Nova ferramenta destrava dados sequestrados pelo ransomware BlackByte

Especialistas em segurança da Trustwave liberaram nesta semana uma ferramenta que promete liberar os dados travados nas máquinas de vítimas da gangue de ransomware Blackbyte. O software foi criado a partir de uma análise da praga usada pelo grupo em seus ataques, que levou à descoberta de chaves de criptografia repetidas em diferentes golpes, permitindo a criação de uma solução que funcionasse em casos variados sem que um resgate precise ser pago.

• Empresa de telemarketing Atento sofre ataque ransomware
• Ransomware, o parasita da Transformação Digital
• O velho conhecido ransomware e os caminhos para a solução

O caso do Blackbyte é diferente da maioria dos bandos mais sofisticados de ransomware, que usam chaves únicas para cada vítima ou dispositivo — em alguns casos, até mesmo arquivos individuais são travados de forma única. Esse dado também é criptografado e colocado na nota de resgate, enquanto a chave que destranca tudo fica sob posse dos criminosos, para ser entregue e aplicada após a verificação do pagamento. A gangue, entretanto, estava usando um servidor de comando e controle, que baixava um arquivo e repetia credenciais em múltiplos golpes.

O segredo estava em um arquivo chamado forest.jpg, disfarçado de imagem mas contendo as chaves de travamento e liberação de dispositivos. Esse dado, em si, também estava criptografado, mas a Trustwave foi capaz de reverter a situação e criar a ferramenta que libera os arquivos das vítimas, agora disponível online e à disposição de especialistas em segurança, administradores de rede e dos próprios afetados, que podem recuperar os dados travados pela ação do bando.

O bando tem atuação relativamente recente, iniciando seus ataques contra vítimas do mercado corporativo em julho de 2021. Uma vez instalado, o ransomware se move lateralmente, buscando novos dispositivos vulneráveis, e tenta desabilitar recursos de segurança, principalmente associados ao Microsoft Defender, antes de iniciar o travamento dos arquivos. De acordo com o site Bleeping Computer, os ataques são esporádicos, sempre mirando grandes organizações e levando a pedidos de resgate com alto valor.

A resposta do grupo veio em um fórum voltado ao cibercrime e foi reportada pela própria Trustwave. O Blackbyte negou que tenha usado uma chave única para travar os arquivos de todas as suas vítimas e as alertou quanto ao uso da ferramenta de desbloqueio, afirmando que tentar fazer isso com credenciais erradas pode levar à inutilização dos dados, mesmo caso um pagamento de resgate seja feito depois, para obter a forma direta de liberação.

Por conta disso, a recomendação é para que as vítimas realizem o backup das informações, mesmo que estejam criptografadas, antes de tentarem utilizar o software, que está disponível no Github. Além disso, os especialistas indicam que os usuários podem tentar substituir o arquivo forest.jpg padrão, incluído na solução, com um disponível na própria máquina junto à nota de resgate, caso a chave criptográfica efetivamente seja diferente entre diferentes ataques do grupo.

Além disso, o alerta dado aos criminosos também indica que, em breve, uma nova versão do Blackbyte deve começar a surgir, com mudanças na criptografia de forma a tornar a ferramenta da Trustwave inútil. Sendo assim, continuam valendo as recomendações padrões de segurança, como a atenção a golpes envolvendo phishing por e-mail ou apps de mensageria, assim como o uso de soluções de segurança e inteligência de ameaças para detectar intrusões.

Fonte: Trustwave, Bleeping Computer