Взлом вируса-вымогателя DarkBit от MuddyWater позволяет бесплатно восстановить данные

Серьёзный прорыв в борьбе с кибератаками, связанными с государством, произошёл, когда компания Profero, специализирующаяся на кибербезопасности, успешно взломала шифрование, используемое группой вымогателей DarkBit, что позволило им восстановить данные жертвы без выплаты выкупа. Инцидент произошёл в 2023 году во время расследования атаки программы-вымогателя, которая заблокировала несколько серверов VMware ESXi, принадлежащих одному из клиентов Profero.

Атака носила признаки политически мотивированной кампании, а не типичной операции с использованием программ-вымогателей, направленной на получение финансовой выгоды. Время её проведения совпало с ударами беспилотников по заводу по производству боеприпасов Министерства обороны Ирана в 2023 году. Злоумышленники, выдававшие себя за DarkBit, включили в свои требования о выкупе антиизраильские заявления и потребовали 80 биткоинов.

Национальное киберкомандование Израиля связало деятельность DarkBit с MuddyWater, иранской APT-группой, спонсируемой государством и известной кибершпионажем. Ранее DarkBit атаковала образовательные учреждения Израиля, выдавая себя за проиранских хакеров. Однако в данном случае злоумышленники не проявили никакого интереса к переговорам о выкупе. Вместо этого они, по всей видимости, сосредоточились на срыве работы и ущербе репутации, развернув кампанию влияния, призванную максимально опозорить жертву — стратегия, более соответствующая интересам государственных структур.

На тот момент для DarkBit не существовало общедоступного дешифратора. Исследователи Profero начали анализировать вредоносную программу в поисках уязвимостей. Система шифрования DarkBit генерировала уникальный ключ AES-128-CBC и вектор инициализации (IV) для каждого файла во время выполнения, затем шифровала их с помощью RSA-2048 и добавляла к заблокированному файлу. Однако команда обнаружила, что процесс генерации ключей DarkBit имел низкую энтропию. Объединив эту уязвимость с временной меткой шифрования, полученной на основе времени изменения файла, они сократили возможное пространство ключей до нескольких миллиардов комбинаций.

Ещё одно преимущество заключалось в том, что файлы дисков виртуальных машин VMware ESXi (VMDK) имеют известные байты заголовка. Это позволило исследователям использовать брутфорс только первых 16 байт для проверки соответствия вместо обработки всего файла. Используя эти комбинированные методы, Profero успешно расшифровал заражённые данные, предоставив жертве полный доступ без необходимости выплаты выкупа.

Этот случай наглядно демонстрирует, как недостаток в архитектуре программы-вымогателя может полностью подорвать атаку, даже если ее осуществляют продвинутые злоумышленники, связанные с государством.