Código HTML do Conteúdo
Post: DarkBit ransomware da MuddyWater crackeado para recuperação gratuita de dados - Against Invaders - Notícias de CyberSecurity para humanos.
<div>
<div>
<p>A empresa de segurança cibernética Profero quebrou a criptografia dos criptografadores da gangue de ransomware DarkBit, permitindo que eles recuperassem os arquivos da vítima gratuitamente sem pagar resgate.</p>
<p>Isso ocorreu em 2023 durante uma resposta a incidentes tratada por especialistas da Profero, que foram trazidos para investigar um ataque de ransomware em um de seus clientes, que criptografou vários servidores VMware ESXi.</p>
<p>O momento do ataque cibernético sugere que foi em retaliação aos ataques de drones de 2023 no Irã que tiveram como alvo uma fábrica de munições pertencente ao Ministério da Defesa iraniano.</p>
<p>No ataque de ransomware, os agentes da ameaça alegaram ser da DarkBit, que anteriormente se passavam por hacktivistas pró-iranianos, visando <a href="https://www.bleepingcomputer.com/news/security/ransomware-hits-technion-university-to-protest-tech-layoffs-and-israel/" rel="nofollow noopener" target="_blank">institutos educacionais em Israel</a>. Os invasores incluíram declarações anti-Israel em suas notas de resgate, exigindo pagamentos de resgate de 80 Bitcoins.</p>
<p>Comando Cibernético Nacional de Israel <a href="https://www.gov.il/he/pages/_muddywater" rel="nofollow noopener" target="_blank">ataques DarkBit vinculados</a> ao grupo de hackers APT patrocinado pelo Estado iraniano conhecido como <a href="https://www.microsoft.com/en-us/security/blog/2023/04/07/mercury-and-dev-1084-destructive-attack-on-hybrid-environment/" rel="nofollow noopener" target="_blank">Água lamacenta</a>, que têm um histórico de realização de ataques de ciberespionagem.</p>
<p>No caso investigado pela Profero, os invasores não se envolveram em negociações de pagamento de resgate, mas pareciam estar mais interessados em causar interrupções operacionais.</p>
<p>Em vez disso, os invasores lançaram uma campanha de influência para maximizar os danos à reputação da vítima, o que é um <a href="https://www.bleepingcomputer.com/news/security/russian-sandworm-hackers-pose-as-hacktivists-in-water-utility-breaches/" rel="nofollow noopener" target="_blank">tática associada</a> com atores do estado-nação se passando por hacktivistas.</p>
<h2>Descriptografando DarkBit</h2>
<p>No momento do ataque, não existia nenhum decodificador para o ransomware DarkBit, então os pesquisadores da Profero decidiram analisar o malware em busca de possíveis pontos fracos.</p>
<p>O DarkBit usa uma chave AES-128-CBC exclusiva e um vetor de inicialização (IV) gerado em tempo de execução para cada arquivo, criptografado com RSA-2048 e anexado ao arquivo bloqueado.</p>
<div>
<p><img decoding="async" alt="Estrutura final do arquivo criptografado" height="600" src="https://datalake.azaeo.com/wp-content/uploads/2025/08/structure.png" width="454 /></div>
<p>Profero found that the key generation method used by DarkBit is low entropy. When combined with the encryption timestamp, which can be inferred from file modification times, the total keyspace is reduced to a few billion possibilities.</p>
<p>Moreover, they found that Virtual Machine Disk (VMDK) files on ESXi servers have known header bytes, so they only had to brute force the first 16 bytes to see if the header matched, instead of the entire file.</p>
<p>Profero built a tool to try all possible seeds, generate candidate key/IV pairs, and check against VMDK headers, which they ran in a high-performance computing environment, recovering valid decryption keys.</p>
<p>In parallel, the researchers discovered that much of the VMDK file content hadn't been impacted by DarkBit's intermittent encryption, as those files are sparse and many encrypted chunks fall onto empty space.</p>
<p>This allowed them to retrieve significant amounts of valuable data without having to decrypt it by brute-forcing keys.</p>
<p>"></p>
<p>“Os arquivos VMDK são esparsos, o que significa que estão quase vazios e, portanto, os pedaços criptografados pelo ransomware em cada arquivo também estão quase vazios. Estatisticamente, a maioria dos arquivos contidos nos sistemas de arquivos VMDK não será criptografada, e a maioria dos arquivos dentro desses sistemas de arquivos não era relevante para nós / nossa tarefa / nossa investigação.</p>
<p>“Então, percebemos que poderíamos percorrer o sistema de arquivos para extrair o que restava dos sistemas de arquivos internos do VMDK… e funcionou! A maioria dos arquivos de que precisávamos poderia simplesmente ser recuperada sem descriptografia.”</p>
<p>Profero observou que os objetivos do DarkBit teriam sido melhor atendidos com um limpador de dados em vez de ransomware, e que a recusa dos invasores em negociar não os deixou escolha a não ser dissecar a criptografia do malware em busca de um método de recuperação.</p>
<p>Embora a Profero não esteja lançando publicamente o descriptografador DarkBit, eles disseram ao BleepingComputer que futuras vítimas podem contatá-los para obter assistência.</p>
<p><a href="https://hubs.li/Q039Tm490" rel="noopener sponsored" target="_blank"><br />
<img decoding="async" alt="Relatório Picus Red 2025" src="https://datalake.azaeo.com/wp-content/uploads/2025/08/red-report-in-article.jpg"><br />
</a>
</p>
</div>
</div></div>