サイバーセキュリティ企業Proferoは、DarkBitランサムウェアグループの暗号化方式を解読し、被害者が身代金を支払うことなく無料でファイルを復旧できるようにしました。
これは2023年、Proferoの専門家が対応したインシデントレスポンスの際に発生しました。彼らは、複数のVMware ESXiサーバーが暗号化されたランサムウェア攻撃の調査のために呼ばれていました。
このサイバー攻撃のタイミングから、2023年にイランの国防省の弾薬工場を標的としたドローン攻撃への報復であった可能性が示唆されています。
このランサムウェア攻撃では、脅威アクターは以前に親イラン派ハクティビストを装い、イスラエルの教育機関を標的にしていたDarkBitを名乗りました。攻撃者は身代金要求書に反イスラエルの声明を含め、80ビットコインの支払いを要求しました。
イスラエル国家サイバー司令部は、DarkBitの攻撃を、サイバースパイ活動の経歴を持つイラン政府支援のAPTハッキンググループMuddyWaterと関連付けました。
Proferoが調査したケースでは、攻撃者は身代金支払いの交渉には応じず、むしろ業務の混乱を引き起こすことに関心があるようでした。
その代わり、攻撃者は被害者の評判に最大限のダメージを与えるための影響工作を展開しました。これは、国家支援のアクターがハクティビストを装う際に用いる戦術です。
DarkBitの復号化
攻撃当時、DarkBitランサムウェア用の復号ツールは存在しなかったため、Proferoの研究者たちはマルウェアの脆弱性を分析することにしました。
DarkBitは、各ファイルごとに実行時に生成される独自のAES-128-CBC鍵と初期化ベクトル(IV)を使用し、それをRSA-2048で暗号化してロックされたファイルに付加します。
出典: Profero
Proferoは、DarkBitが使用する鍵生成方法のエントロピーが低いことを発見しました。ファイルの更新日時から推測できる暗号化タイムスタンプと組み合わせることで、鍵空間が数十億通りにまで減少します。
さらに、ESXiサーバー上の仮想マシンディスク(VMDK)ファイルには既知のヘッダーバイトがあるため、ファイル全体を総当たりするのではなく、最初の16バイトだけをブルートフォースしてヘッダーが一致するか確認すればよいことが分かりました。
Proferoは、すべての可能なシードを試し、候補となる鍵/IVペアを生成し、VMDKヘッダーと照合するツールを構築し、高性能コンピューティング環境で実行して有効な復号鍵を回収しました。
同時に、研究者たちはESXiサーバー上のVMDKファイルの多くの内容が、DarkBitの断続的な暗号化によって影響を受けていないことも発見しました。これらのファイルはスパース(空き領域が多い)であり、多くの暗号化されたチャンクが空の領域にあたっていたためです。
これにより、鍵を総当たりで復号しなくても、多くの価値あるデータを回収することができました。
「ブルートフォースの高速化に取り組み始めたとき、エンジニア/チームメンバーの一人が興味深いアイデアを出しました」とProferoは説明しています。
「VMDKファイルはスパースなので、ほとんどが空であり、したがってランサムウェアによって各ファイル内で暗号化されたチャンクもほとんどが空です。統計的に、VMDKファイルシステム内に含まれるファイルの大半は暗号化されておらず、また私たちの作業や調査に関係のないファイルも多く含まれていました。」
「そこで、内部のVMDKファイルシステムに残っているものを抽出するためにファイルシステムをたどることができると気づきました…そして実際にうまくいきました!必要なファイルのほとんどは復号せずに単純に回収できました。」
Proferoは、DarkBitの目的はランサムウェアよりもデータワイパーの方が適していたのではないかと指摘し、攻撃者が交渉を拒否したため、復旧方法を探るべくマルウェアの暗号化を解析するしかなかったと述べています。
ProferoはDarkBitの復号ツールを一般公開していませんが、今後の被害者には支援を提供できるとBleepingComputerに伝えています。
