Araştırmacılar, Key Group fidye yazılımının şifreleme şemasındaki bir zayıflıktan yararlandı ve bazı kurbanların dosyalarını ücretsiz olarak kurtarmasına olanak tanıyan bir şifre çözme aracı geliştirdi.
Şifre çözücü, tehdit istihbaratı şirketi EclecticIQ’daki güvenlik uzmanları tarafından oluşturuldu ve kötü amaçlı yazılımın Ağustos başında oluşturulan sürümleri için çalışıyor.
Saldırganlar, kötü amaçlı yazılımlarının “askeri düzeyde AES şifrelemesi” kullandığını iddia etti, ancak dolap tüm şifreleme süreçlerinde statik bir tuz kullanıyor, bu da düzeni bir şekilde öngörülebilir hale getiriyor ve şifrelemenin tersine çevrilmesini mümkün kılıyor.
“[Key Group ransomware] EclecticIQ, kurban verilerini Şifre Blok Zincirleme (CBC) modunda AES algoritmasını kullanarak belirli bir statik parolayla şifreliyor” diye açıklıyor.
Araştırmacılar, “Parola, Parola Tabanlı Anahtar Türetme İşlevi 2’yi (PBKDF2) sabit bir tuzla kullanan bir anahtardan türetilmiştir” diye ekliyor.
Anahtar Grup profili
Key Group, 2023’ün başlarında faaliyete geçen, çeşitli kuruluşlara saldıran, ele geçirilen sistemlerden veri çalan ve ardından fidye ödemeleri için pazarlık yapmak için özel Telegram kanallarını kullanan, Rusça konuşan bir tehdit aktörüdür.
Rus tehdit istihbarat firması BI.ZONE daha önce Key Group’un fidye yazılımını Kaos 4.0 oluşturucusuna dayandırdığını bildirmişti; EclecticIQ ise grubun Rusça konuşulan karanlık ağ pazarlarında çalıntı verileri ve SIM kartları sattığını, ayrıca doxing verilerini ve uzaktan erişimi paylaştığını gördü. IP kameralara.
Anahtar Grubu, şifreleme işleminin ardından orijinal dosyaları kurban sistemden siler ve tüm girişlere .KEYGROUP777TG dosya uzantısını uygular.
Saldırganlar, Volume Shadow kopyalarını silmek için LOLBins adı verilen Windows ikili dosyalarını kullanıyor ve böylece fidye ödemeden sistem ve veri geri yüklemesini engelliyor.
Üstelik kötü amaçlı yazılım, ihlal edilen sistemde çalışan antivirüs ürünlerinin ana bilgisayar adreslerini değiştirerek bunların güncelleme almasını engelliyor.
.png)
Şifre çözücü nasıl kullanılır?
Key Group fidye yazılımı şifre çözücüsü bir Python betiğidir (raporun Ek A bölümünde paylaşılmaktadır). Kullanıcılar bunu bir Python dosyası olarak kaydedebilir ve ardından aşağıdaki komutu kullanarak çalıştırabilir:
python decryptor.py /path/to/search/directory
Komut dosyası, hedef dizinde ve alt dizinlerinde .KEYGROUP777TG uzantılı dosyalar için arama yapacak ve kilidi açılmış içeriğin şifresini çözecek ve orijinal dosya adıyla (base64 dizesinden kodu çözülmüş) kaydedecektir.
Bazı Python kitaplıklarının, özellikle de şifreleme paketinin gerekli olduğunu unutmayın.
Herhangi bir şifre çözücüyü kullanmadan önce (şifrelenmiş) verilerinizi yedeklemek her zaman akıllıca olacaktır, çünkü bu işlem geri dönüşü olmayan veri bozulmasına ve kalıcı veri kaybına neden olabilir.
EclecticIQ’nun şifre çözücüsünün piyasaya sürülmesi, Key Group’un fidye yazılımlarındaki güvenlik açıklarını gidermesini sağlayabilir ve bu da gelecekteki sürümlerin şifresinin çözülmesini zorlaştırabilir. Bununla birlikte araç, mevcut sürümlerden etkilenen kişiler için değerli olmaya devam ediyor.