Pesquisadores de segurança conseguiram quebrar a criptografia usada pelo ransomware DarkBit, permitindo que vítimas recuperem seus arquivos gratuitamente. A descoberta foi feita durante a resposta a um ataque contra servidores VMware ESXi em 2023, revelando uma falha grave no método de geração de chaves do malware.
O DarkBit, associado ao grupo de ameaças MuddyWater, de origem iraniana, foi usado em ataques possivelmente motivados por retaliação política, com o objetivo principal de causar interrupções e danos à reputação, e não apenas obter lucro financeiro. Durante a investigação, os especialistas descobriram que o ransomware utilizava chaves AES-128-CBC geradas com entropia previsível. Ao analisar metadados, como timestamps e cabeçalhos conhecidos de discos virtuais VMDK, foi possível reduzir drasticamente o número de combinações necessárias para quebrar a criptografia. A equipe desenvolveu uma ferramenta de alto desempenho capaz de testar bilhões de combinações de chaves e vetores de inicialização em pouco tempo.
Com essa abordagem, foi possível encontrar as chaves corretas e restaurar arquivos após cerca de um dia de processamento intensivo. Os especialistas também exploraram a estrutura dos arquivos VMDK, que são amplamente compostos por áreas não criptografadas. Isso permitiu a recuperação de partes significativas dos dados sem a necessidade de descriptografar cada bloco individualmente. Embora a ferramenta desenvolvida não esteja disponível publicamente, as vítimas do DarkBit podem entrar em contato com os pesquisadores para receber suporte na recuperação de seus dados.
