Araştırmacılar, belirli bir türdeki zayıflıktan faydalandılar. Yeterince Siyah bir fidye yazılımının serbest bırakılması şifre çözücü Kötü amaçlı yazılım için koruma sağlar, ancak üretken siber suç çetesi tarafından şifrelenen tüm dosyaları kurtarmaz.
Güvenlik araştırma ve danışmanlık firması SRLab’lar uygun bir şekilde Black Basta Buster olarak adlandırılan ve bir bilgisayarın şifreleme algoritmasındaki bir güvenlik açığından yararlanan aracı yayınladı. Yeterince Siyah Grup tarafından geçen yılın nisan ayı civarında kullanılan fidye yazılımı türü. Ancak araştırmacılar, düz metin gereksinimlerine ve boyutuna bağlı olarak bir dosyanın tamamen mi yoksa kısmen mi kurtarılabileceği konusunda bazı sınırlamalar bulunduğunu belirtti.
Birincisi, “64 şifrelenmiş baytlık düz metin biliniyorsa” dosyalar teker teker kurtarılabilir. Black Basta şifre çözücünün açıklaması SRLabs’ın GitHub sayfasında.
“Başka bir deyişle, 64 baytı bilmek tek başına yeterli değildir, çünkü bilinen düz metin baytlarının, kötü amaçlı yazılımın dosyanın hangi bölümlerinin şifreleneceğini belirleme mantığına dayalı olarak dosyanın şifrelemeye tabi olan bir konumunda olması gerekir.” yazıya. “Belirli dosya türleri için, özellikle sanal makine disk görüntüleri olmak üzere 64 baytlık düz metnin doğru konumda olduğunu bilmek mümkün.”
Ayrıca 5.000 bayt ile 1 gigabayt arasındaki dosyalar kurtarılabilir; ancak gönderiye göre, 1 GB’tan büyük dosyalar için dosyanın ilk 5.000 baytı kaybolacak, ancak geri kalanı kurtarılabilecek.
Üstelik şifre çözücü, Black Basta fidye yazılımının belirli bir türündeki bir zayıflıktan yararlandığından, örgütler, grubun hatayı düzeltmek için bu türü güncellemesinden sonra hedef aldı; bu da Aralık ortasında gerçekleştirildi. bir blog yazısı Malwarebytes tarafından 2 Ocak’ta yayınlandı – araçla dosyaların şifresini çözmeye çalışırlarsa büyük olasılıkla şansları kalmayacak.
Yine de, Malwarebytes’e göre, şifre çözücünün çalıştığı dönemde verileri Black Basta’nın Dark Web sitesine sızdırılan en az 153 kurban, fidye yazılımı grubunda kilitlenen dosyaları kurtarmak için şifre çözücüyü kullanmaya uygun olabilir.
Şifreleme Zayıflığından Yararlanmak
Yeterince Siyah Fidye yazılımı sahnesine ilk olarak Nisan 2022’de çifte gasp ve hızlı hareket eden bir operatör olarak çıktı ve ilk beş ayında en az 90 kurbana gelişmiş bir şifreleme şeması kullanarak saldırdı. Trend Micro dikkat çekti Kurbanlarının her biri için benzersiz ikili dosyalar kullanır. Bazı araştırmacılar Black Basta’yı FIN7, finansal motivasyona sahip bir siber suç örgütü 2012’de ortaya çıktığından bu yana 1,2 milyar dolardan fazla çalındığı tahmin ediliyor.
SRLabs’ın GitHub açıklamasına göre Black Basta Buster, hedeflenen dosyaların 64 bayt uzunluğundaki parçalarını XOR ile şifrelemek için kullanılan karmaşık olmayan bir ChaCha anahtar akışındaki bir kusurdan yararlanıyor.
Fidye yazılımı bir dosyanın ilk 5.000 baytını şifreler; ve daha sonra aynı 64 bayt, şifrelenecek blokların geri kalanının XOR şifrelemesi için kullanılır.
Black Basta’nın şifrelemesi boyutuna bağlı olarak dosyanın ilk 5.000 baytı için anahtar akışını düzgün bir şekilde kullanır; SRLabs’a göre bu baytların daha büyük dosyalarda kaybolmasının nedeni budur; ancak daha sonra gelen parçalar için şifreleme mekanizması düz metin olarak oluşturulabilir ve dolayısıyla kurtarılabilir.
Araştırmacılar, sanallaştırılmış disk görüntülerinin kurtarılma şansının en yüksek olduğunu, çünkü gerçek veri bölümlerinin ve dosya sistemlerinin daha geç başlama eğiliminde olduğunu belirtti.
Fidye Yazılımı Kurtarma ve Savunma
Kullanmaya uygun kuruluşlar için en kolay yol şifre çözücü Malwarebytes’e göre, kurtarılacak dosyalar için gereken 64 şifrelenmiş baytlık düz metni bilip bilmeyeceklerini belirlemek, dosyada bir dizi sıfır bulmaktır.
“Yeterince büyük sıfır bayt parçaları içermeyen büyük dosyaların şifresini çözmek mümkün olabilir [strings with no data]ancak hedef dosyanın şifrelenmemiş bir sürümüne ihtiyacınız olacak” gönderiye göre “Birçok durumda bu, şifre çözme amacını ortadan kaldıracaktır, ancak hedef dosyanın şifrelenmemiş bir sürümüne sahip olduğunuz uç durumlar da olabilir. gereksinimler, ancak şifresini çözmek istediğiniz bilgileri içermiyor.”
Elbette, fidye yazılımı şifre çözücü kullanmak zorunda kalmamak için kuruluşlar, uzlaşmayı önlemek için ellerinden geleni yapabilirler. Malwarebytes, fidye yazılımı aktörlerine karşı savunmanın bir yolu olarak, güvenlik açıklarını hızlı bir şekilde yamalayarak ve uzaktan erişimi devre dışı bırakarak veya güçlendirerek yaygın saldırgan giriş biçimlerinin engellenmesini önerdi.
Ayrıca kuruluşlar, saldırganların sisteme girmenin bir yolunu bulması durumunda olağandışı etkinlikleri tespit etmek için uç nokta tespit ve müdahalesinin (EDR) ve/veya yönetilen tespit ve müdahalenin (MDR) yanı sıra izinsiz girişleri önlemek için uç nokta güvenlik yazılımını da kullanmalıdır. Firmaya göre, tesis dışı, çevrimdışı yedeklemeler oluşturmak, kuruluşların bir fidye yazılımı saldırısına yanıt olarak dosyaları ve iş işlevlerini hızlı bir şekilde geri yüklemesine de yardımcı olabilir.