Hazard Ransomware: Η ιστορία μιας αποτυχημένης αποκρυπτογράφησης

Το ransomware μπορεί να είναι ένα από τα πιο καταστροφικά συμβάντα ασφαλείας για έναν οργανισμό, αφού μπορεί να σταματήσει τις λειτουργίες και να προκαλέσει σημαντικό οικονομικό και συναισθηματικό στρες. Εάν τα αντίγραφα ασφαλείας δεν είναι διαθέσιμα ή έχουν παραβιαστεί, ένας επηρεασμένος οργανισμός ενδέχεται να μην έχει άλλη επιλογή από το να εξετάσει το ενδεχόμενο να πληρώσει τα λύτρα για να ανακτήσει τα δεδομένα του. Η κατάσταση επιδεινώνεται εάν το πρόγραμμα αποκρυπτογράφησης που πληρώσατε είναι ελαττωματικό ή εάν παρέχεται λάθος κλειδί, όπως στην πρόσφατη περίπτωση του Hazard Ransomware. Η GuidePoint Security συμβουλεύει ανεπιφύλακτα τη δημιουργία αντιγράφων ασφαλείας κρυπτογραφημένων δεδομένων πριν από την έναρξη της διαδικασίας αποκρυπτογράφησης. Αν και μπορεί να φαίνεται περίεργο, αυτό το μέτρο προφύλαξης βοηθά στην αποφυγή μη αναστρέψιμης απώλειας δεδομένων εάν προκύψουν προβλήματα κατά την αποκρυπτογράφηση.

Δείτε επίσης: NoName ransomware: “Συνεργασία” με την ομάδα RansomHub;

Η GuidePoint αναφέρει την περίπτωση ενός αναξιόπιστου αποκρυπτογραφητή, που σχετίζεται με το Hazard Ransomware. Σε αυτήν την περίπτωση, ο χάκερ παρείχε έναν αποκρυπτογραφητή που δεν ήταν σε θέση να αποκρυπτογραφήσει σωστά όλα τα αρχεία του θύματος λόγω ενός ελαττώματος στο πρόγραμμα κρυπτογράφησης ransomware. Αυτό το ελάττωμα εκδηλώθηκε όταν δύο κρυπτογραφήσεις εκτελέστηκαν μέσα σε δευτερόλεπτα η μία μετά την άλλη στο ίδιο σύστημα — Με άλλα λόγια, ο κρυπτογραφητής ήταν ελαττωματικός.

Hazard Encryptor

Όταν εκτελέστηκε το Hazard Ransomware, χρειάστηκαν τέσσερα σημαντικά βήματα για την κρυπτογράφηση των αρχείων:

Το DOJ κατηγορεί Κινέζο για spear phishing κατά της NASA. Το Υπουργείο Δικαιοσύνης κατήγγειλε έναν Κινέζο υπήκοο για spear phishing σε διάφορες αεροπορικές υπηρεσίες της κυβέρνησης των ΗΠΑ, προκειμένου να κλέψει λογισμικό και κώδικα που δημιουργήθηκαν από την Εθνική Υπηρεσία Αεροναυτικής και Διαστήματος (NASA) και άλλους.

00:00 Εισαγωγή
00:21 Ο Song Wu αντιμετωπίζει φυλάκιση
00:45 Εκστρατεία spear phishing
01:26 Σημαντικό λογισμικό

Μάθετε περισσότερα: https://www.secnews.gr/619482/doj-katigorei-kinezo-spear-phishing-kata-nasa/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LnR2TDlfd0ZZcHJR

Το DOJ κατηγορεί Κινέζο για spear phishing κατά της NASA

SecNewsTV 22 minutes ago

#secnews #jameswebb #blackhole #galaxy

Το διαστημικό τηλεσκόπιο James Webb (JWST) της NASA εντόπισε μια τεράστια μαύρη τρύπα που "σκοτώνει" τον γαλαξία που την φιλοξενεί.

Η γιγαντιαία μαύρη τρύπα, που μελέτησε το James Webb, βρίσκεται σχεδόν 12 δισεκατομμύρια έτη φωτός μακριά από τη Γη, στο κέντρο του GS-10578, γνωστού και ως «Pablo's Galaxy». Σύμφωνα με τους αστρονόμους, αυτή η τρύπα είναι 200 δισεκατομμύριο φορές μεγαλύτερη από τον Ήλιο σε μάζα.

Μάθετε περισσότερα: https://www.secnews.gr/619440/james-webb-terastia-mauri-tripa-skotonei-galaxia/

00:00 Εισαγωγή
00:17 Νεκρός γαλαξίας
00:46 James Webb - μαύρη τρύπα
02:03 Σημασία ευρήματος

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3Lm5YUGlXdndweXhv

James Webb Telescope: Μαύρη τρύπα "σκοτώνει" το γαλαξία της

SecNewsTV 4 hours ago

Ένα φεγγάρι που εξαφανίστηκε ίσως διαμόρφωσε τον Άρη. Ένα φεγγάρι που εξαφανίστηκε θα μπορούσε να εξηγήσει γιατί ο Άρης είναι τόσο διαφορετικός από τους άλλους βραχώδεις πλανήτες του ηλιακού μας συστήματος. Σήμερα, ο Άρης έχει δύο μικροσκοπικά φεγγάρια. Αλλά νωρίς στην ιστορία του, ο Κόκκινος Πλανήτης μπορεί να είχε ένα πολύ μεγαλύτερο φεγγάρι, το οποίο μπορεί να ευθύνεται για το περίεργο σχήμα και το ακραίο έδαφός του, προτείνει ο Michael Efroimsky, αστρονόμος στο Ναυτικό Παρατηρητήριο των ΗΠΑ στην Ουάσιγκτον.

