Hazard ransomware este bun la criptarea fișierelor, mai puțin la decriptarea lor
Concluzie: Victimele atacurilor ransomware sunt sfătuite de obicei să nu plătească răscumpărarea cerută de infractorii cibernetici. Plata nu oferă nicio garanție că atacatorii își vor menține finalul acordului, cum ar fi oferirea accesului la fișierele criptate.
GuidePoint Security a acționat recent ca un „negociator” între o companie fără nume și grupul din spatele ransomware-ului Hazard. Malware-ul a infectat sistemele victimei, criptând fișierele „importante” și solicitând plata pentru deblocarea acestora. Se pare că compania s-a simțit obligată să plătească, dar „decriptorul” oferit de creatorii Hazard nu a funcționat așa cum se aștepta.
Deși tratarea cu decriptoare nesigure nu este obișnuită, a explicat GuidePoint, lucrurile din lumea programelor malware se pot comporta uneori imprevizibil. După ce au negociat cu infractorii cibernetici, cercetătorii au fost însărcinați să investigheze de ce instrumentul de decriptare nou achiziționat nu a putut restabili fișierele criptate.
Cauza principală a fost o eroare în sarcina de criptare utilizată de ransomware-ul Hazard. „A apărut o condiție de cursă când actorul amenințării a executat mai multe criptoare pe același sistem”, a stabilit GuidePoint. Fiecare fișier a fost criptat a doua oară înainte de a fi redenumit cu o nouă extensie, rezultând octeți lipsă dintr-o bucată de date atașată la fișierul original.
Datele atașate au fost necesare pentru a recupera vectorul de inițializare a criptării (IV), dar ultimii trei octeți lipseau după criptare. Deoarece IV-ul a fost generat pseudo-aleatoriu de sarcina utilă de criptare, recuperarea octeților lipsă a părut inițial imposibilă.
Probabil că creatorii de ransomware nu cunoșteau această eroare în malware-ul lor. După ce a identificat motivul pentru care decriptorul nu funcționa, GuidePoint a încercat să escaladeze problema cu echipa de „asistență tehnică” Hazard. Cu toate acestea, actorii amenințărilor au furnizat doar același instrument de decriptare sub un alt nume înainte de a dispărea.
Întrucât fișierele criptate erau valoroase, GuidePoint a fost însărcinat cu dezvoltarea unei soluții funcționale. Cercetătorii au reușit să adopte o abordare de forță brută, testând toate combinațiile posibile pentru octeții lipsă din IV, recuperând în cele din urmă fișierele curate.
Costurile asociate cu incidentele ransomware sunt în creștere și chiar și operațiunile malware „zombie” precum LockBit 3.0 continuă să facă victime. După ce a avut de-a face cu un instrument de decriptare defect, GuidePoint a subliniat că plățile de răscumpărare nu ar trebui să fie făcute niciodată. Adoptarea celor mai bune practici pentru copiile de siguranță ale datelor este esențială și chiar și salvarea datelor criptate poate fi utilă în situații unice, cum ar fi incidentul Hazard recent dezvăluit.