- 19,759
- 44
- 8 Ноя 2022
Profero разобрала DarkBit по байтам.
Израильская компания Profero Для просмотра ссылки Войдиили Зарегистрируйся взломать систему шифрования группировки Для просмотра ссылки Войди или Зарегистрируйся и бесплатно вернуть клиенту данные, не заплатив выкуп. Это произошло в 2023 году во время расследования атаки, в которой злоумышленники зашифровали несколько серверов Для просмотра ссылки Войди или Зарегистрируйся . Специалисты установили, что кибератака могла быть ответом на удары беспилотников по иранскому заводу боеприпасов, произошедшие в том же году.
Преступники, назвавшие себя DarkBit, ранее выдавали себя за проиранских активистов и атаковали учебные заведения в Израиле, оставляя в записках антиизраильские высказывания и требуя 80 биткоинов выкупа. Национальное киберкомандование Израиля связывает DarkBit с Для просмотра ссылки Войдиили Зарегистрируйся , известной шпионскими операциями.
В случае, который расследовала Profero, злоумышленники не пытались вести переговоры о платеже, а были сосредоточены на нарушении работы инфраструктуры жертвы. Параллельно они проводили информационную кампанию, направленную на нанесение репутационного ущерба — метод, характерный для Для просмотра ссылки Войдиили Зарегистрируйся под видом активистов.
На момент инцидента расшифровщика для DarkBit не существовало, поэтому специалисты Profero начали анализ вредоносного кода. Вредонос использовал уникальные ключи Для просмотра ссылки Войдиили Зарегистрируйся и векторы инициализации, сгенерированные при каждом шифровании файла и зашифрованные через Для просмотра ссылки Войди или Зарегистрируйся . Однако метод генерации ключей оказался с низкой энтропией, а время шифрования можно было определить по дате изменения файлов, что сокращало пространство перебора до нескольких миллиардов комбинаций. Кроме того, виртуальные диски VMDK содержат известные байты заголовка, что позволяло проверять только первые 16 байт вместо полного файла.
Специалисты создали инструмент, перебирающий возможные значения и проверяющий их на совпадение с заголовками VMDK. Запустив его в высокопроизводительной вычислительной среде, они получили рабочие ключи для расшифровки. При этом значительная часть данных в VMDK осталась нетронутой из-за прерывистого шифрования и структуры файлов, в которых зашифрованные блоки часто попадали на пустое пространство. Это позволило извлечь большое количество информации без подбора ключей.
Profero отметила, что цели злоумышленников эффективнее бы достигла Для просмотра ссылки Войдиили Зарегистрируйся , а не вымогатель, так как отказ от переговоров вынудил специалистов разобрать алгоритм шифрования и найти способ восстановления. Хотя созданный ими инструмент не будет опубликован, компания готова помочь будущим жертвам DarkBit.
Израильская компания Profero Для просмотра ссылки Войди
Преступники, назвавшие себя DarkBit, ранее выдавали себя за проиранских активистов и атаковали учебные заведения в Израиле, оставляя в записках антиизраильские высказывания и требуя 80 биткоинов выкупа. Национальное киберкомандование Израиля связывает DarkBit с Для просмотра ссылки Войди
В случае, который расследовала Profero, злоумышленники не пытались вести переговоры о платеже, а были сосредоточены на нарушении работы инфраструктуры жертвы. Параллельно они проводили информационную кампанию, направленную на нанесение репутационного ущерба — метод, характерный для Для просмотра ссылки Войди
На момент инцидента расшифровщика для DarkBit не существовало, поэтому специалисты Profero начали анализ вредоносного кода. Вредонос использовал уникальные ключи Для просмотра ссылки Войди
Специалисты создали инструмент, перебирающий возможные значения и проверяющий их на совпадение с заголовками VMDK. Запустив его в высокопроизводительной вычислительной среде, они получили рабочие ключи для расшифровки. При этом значительная часть данных в VMDK осталась нетронутой из-за прерывистого шифрования и структуры файлов, в которых зашифрованные блоки часто попадали на пустое пространство. Это позволило извлечь большое количество информации без подбора ключей.
Profero отметила, что цели злоумышленников эффективнее бы достигла Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
