Um novo descriptografador do ransomware White Phoenix permite que as vítimas recuperem parcialmente arquivos criptografados por variedades de ransomware que usam criptografia intermitente. A criptografia intermitente é uma estratégia empregada por vários grupos de ransomware que alterna entre criptografar e não criptografar blocos de dados. Esse método permite que um arquivo seja criptografado muito mais rapidamente, deixando os dados inutilizáveis ??pela vítima.
Ransomware White Phoenix
Em setembro de 2022, o Sentinel Labs relatou que a criptografia intermitente está ganhando força no espaço do ransomware, com todos os grandes RaaS oferecendo-a pelo menos como uma opção para afiliados e BlackCat/ALPHV tendo aparentemente a implementação mais sofisticada.
No entanto, de acordo com a CyberArk, que desenvolveu e publicou White Phoenix, essa tática introduz pontos fracos na criptografia, pois deixar partes dos arquivos originais não criptografados cria o potencial para recuperação gratuita de dados.
As operações de ransomware que usam criptografia intermitente incluem BlackCat, Play, ESXiArgs, Qilin/Agenda e BianLian.
Recuperando arquivos parcialmente criptografados
A CyberArk desenvolveu o White Phoenix depois de experimentar arquivos PDF parcialmente criptografados, tentando recuperar texto e imagens de objetos de fluxo. Os pesquisadores descobriram que em certos modos de criptografia BlackCat, muitos objetos em arquivos PDF permanecem inalterados, permitindo que os dados sejam extraídos.
No caso de fluxos de imagens, recuperá-los é tão simples quanto remover os filtros aplicados. No caso de recuperação de texto, os métodos de restauração incluem identificar blocos de texto nos fluxos e concatená-los ou reverter a codificação hexadecimal e codificação CMAP (mapeamento de caracteres).
Depois de recuperar com sucesso arquivos PDF usando a ferramenta White Phoenix, a CyberArk encontrou possibilidades de restauração semelhantes para outros formatos de arquivo, incluindo arquivos baseados em arquivos ZIP. Esses arquivos usando o formato ZIP incluem Word (docx, docm, dotx, dotm, odt), Excel (xlsx, xlsm, xltx, xltm, xlsb, xlam, ods) e PowerPoint (pptx, pptm, ptox, potm, ppsx, ppsm, odp) formatos de documento.
A restauração desses tipos de arquivo é obtida usando 7zip e um editor hexadecimal para extrair os arquivos XML não criptografados de documentos afetados e executar a substituição de dados.
O White Phoenix automatiza todas as etapas acima para os tipos de arquivo suportados, embora a intervenção manual possa ser necessária em alguns casos. A ferramenta está disponível para download gratuitamente no repositório GitHub público da CyberArk.
Limitações práticas
Os analistas relatam que sua ferramenta automatizada de recuperação de dados deve funcionar bem para os tipos de arquivo mencionados criptografados pelas seguintes cepas de ransomware: BlackCat/ALPHV; Play ransomware; Qilin/Agenda; BianLian e; DarkBit.
No entanto, é essencial observar que o White Phoenix não produzirá bons resultados em todos os casos, mesmo que seja teoricamente comprovado. Por exemplo, se uma grande parte de um arquivo foi criptografada, incluindo seus componentes críticos, os dados recuperados podem estar incompletos ou inúteis. Assim, a eficácia da ferramenta está diretamente ligada à extensão do dano ao arquivo.
Nos casos em que o texto é armazenado como objetos CMAP em arquivos PDF, a recuperação só é possível se nem o texto nem os objetos CMAP estiverem criptografados, exceto em casos raros em que a codificação hexadecimal corresponde aos valores originais dos caracteres.
O BleepingComputer testou o White Phoenix com uma pequena amostra de arquivos PDF criptografados com ALPHV e arquivos PPTX e DOCX criptografados com Play e não conseguiu recuperar nenhum dado usando a ferramenta.
A CyberArk convida todos os pesquisadores de segurança a baixar e experimentar a ferramenta e se juntar ao esforço para melhorá-la e ajudar a estender seu suporte a mais tipos de arquivos e variedades de ransomware.