Nova ferramenta destrava dados sequestrados pelo ransomware BlackByte
Por Felipe Demartini | Editado por Claudio Yuge | 20 de Outubro de 2021 às 14h20
Especialistas em segurança da Trustwave liberaram nesta semana uma ferramenta que promete liberar os dados travados nas máquinas de vítimas da gangue de ransomware Blackbyte. O software foi criado a partir de uma análise da praga usada pelo grupo em seus ataques, que levou à descoberta de chaves de criptografia repetidas em diferentes golpes, permitindo a criação de uma solução que funcionasse em casos variados sem que um resgate precise ser pago.
- Empresa de telemarketing Atento sofre ataque ransomware
- Ransomware, o parasita da Transformação Digital
- O velho conhecido ransomware e os caminhos para a solução
O caso do Blackbyte é diferente da maioria dos bandos mais sofisticados de ransomware, que usam chaves únicas para cada vítima ou dispositivo — em alguns casos, até mesmo arquivos individuais são travados de forma única. Esse dado também é criptografado e colocado na nota de resgate, enquanto a chave que destranca tudo fica sob posse dos criminosos, para ser entregue e aplicada após a verificação do pagamento. A gangue, entretanto, estava usando um servidor de comando e controle, que baixava um arquivo e repetia credenciais em múltiplos golpes.
O segredo estava em um arquivo chamado forest.jpg, disfarçado de imagem mas contendo as chaves de travamento e liberação de dispositivos. Esse dado, em si, também estava criptografado, mas a Trustwave foi capaz de reverter a situação e criar a ferramenta que libera os arquivos das vítimas, agora disponível online e à disposição de especialistas em segurança, administradores de rede e dos próprios afetados, que podem recuperar os dados travados pela ação do bando.
O bando tem atuação relativamente recente, iniciando seus ataques contra vítimas do mercado corporativo em julho de 2021. Uma vez instalado, o ransomware se move lateralmente, buscando novos dispositivos vulneráveis, e tenta desabilitar recursos de segurança, principalmente associados ao Microsoft Defender, antes de iniciar o travamento dos arquivos. De acordo com o site Bleeping Computer, os ataques são esporádicos, sempre mirando grandes organizações e levando a pedidos de resgate com alto valor.
A resposta do grupo veio em um fórum voltado ao cibercrime e foi reportada pela própria Trustwave. O Blackbyte negou que tenha usado uma chave única para travar os arquivos de todas as suas vítimas e as alertou quanto ao uso da ferramenta de desbloqueio, afirmando que tentar fazer isso com credenciais erradas pode levar à inutilização dos dados, mesmo caso um pagamento de resgate seja feito depois, para obter a forma direta de liberação.
Por conta disso, a recomendação é para que as vítimas realizem o backup das informações, mesmo que estejam criptografadas, antes de tentarem utilizar o software, que está disponível no Github. Além disso, os especialistas indicam que os usuários podem tentar substituir o arquivo forest.jpg padrão, incluído na solução, com um disponível na própria máquina junto à nota de resgate, caso a chave criptográfica efetivamente seja diferente entre diferentes ataques do grupo.
Além disso, o alerta dado aos criminosos também indica que, em breve, uma nova versão do Blackbyte deve começar a surgir, com mudanças na criptografia de forma a tornar a ferramenta da Trustwave inútil. Sendo assim, continuam valendo as recomendações padrões de segurança, como a atenção a golpes envolvendo phishing por e-mail ou apps de mensageria, assim como o uso de soluções de segurança e inteligência de ameaças para detectar intrusões.
Fonte: Trustwave, Bleeping Computer