网络安全公司Profero近日成功破解了DarkBit勒索软件的加密机制,使受害者能够在无需支付赎金的情况下免费恢复数据。此次事件发生于2023年,当时Profero受邀参与调查一宗针对其客户VMware ESXi服务器的大规模攻击事件。
据悉,该攻击疑似是对伊朗国防部弹药工厂遭到无人机袭击后的报复行动,攻击方自称DarkBit,曾以亲伊朗黑客组织身份针对以色列教育机构行事,并在勒索信中要求80比特币作为赎金,并包含带有反以色列言论的声明。以色列国家网络指挥部将DarkBit行动与伊朗国家支持的APT团伙MuddyWater有关联。此次攻击不仅加密数据,还试图借影响力行动造成受害组织声誉受损。
Profero研究员发现DarkBit使用的AES-128-CBC密钥生成方法熵值过低,加上通过文件修改时间可以推断出加密时间戳,从而极大缩小了可能的密钥空间。他们还利用ESXi中VMDK文件已知的文件头信息,通过高性能运算环境暴力破解出有效解密密钥,实现了数据恢复。此外,研究人员还发现由DarkBit采用的间歇性加密方式使VMDK文件的大量内容实际未受影响,进一步促进了数据的恢复。
这一突破为类似攻击的受害者提供了无需向勒索团伙付费的新解密途径,对网络安全行业具有积极意义。