DarkBit ransomware da MuddyWater crackeado para recuperação gratuita de dados – Against Invaders – Notícias de CyberSecurity para humanos.

Relatório Picus Red 2025

A empresa de segurança cibernética Profero quebrou a criptografia dos criptografadores da gangue de ransomware DarkBit, permitindo que eles recuperassem os arquivos da vítima gratuitamente sem pagar resgate.

Isso ocorreu em 2023 durante uma resposta a incidentes tratada por especialistas da Profero, que foram trazidos para investigar um ataque de ransomware em um de seus clientes, que criptografou vários servidores VMware ESXi.

O momento do ataque cibernético sugere que foi em retaliação aos ataques de drones de 2023 no Irã que tiveram como alvo uma fábrica de munições pertencente ao Ministério da Defesa iraniano.

No ataque de ransomware, os agentes da ameaça alegaram ser da DarkBit, que anteriormente se passavam por hacktivistas pró-iranianos, visando institutos educacionais em Israel. Os invasores incluíram declarações anti-Israel em suas notas de resgate, exigindo pagamentos de resgate de 80 Bitcoins.

Comando Cibernético Nacional de Israel ataques DarkBit vinculados ao grupo de hackers APT patrocinado pelo Estado iraniano conhecido como Água lamacenta, que têm um histórico de realização de ataques de ciberespionagem.

No caso investigado pela Profero, os invasores não se envolveram em negociações de pagamento de resgate, mas pareciam estar mais interessados em causar interrupções operacionais.

Em vez disso, os invasores lançaram uma campanha de influência para maximizar os danos à reputação da vítima, o que é um tática associada com atores do estado-nação se passando por hacktivistas.

Descriptografando DarkBit

No momento do ataque, não existia nenhum decodificador para o ransomware DarkBit, então os pesquisadores da Profero decidiram analisar o malware em busca de possíveis pontos fracos.

O DarkBit usa uma chave AES-128-CBC exclusiva e um vetor de inicialização (IV) gerado em tempo de execução para cada arquivo, criptografado com RSA-2048 e anexado ao arquivo bloqueado.

Estrutura final do arquivo criptografado

“Os arquivos VMDK são esparsos, o que significa que estão quase vazios e, portanto, os pedaços criptografados pelo ransomware em cada arquivo também estão quase vazios. Estatisticamente, a maioria dos arquivos contidos nos sistemas de arquivos VMDK não será criptografada, e a maioria dos arquivos dentro desses sistemas de arquivos não era relevante para nós / nossa tarefa / nossa investigação.

“Então, percebemos que poderíamos percorrer o sistema de arquivos para extrair o que restava dos sistemas de arquivos internos do VMDK… e funcionou! A maioria dos arquivos de que precisávamos poderia simplesmente ser recuperada sem descriptografia.”

Profero observou que os objetivos do DarkBit teriam sido melhor atendidos com um limpador de dados em vez de ransomware, e que a recusa dos invasores em negociar não os deixou escolha a não ser dissecar a criptografia do malware em busca de um método de recuperação.

Embora a Profero não esteja lançando publicamente o descriptografador DarkBit, eles disseram ao BleepingComputer que futuras vítimas podem contatá-los para obter assistência.


Relatório Picus Red 2025

azaeo.com – datalake

File fishes formats available in:

TextoJSONJSON-LDXMLHTMLHTML SourcePDFMarkdown

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.