00:00 Εισαγωγή
00:19 Μεγαλύτερο φεγγάρι
01:09 Πώς άλλαξε το σχήμα του Άρη
01:35 Πώς εξαφανίστηκε ο Nerio
01:52 Απλώς μια υπόθεση

Μάθετε περισσότερα: https://www.secnews.gr/619125/ena-feggari-pou-eksafanistike-diamorfose-planiti-ari/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3Li1JaXRiYVF3ZzFV

Ένα φεγγάρι που εξαφανίστηκε ίσως διαμόρφωσε τον Άρη

SecNewsTV 21 hours ago

Load More... Subscribe

1. Προσδιορισμός του στοχευμένου αρχείου με βάση την επέκταση αρχείου
2. Κρυπτογράφηση καθορισμένων τμημάτων δεδομένων εντός στοχευμένου αρχείου
3. Προσθήκη ένας υποσέλιδου δεδομένων με την τιμή προετοιμασίας κρυπτογράφησης (IV)[2]
4. Μετονομασία του αρχείου με την επέκταση αρχείου ransomware

Κατά την εκτέλεση του κρυπτογραφητή, ένα σύντομο παράθυρο μεταξύ των βημάτων δύο και τέσσερα επέτρεψε σε έναν δεύτερο κρυπτογραφητή να κρυπτογραφήσει εκ νέου το αρχείο πριν από την αλλαγή του ονόματος αρχείου. Ήταν προφανές ότι αυτό το σενάριο δεν αναμενόταν από τον προγραμματιστή του ransomware, καθώς είχε επίσης ως αποτέλεσμα να λείπουν bytes στο κομμάτι δεδομένων που αναφέρθηκε στο τρίτο βήμα.

Δείτε ακόμα: Το Λύκειο Charles Darwin έκλεισε μετά από επίθεση Ransomware

Η σωστή δομή του υποσέλιδου ενός κρυπτογραφημένου αρχείου Hazard αναλύεται σε τρεις ενότητες:

• Αναγνωριστικό συμβολοσειράς 768 byte
• Τιμή επαλήθευσης κατακερματισμού 32 byte – Σε κόκκινο χρώμα
• Διάνυσμα εκκίνησης 16 byte (IV) – Σε μπλε

Το σχήμα 1 περιέχει ένα παράδειγμα ενός έγκυρου υποσέλιδου κρυπτογραφημένου αρχείου, όπου το IV περιέχει 16 byte δεδομένων.

Το Σχήμα 2 περιέχει ένα παράδειγμα μη έγκυρου υποσέλιδου κρυπτογραφημένου αρχείου, όπου το IV ήταν κατεστραμμένο λόγω πολλαπλών κρυπτογραφητών που εκτελούνται ταυτόχρονα. Ενώ η τιμή επαλήθευσης κατακερματισμού εξακολουθεί να είναι τα σωστά 32 byte, στο IV λείπουν τα τελευταία τρία byte δεδομένων.

Παρά το γεγονός ότι περιείχε μόνο 13 byte για το IV, το πρόγραμμα αποκρυπτογράφησης απαιτούσε ακόμα τα πλήρη 16 byte για τη σωστή αποκρυπτογράφηση των δεδομένων. Δεδομένου ότι αυτή η τιμή δημιουργήθηκε τυχαία από τον κρυπτογραφητή, ήταν αδύνατο να προβλεφθεί η τιμή των byte που λείπουν. Ο αριθμός των byte που λείπουν στο IV αντιπροσωπεύει 256X πιθανές τιμές, όπου X είναι ο αριθμός των byte που λείπουν.

Λύση

Αφού εντόπισε τη βασική αιτία της αποτυχίας αποκρυπτογράφησης, το GuidePoint προσπάθησε να επικοινωνήσει με τον χάκερ του Hazard Ransomware για να δει εάν θα μπορούσε να παρέχει βοήθεια. Ωστόσο, είτε λόγω γλωσσικού φραγμού είτε λόγω τεχνικού κενού, η «τεχνική του υποστήριξη» φαινόταν ανίκανη να κατανοήσει το πρόβλημα. Αντίθετα, ο χάκερ απλώς παρείχε μια μετονομασμένη έκδοση ενός προηγουμένως παρεχόμενου αποκρυπτογραφητή και αγνόησε τις επακόλουθες ερωτήσεις.

Δείτε επίσης: SonicWall: Κρίσιμη ευπάθεια χρησιμοποιείται από ransomware συμμορίες

Ωστόσο, λόγω της σημασίας των αρχείων που ήταν κρυπτογραφημένα, το GuidePoint μπόρεσε να εφαρμόσει μια λύση για την ανάκτηση του κατεστραμμένου κρυπτογραφημένου αρχείου. Επιδιορθώνοντας το δυαδικό αρχείο αποκρυπτογράφησης, το GuidePoint μπόρεσε να εξαναγκάσει όλα τα πιθανά byte που απομένουν στο IV μέχρι να βρεθεί η έγκυρη τιμή, με αποτέλεσμα ένα αποκρυπτογραφημένο αρχείο. Επρόκειτο για 16.777.216 πιθανές τιμές.

Η CISA προσφέρει έναν εξαιρετικό οδηγό για την πρόληψη επιθέσεων ransomware και την ασφάλεια των αντιγράφων ασφαλείας, που διατίθεται εδώ.

Πηγή: securityboulevard