Criadores de ransomware Linux têm azar pela terceira vez enquanto pesquisadores quebram a criptografia novamente

Pesquisadores descobrem que a versão Linux.Encoder 3 ainda usa criptografia com falhas e permite recuperação de arquivos

Para a alegria dos pesquisadores de segurança, um grupo de criadores de malware está tendo dificuldades em acertar as implementações criptográficas em seu ransomware. Isso não aconteceu uma vez, mas três vezes.

Um grupo de cibercriminosos, nos últimos meses, tem tentado infectar sistemas Linux, principalmente servidores Web, com um programa de ransomware que criptografa arquivos e que a indústria de segurança apelidou de Linux.Encoder.

De acordo com pesquisadores de segurança da empresa de antivírus Bitdefender, a terceira versão do Linux.Encoder infectou pelo menos 600 servidores vulneráveis em todo o mundo.

A boa notícia é que esta versão do programa também possui uma falha que torna a descriptografia possível sem pagar o resgate, apesar das tentativas de seus criadores de corrigir suas falhas anteriores.

Catalin Cosoi, estrategista-chefe de segurança da Bitdefender, disse: “Como esperávamos, os criadores do Linux.Encoder corrigiram seus bugs anteriores e criaram uma nova variante aprimorada. Felizmente para as vítimas, a nova variante do Linux.Encoder ainda é vulnerável a ataques de recuperação de chaves.

“A antiga versão do ransomware Linux.Encoder costumava gerar um vetor de inicialização de 16 bytes e uma chave AES de 16 bytes chamando a função rand(). A semente inicial para o RNG foi retirada do timestamp atual, que estava na verdade muito próximo do tempo de modificação do arquivo após a criptografia.”

Quando a Bitdefender documentou a abordagem falha para gerar IVs e chaves nas versões anteriores, a comunidade do Twitter ridicularizou os desenvolvedores do ransomware sugerindo melhorias selvagens na funcionalidade do ransomware.

Cosoi disse: “Aparentemente, os operadores realmente prestaram atenção a essas recomendações; como resultado, o IV agora é gerado a partir de um hash do tamanho do arquivo e do nome do arquivo – 32 bytes de rand() são hashados 8 vezes e usados como a chave AES-256.”

E os atacantes ainda cometeram erros de codificação de nível iniciante. Por exemplo, há um link estático ausente na biblioteca libc que impede o ransomware de ser iniciado em sistemas mais antigos que seriam mais fáceis de dominar.

Os criadores do ransomware falharam em selecionar um algoritmo de hash, devido ao qual a saída da função de hash permanece inalterada. Os pesquisadores da Bitdefender disseram em um post no blog na terça-feira. “Como resultado, a chave AES completa agora é escrita no arquivo criptografado, o que torna sua recuperação uma tarefa fácil.”

Isso significa que todas as chamadas para as primitivas Update e Finish são ineficazes. Como resultado, a chave AES completa agora é escrita no arquivo criptografado, o que torna sua recuperação um processo simples.

A Bitdefender lançou uma nova ferramenta que pode descriptografar arquivos afetados por esta última versão do Linux.Encoder para aqueles que foram afetados pela nova versão deste ransomware.

Infelizmente, as pessoas por trás deste programa de ransomware parecem bastante determinadas e é improvável que continuem cometendo erros. É seguro assumir que eles acertarão sua implementação em algum momento, e quando isso acontecer, os arquivos criptografados pelo Linux.Encoder serão irrecuperáveis sem backups ou pagando o resgate.

O pesquisador da BitDefender, Radu Caragea, chamou a última variante do Linux.Encoder de um contra-ataque um “perigo iminente” e diz que as vítimas que escapam do controle da terceira versão podem não ter uma quarta chance.

“Embora este seja o terceiro golpe de sorte, por favor, certifique-se de que, após a recuperação, você atualize as plataformas vulneráveis e interrompa esse tipo de ataque de uma vez por todas.”

“Na próxima vez, os hackers podem realmente criar uma versão funcional do ransomware que não será tão fácil de descriptografar.”