BlackByte ランサムウェア:バグにより複合キーが漏れ出したようだ

BlackByte ransomware decryptor released to recover files for free

2021/10/19 BleepingComputer — ランサムウェア BlackByte の復号器が無償で公開され、これまでの被害者は身代金無しでファイルを復元できるようになった。ほとんどのケースにおいて、ランサムウェアが実行されると、被害者のデバイスを暗号化するための、ファイル/マシンごとに固有の暗号化キーである、セッションキーと呼ばれるものが生成される。

これらの鍵は、RSA 公開鍵で暗号化され、暗号化されたファイルや身代金請求書の末尾に付加される。この暗号化された鍵は、ランサムウェア実行犯だけが知っている、秘密の復号鍵によってのみ復号される。そして、被害者が身代金を支払った際に、脅威アクターが暗号化キーを用いて、データを復号する。

BlackByte による暗号化キーの再利用

Trustwave のレポートで研究者たちは、ランサムウェア管理下のリモート・サイトから、forest.png というファイルをダウンロードしていたと説明している。このファイルは、画像ファイルのような名前が付けられているが、実際にはデバイスの暗号化に使用される AES 暗号化キーを含んでいる。BlackByte では AES 対称暗号を採用されているため、ファイルの暗号化と復号化で同じ鍵が使用される。

BlackByte は、このダウンロードした AES 暗号化キーも、暗号化して身代金請求書に添付しているが、複数の被害者に対して同じ forest.png ファイルが再利用されていることを、Trustwave が発見した。同じ「生」の暗号化キーが再利用されていたことで、そのキーを使うことで、Trustwave は被害者のファイルを無償で復元するための、復号機を構築することができた。

しかし、このように無料の復号機を公開すると、ランサムウェア・ギャングはプログラムのバグを検知し、すぐに修正されてしまうという問題が生じる。Trustwave の報告書と復号機が、ランサムウェア・ギャングに気づかれなかったわけではない。ランサムウェア・ギャングは、複数の鍵を使用しており、誤った鍵で復号機を利用すると被害者のファイルが破損すると警告している。

BlackByte は、「誤った鍵で復号化を行うと、すべてが破壊され、二度とシステムを復元できなくなる可能性がある。これを使用する場合は、自己責任で行うべきだ」と警告している。また、BlackByte の被害者が、Trustwave の復号機を使用する場合には、Github からソースコードをダウンロードし、自身でコンパイルする必要がある。

Trustwave は、復号鍵の抽出に使用する、デフォルトの forest.png ファイルを同梱しているが、そのファイルでダウンロードした暗号鍵を、BlackByte がローテーションしている可能性がある。このため、復号化を試みる前に、対象となるファイルをバックアップすることが、強く推奨されている。

また、暗号化されたデバイスに forest.png ファイルが存在する場合には、Trustwave の復号化ツールに同梱されているファイルではなく、そのファイルを使用するようにすべきだ。

BlackByte とは何者か?

BlackByte は、2021年7月初旬から、世界中の企業の標的にして、静かに活動を拡大してきたランサムウェアである。このランサムウェアは、BleepingComputer のフォーラムで被害者がファイルの復号化の支援を求めた後に、始めて報告されている。

C# で書かれた BlackByte は、デバイスの暗号化を成功させるために、多数のセキュリティ/メールサーバー/データベースなどのプロセスを終了させようとする。また、このランサムウェアは、暗号化を実行する前に、標的となるデバイスの Microsoft Defender を無効にしようとする。BlackByte は、他のランサムウェアほど活発に行動していないが、世界中で多くの攻撃を成功させており、無視することはできない。

BlackByte は、このブログで扱うのは始めてのランサムウェアです。また、この種のトピックとしては、「REvil ランサムウェアのマスター復号キーには法執行機関が絡んでいる?」と、「Kaseya はランサム支払いを否定:完全な復号化ツールを提供と言うが?」がありました。いろいろな局面で、いろいろな戦いがあるのですね。

%d bloggers like this: