A empresa de inteligência cibernética EclecticIQ anunciou na quinta-feira o lançamento de uma ferramenta de descriptografia gratuita para ajudar as vítimas do ransomware Key Group a recuperar seus dados sem ter que pagar resgate.
Também conhecido como keygroup777, Key Group é um ator de crimes cibernéticos de língua russa conhecido por vender informações de identificação pessoal (PII) e acesso a dispositivos comprometidos, além de extorquir dinheiro às vítimas.
O grupo foi observado usando canais privados do Telegram para se comunicar com os membros e compartilhar detalhes sobre ferramentas ofensivas. Com base nesta comunicação, a EclecticIQ acredita que o grupo começou a usar o NjRAT para acesso remoto aos dispositivos das vítimas.
O Key Group apresentou pela primeira vez sua família de ransomware em 6 de janeiro e desde então continuou a usá-la em ataques.
Na máquina da vítima, o ransomware do Grupo Chave exclui cópias de sombra de volume (usando ferramentas disponíveis no mercado) e backups feitos com a ferramenta Backup do Windows Server e tenta desabilitar recursos de segurança, como a tela de recuperação de erros do Windows e o ambiente de recuperação do Windows.
O ransomware também pode desativar os mecanismos de atualização de ferramentas antimalware de vários fornecedores, incluindo Avast, ESET e Kaspersky.
Ao analisar a ameaça, os pesquisadores de segurança da EclecticIQ descobriram vários erros criptográficos que lhes permitiram desenvolver um descriptografador para o ransomware, para ajudar as vítimas.
Os pesquisadores observaram que o ransomware emprega criptografia AES e usa uma chave estática codificada em base64 para criptografar os arquivos das vítimas, sem aplicar sal suficiente aos dados criptografados.
“O autor da ameaça tentou aumentar a aleatoriedade dos dados criptografados usando uma técnica criptográfica chamada salting. O sal era estático e usado para todos os processos de criptografia, o que representa uma falha significativa na rotina de criptografia”, explica EclecticIQ.
Na nota de resgate colocada nos computadores das vítimas, entretanto, os invasores alegaram que os arquivos foram criptografados com um algoritmo de criptografia de nível militar e que os dados só poderiam ser recuperados mediante o pagamento de um resgate.
EclecticIQ afirma que sua ferramenta de descriptografia gratuita pode ser usada para descriptografar arquivos que possuem a extensão .keygroup777tg, mas alerta que a ferramenta é experimental e pode não funcionar em todas as amostras de ransomware do Key Group.
A ferramenta, um script Python disponível na parte inferior do Relatório do EclecticIQ no ransomware Key Group, só funciona com amostras compiladas após 3 de agosto.