AccueilActualités informatiqueRansomware : décryptage grâce à une faiblesse du code "Blackbyte"

Ransomware : décryptage grâce à une faiblesse du code « Blackbyte »

Les victimes de BlackByte peuvent espérer : Un logiciel disponible gratuitement décrypte tous les fichiers précédemment cryptés par le ransomware BlackByte. L’équipe SpiderLabs de Trustwave a réussi à trouver une faiblesse dans le code malveillant et à l’exploiter au profit des victimes.

Il est de plus en plus rare de construire un outil de décryptage à partir de l’analyse d’un ransomware. L’utilisation et la mise en œuvre le plus souvent sans erreur de méthodes de chiffrement asymétrique, dans lesquelles la clé privée n’est connue que des criminels et n’est pas présente sur le système attaqué, sont devenues la norme. Le succès de SpiderLabs n’en est que plus gratifiant.

Sommaire

Le gang BlackByte est plutôt inconnu comparé aux géants de la scène comme REvil ou Ryuk. Cela n’empêche pas les auteurs d’imiter les pratiques commerciales des grands criminels. Par exemple, BackByte menace sur un site darknet de publier les données d’entreprises nommées en cas de non-paiement.

En ce qui concerne ces menaces, l’analyse de Trustwave révèle le manque de professionnalisme presque rafraîchissant de la bande : le code malveillant BlackByte n’a même pas de fonctionnalité pour exfiltrer des données. Les victimes peuvent donc respirer un peu mieux, non seulement en ce qui concerne le recouvrement, mais aussi en ce qui concerne la menace de publication de leurs documents.

Selon l’équipe de SpiderLabs, BlackByte n’utilise pas une procédure asymétrique pour le cryptage et le décryptage des fichiers sur un ordinateur, mais la procédure de cryptage symétrique AES, contrairement aux modèles professionnels. En outre, la clé utilisée ne varie pas en fonction du système : les fabricants de logiciels malveillants conservent une « clé brute » fixe dans un fichier portant l’extension .png (forest.png dans le cas de l’analyse actuelle) sur leurs serveurs.

Ce fichier est rechargé par le malware BlackByte au cours du cryptage et déposé de manière permanente sur le système concerné. Tant que forêt.png n’est pas échangée sur les serveurs, essentiellement la même clé brute (=hQ;d'%44eLHt!W8AU9y?(FO:<swB[F#<F) est utilisé sur chaque système.

Le message de chantage contient déjà la « clé brute » (bien que cryptée) nécessaire pour le décrypter.

(Image : trustwave.com)

La simplicité de la procédure est quelque peu camouflée et affaiblie par le fait que la clé brute est « traitée » plusieurs fois sur le système par le code malveillant : Il y arrive crypté en 3DES et est ensuite décrypté. La fonction standardisée PBKDF2 (Password-Based Key Derivation Function 2) est ensuite utilisée pour dériver une clé à partir de la clé brute qui peut être utilisée pour AES-128.

Les auteurs du logiciel malveillant utilisent également la méthode asymétrique RSA à un moment donné, mais uniquement pour pouvoir afficher la clé brute chiffrée de cette manière une fois dans le message de chantage. La clé publique utilisée ici est stockée en permanence dans un module de code malveillant..

BlackByte fait beaucoup de choses avec la « clé brute ». Néanmoins, les chercheurs ont trouvé toutes les informations nécessaires pour le décrypter.

(Image : trustwave.com)

Tous ces processus ne changent finalement pas le fait que toutes les informations permettant de crypter et de décrypter les fichiers sont stockées dans la base de données de l’entreprise. forest.png est contenu. Par conséquent, l’outil de décryptage de SpiderLabs utilise également les informations provenant de forest.png à des fichiers ou des répertoires chiffrés – tout comme le code malveillant l’aurait fait dans le cas d’un paiement.

  • BlackByte Decryptor à GitHub

Les auteurs craignent désormais des pertes financières liées à l’outil de décryptage. Selon un rapport du chercheur en sécurité Graham Cluley, le gang déconseille l’utilisation de l’outil de décryptage. Il affirme qu’il n’utilise pas réellement une clé unique et prévient que l’outil pourrait potentiellement détruire les fichiers cryptés de manière irrémédiable. Les utilisateurs devraient alors remercier « SpiderLabs aka ClownLabs » pour cela, concluent les créateurs du ransomware, visiblement énervés.

Le conseil de Cluley de faire une sauvegarde avant de tenter de décrypter est absolument correct (et important). Car il est en effet concevable que forest.png ou son contenu a été modifié de temps en temps dans le passé.

Ceux qui souhaitent approfondir l’analyse de BlackByte peuvent consulter l’article technique en deux parties du blog de SpiderLab :

  • SpiderLabs : BlackByte Ransomware – Pt. 1 Analyse en profondeur
  • SpiderLabs : BlackByte Ransomware – Pt. 2 Analyse de l’obfuscation du code

Lire aussi

Plus d'articles