Los creadores de ransomware de Linux tienen mala suerte por tercera vez mientras los investigadores rompen la encriptación nuevamente

Los investigadores encuentran que la versión Linux.Encoder 3 aún utiliza encriptación defectuosa y permite la recuperación de archivos

Mucho para el deleite de los investigadores de seguridad, un grupo de creadores de malware está teniendo dificultades para implementar correctamente la criptografía en su ransomware. Esto no ha sucedido una vez, sino tres veces.

Un grupo de criminales cibernéticos durante los últimos meses ha estado tratando de infectar sistemas Linux, principalmente servidores web, con un programa de ransomware que cifra archivos y que la industria de la seguridad ha apodado Linux.Encoder.

Según los investigadores de seguridad del proveedor de antivirus Bitdefender, la tercera versión de Linux.Encoder ha infectado al menos 600 servidores vulnerables en todo el mundo.

La buena noticia es que esta versión del programa también tiene un defecto que hace posible la descifrado sin pagar el rescate, a pesar de los intentos de sus creadores por abordar sus fallas anteriores.

Catalin Cosoi, estratega jefe de seguridad en Bitdefender, dijo: “Como esperábamos, los creadores de Linux.Encoder han corregido sus errores anteriores y creado una nueva variante mejorada. Afortunadamente para las víctimas, la nueva variante de Linux.Encoder sigue siendo vulnerable a ataques de recuperación de claves.

“La antigua versión del ransomware Linux.Encoder solía generar un vector de inicialización de 16 bytes y una clave AES de 16 bytes llamando a la función rand(). La semilla inicial para el RNG se tomaba de la marca de tiempo actual, que en realidad estaba muy cerca del tiempo de modificación del archivo después de la encriptación.”

Cuando Bitdefender documentó el enfoque defectuoso para generar IVs y claves en las versiones anteriores, la comunidad de Twitter ridiculizó a los desarrolladores de ransomware sugiriendo mejoras salvajes a la funcionalidad del ransomware.

Cosoi dijo: “Aparentemente, los operadores realmente tomaron nota de estas recomendaciones; como resultado, el IV ahora se genera a partir de un hash del tamaño del archivo y el nombre del archivo: 32 bytes de rand() se hashan 8 veces y se utilizan como clave AES-256.”

Y los atacantes aún cometieron errores de codificación de nivel n00b. Por ejemplo, hay un enlace estático faltante en la biblioteca libc que impide que el ransomware se inicie en sistemas más antiguos que serían más fáciles de comprometer.

Los creadores del ransomware no lograron seleccionar un algoritmo de hash, debido a lo cual la salida de la función de hash permanece sin cambios. Los investigadores de Bitdefender dijeron en una publicación de blog el martes. “Como resultado, la clave AES completa ahora se escribe en el archivo encriptado, lo que hace que su recuperación sea un paseo por el parque.”

Esto significa que todas las llamadas a las primitivas Update y Finish son ineficaces. Como resultado, la clave AES completa ahora se escribe en el archivo encriptado, lo que hace que su recuperación sea un proceso simple.

Bitdefender ha lanzado una nueva herramienta que puede descifrar archivos afectados por esta última versión de Linux.Encoder para aquellos que han sido afectados por la nueva versión de este ransomware.

Desafortunadamente, las personas detrás de este programa de ransomware parecen bastante decididas y es poco probable que sigan cometiendo errores. Es seguro asumir que en algún momento lograrán implementar correctamente su solución, y cuando eso suceda, los archivos encriptados por Linux.Encoder serán irrecuperables sin copias de seguridad o pagando el rescate.

El investigador de BitDefender, Radu Caragea, llamó a la última variante de Linux.Encoder un contraataque, un “cercano” y dice que las víctimas que escapan del control de la tercera versión pueden no tener una cuarta oportunidad.

“Si bien este es el tercer golpe afortunado, asegúrate de que, después de la recuperación, actualices las plataformas vulnerables y detengas este tipo de ataque en primer lugar.”

“La próxima vez, los hackers podrían realmente presentar una versión funcional del ransomware que no será tan fácil de descifrar.”