Ένα ransomware που ανακαλύφθηκε από την Trustwave ονομάστηκε BlackByte και στοχεύει Windows συστήματα, έχει πλέον “σπάσει” καθώς αναπτύχθηκε decryptor για τα θυματά του. Το BlackByte θεωρείται ‘περίεργο’ λόγω ορισμένων από τις αποφάσεις σχεδιασμού και λειτουργίας που έλαβαν οι δημιουργοί του.
Σε μια σειρά τεχνικών συμβουλών που δημοσιεύθηκαν την περασμένη εβδομάδα η Trustwave λέει ότι το κακόβουλο λογισμικό στοχεύει μόνο συστήματα που δεν βασίζονται σε ρωσικές ή γλώσσες της πρώην ΕΣΣΔ — μια κοινή τάση σε ransomware που πιστεύεται ότι είναι ρωσικής προέλευσης.
Η BlackByte έχει επίσης εκμεταλλευτεί αυτό που έχει γίνει γνωστό ως διπλός εκβιασμός (double-extortion) σε αυτόν τον χώρο: όχι μόνο το κακόβουλο λογισμικό κρυπτογραφεί και κλειδώνει συστήματα, αλλά τα θύματα αντιμετωπίζουν επίσης τον κίνδυνο διαρροής ή πώλησης εμπιστευτικών πληροφοριών στο διαδίκτυο.
Οι σύγχρονοι χειριστές ransomware, συμπεριλαμβανομένων των Maze, ReEvil, Conti και Babuk, διατηρούν ιστότοπους με διαρροές στο Dark Web για αυτόν τον σκοπό. Η BlackByte, επίσης, κυκλοφόρησε έναν ιστότοπο, αλλά σύμφωνα με τους ερευνητές, η απειλή της δημοσίευσης δεδομένων είναι αβάσιμη — καθώς το ransomware δεν φαίνεται να έχει αυτή τη λειτουργία.
Η διαδικασία κρυπτογράφησης του BlackByte αποκαλύπτει επίσης ότι οι δημιουργοί του έχουν χαμηλό επίπεδο τεχνικών γνώσεων. Το κακόβουλο λογισμικό κατεβάζει και εκτελεί το ίδιο κλειδί για την κρυπτογράφηση αρχείων στο AES, αντί για μοναδικά κλειδιά για κάθε περίοδο λειτουργίας, όπως αυτά που συνήθως χρησιμοποιούνται από εξελιγμένους χειριστές ransomware.
Εάν δεν είναι δυνατή η λήψη του κλειδιού από τον διακομιστή HTTP του — κρυμμένο σε ένα αρχείο που ονομάζεται forest.PNG — το πρόγραμμα ransomware απλώς κρασάρει. Ένα κλειδί RSA χρησιμοποιείται μία φορά για την κρυπτογράφηση του «raw» κλειδιού για να εμφανιστεί ένα σημείωμα λύτρων.
‘Για την αποκρυπτογράφηση ενός αρχείου, χρειάζεται μόνο το raw κλειδί για λήψη από τον κεντρικό υπολογιστή’, λέει ο Trustwave. ‘Εφόσον το αρχείο .PNG που κατέβασε παραμένει το ίδιο, μπορούμε να χρησιμοποιήσουμε το ίδιο κλειδί για την αποκρυπτογράφηση των κρυπτογραφημένων αρχείων.’
Εκτός από αυτήν την περίεργη διαδικασία κρυπτογράφησης, το κακόβουλο λογισμικό χρησιμοποιεί έναν JavaScript launcher που έχει σχεδιαστεί για την αποκρυπτογράφηση του κύριου payload .NET DLL.
Το ransomware εκτελείται στη μνήμη και εκχωρείται ένα αναγνωριστικό θύματος χρησιμοποιώντας το αναγνωριστικό επεξεργαστή και τον σειριακό αριθμό τόμου του ευάλωτου υπολογιστή, τα οποία στη συνέχεια κατακερματίζονται (hashed) και εισάγονται στον C2 server του κακόβουλου λογισμικού. Οποιαδήποτε διαδικασία θα μπορούσε να αποτρέψει την κρυπτογράφηση αρχείων τερματίζεται και το SetThreadExecutionState API χρησιμοποιείται για να σταματήσει το μηχάνημα από το να εισέλθει σε κατάσταση αδράνειας.
Επιπλέον, τα shadow copies διαγράφονται, τα σημεία επαναφοράς των Windows διαγράφονται και η ανακάλυψη δικτύου είναι ενεργοποιημένη. Το BlackByte έχει επίσης δυνατότητες τύπου worm παρόμοιες με αυτές που χρησιμοποιεί η Ryuk και θα προσπαθήσει να διαδοθεί σε διαθέσιμα δίκτυα.
Η Trustwave έχει διαθέσει έναν αποκρυπτογραφητή BlackByte για λήψη στο GitHub.
https://github.com/SpiderLabs/BlackByteDecryptor
Με πληροφορίες από zdnet.com
