Hace unos días atrás, se ha publicado un descifrador gratuito para aquellas victimas cuyos activos fueron comprometidos (cifrados) por el Ransomware BlackByte, el cual permitirá a diferentes organizaciones y usuarios al rededor del mundo el volver a recuperar sus activos digitales sin la necesidad de pagar un «rescate».
Estas claves se cifran mediante el uso del algoritmo RSA y se añaden al final de un archivo cifrado o de una nota de rescate. Esta clave cifrada sólo puede ser descifrada con la clave privada, cuyo conocimiento de la llave lo tienen los operadores del Ransomware. Esto hace que los actores de la amenaza puedan descifrar los activos comprometidos, cuando la víctima paga un rescate.
En un informe de la empresa Trustwave, los investigadores explican que el ransomware descargaba un archivo llamado ‘forest.png‘ desde un sitio bajo su control. Aunque este archivo tiene un nombre que aparenta ser una simple imagen, en realidad contiene la clave de cifrado AES utilizada para cifrar un dispositivo.
Como BlackByte utiliza el cifrado simétrico AES, la misma clave se utiliza tanto para el cifrado como para el descifrado de los archivos. Aunque BlackByte también cifra esta clave con AES, Trustwave descubrió que la banda de ransomware estaba reutilizando el mismo archivo forest.png para múltiples víctimas.
Como se reutilizaba la misma clave de cifrado, Trustwave podía utilizarla para construir un descifrador que logre recuperar los activos digitales comprometidos de forma gratuita. Sin embargo, siempre hay inconvenientes cuando se lanzan descifradores gratuitos como éste, y esto es debido a que alerta a las bandas de ransomware de los fallos de sus programas y son corregidas rápidamente para evitar que sean validas para las futuras víctimas.
El informe y el descifrador de Trustwave no pasaron desapercibidos para la banda de ransomware, que advirtió que habían utilizado más de una clave y que utilizar el descifrador con la clave equivocada podría corromper los activos digitales.
BlackByte ha dicho lo siguiente: «Hemos visto en algunos sitios tienen un descifrado para nuestro rescate. No le recomendamos que lo utilice. Porque no utilizamos sólo una clave. Si utiliza el descifrado incorrecto para su sistema puede corromperlo todo, y no será capaz de restaurar su sistema de nuevo. Sólo queremos advertirle, si decide utilizarlo, es bajo su propio riesgo«.
Si haz sido una víctima de BlackByte y quieres utilizar el descifrador de Trustwave, tendrás que descargar el código fuente de GitHub y compilarlo tú mismo. Aunque Trustwave ha incluido un archivo predeterminado «forest.png» que se utilizará para extraer la clave de descifrado, es posible que BlackByte haya rooteado las claves de cifrado.
Debido a esto, se recomienda encarecidamente hacer una copia de seguridad de los archivos antes de ejecutar el software. Además, si tiene un archivo «forest.png» en un dispositivo cifrado, debería utilizar ese mismo archivo en vez de usar el que incluye Trustwave.
IOCs – Trustwave
| Filename | Description | SHA256 |
| Obamka.js | Jscript launcher | 884e96a75dc568075e845ccac2d4b4ccec68017e6ef258c7c03da8c88a597534 |
| forest.png | Key file | 9bff421325bed6f1989d048edb4c9b1450f71d4cb519afc5c2c90af8517f56f3 |
| yk0pdddk | BlackByte Ransomware | d3efaf6dbfd8b583babed67046faed28c6132eafe303173b4ae586a2ca7b1e90 |
| vylvz3le.dll | BlackByte Loader | 92ffb5921e969a03981f2b6991fc85fe45e07089776a810b7dd7504ca61939a3 |
| 2edpcniu.dll | BlackByte Loader | f8efe348ee2df7262ff855fb3984884b3f53e9a39a8662a6b5e843480a27bd93 |
Más Información
https://github.com/SpiderLabs/BlackByteDecryptor
Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.
