέσουν χρησιμοποιώντας την ακόλουθη εντολή:
python decryptor.py /path/to/search/directory
Το script θα πραγματοποιήσει αναζήτηση στον κατάλογο στόχο και στα subdirectories του για αρχεία με την επέκταση .KEYGROUP777TG. Στη συνέχεια, θα τα αποκρυπτογραφήσει και θα αποθηκεύσει το περιεχόμενο με το αρχικό όνομα αρχείου. Αξίζει να σημειωθεί ότι απαιτούνται ορισμένα Python libraries, ειδικά το cryptography package.
Πριν τη χρήση του εργαλείου αποκρυπτογράφησης για το Key Group ransomware, είναι καλό να δημιουργήσετε αντίγραφα ασφαλείας των (κρυπτογραφημένων) δεδομένων σας, καθώς η διαδικασία μπορεί να οδηγήσει σε καταστροφή δεδομένων και μόνιμη απώλειά τους.
Δείτε επίσης: Επίθεση ransomware πλήττει την οργάνωση Ohio History Connection
Η κυκλοφορία αυτού του εργαλείου μπορεί να κάνει τη συμμορία Key Group να αντιμετωπίσει τα τρωτά σημεία στο ransomware της, ώστε να δημιουργήσει πιο ανθεκτικές εκδόσεις του κακόβουλου λογισμικού της. Όπως και να έχει όμως, τα άτομα που έχουν επηρεαστεί από τις τρέχουσες εκδόσεις του ransomware, μπορούν να ανακτήσουν τα δεδομένα τους δωρεάν.
Ωστόσο, είναι σημαντικό να υπενθυμίσουμε τη σημασία των προληπτικών μέτρων ασφαλείας και των διαρκών ενημερώσεων για την προστασία από κακόβουλα λογισμικά. Πρώτα απ’ όλα, χρησιμοποιήστε ενημερωμένο λογισμικό ασφαλείας που περιλαμβάνει προστασία από ransomware. Δεύτερον, δημιουργήστε τακτικά αντίγραφα ασφαλείας των σημαντικών δεδομένων σας σε εξωτερικούς σκληρούς δίσκους ή στο cloud. Τρίτον, προσέξτε τα ψηφιακά σας ίχνη, μην ανοίγετε ύποπτα συνημμένα και μην κάνετε κλικ σε μη αξιόπιστους συνδέσμους. Τέλος, ενημερωθείτε για τις νέες απειλές, ώστε να μπορείτε να τις αναγνωρίζετε και να τις αποφεύγετε.
Πηγή: www.bleepingcomputer.com
