Selon BleepingComputer, l’entreprise de cybersécurité Profero a réussi en 2023 à contourner le chiffrement du ransomware DarkBit lors d’une réponse à incident visant plusieurs serveurs VMware ESXi, permettant de restaurer des fichiers sans payer de rançon.
Contexte et attribution présumée: l’attaque, survenue dans la foulée de frappes de drones en Iran en 2023, a été revendiquée par des acteurs se présentant comme pro-iraniens et comprenant des messages anti-Israël, avec une demande de 80 BTC. Le National Cyber Command d’Israël a relié ces actions au groupe APT parrainé par l’État iranien, MuddyWater. Les assaillants n’ont pas réellement négocié et ont surtout cherché la perturbation opérationnelle et l’impact réputationnel, un mode opératoire associé aux opérations d’influence de type étatique.
Technique de chiffrement et faille exploitée: DarkBit génère pour chaque fichier une clé et un IV AES-128-CBC uniques, chiffrés ensuite en RSA-2048 et apposés au fichier. Profero a découvert que la méthode de génération de clés avait une faible entropie. Combinée à l’horodatage d’encryptage déduit des dates de modification, cela réduisait l’espace de clés à quelques milliards de possibilités.
Brute force guidé et récupération: profitant des en-têtes connus des fichiers VMDK sur ESXi, Profero a uniquement testé les 16 premiers octets pour vérifier la correspondance, plutôt que de traiter l’intégralité des fichiers. L’équipe a construit un outil pour iterer tous les « seeds », générer des paires clé/IV candidates et valider contre les en-têtes VMDK, exécuté sur une infrastructure de calcul haute performance, permettant d’extraire des clés valides 🔐.
Données récupérées sans déchiffrement: en parallèle, Profero a constaté que les fichiers VMDK sont sparsifiés et que l’encryption intermittente de DarkBit touchait souvent des zones vides. Résultat: une part significative des données utiles pouvait être extraite directement en parcourant les systèmes de fichiers internes des VMDK, sans brute force supplémentaire 🧩.
IOCs et TTPs:
- TTPs: ciblage de serveurs VMware ESXi; ransomware avec AES-128-CBC (clé/IV par fichier) et encapsulation RSA-2048; faible entropie de génération de clés + usage de l’horodatage pour réduire l’espace de recherche; vérification via en-têtes VMDK; chiffrement intermittent; campagne d’influence et absence de négociation; demande de rançon de 80 BTC; messages anti-Israël; attribution par autorité nationale à MuddyWater.
Type d’article: article de presse spécialisé. But principal: relater l’analyse de Profero et la méthode ayant permis la récupération de données face au ransomware DarkBit.
🔗 Source originale : https://www.bleepingcomputer.com/news/security/muddywaters-darkbit-ransomware-cracked-for-free-data-recovery/