Se publica descifrador gratuito para ransomware BlackByte

Investigadores de SpiderLabs de Trustwave han lanzado un descifrador gratuito para el ransomware BlackByte que puede permitir a las víctimas recuperar sus archivos sin la necesidad de pagar por su rescate, sin embargo, aún se mantiene en duda su efectividad.

Ransomware BlackByte

Nota de rescate BlackByte

Como ya hemos mencionado en boletines previos como “Ransomwares emergentes entran al panorama de amenazas” Blackbyte se encuentra presente y activo en el panorama nacional y sudamericano sumando  cerca de 12 víctimas desde su aparición, hace aproximadamente 2 meses, entre las cuales dos de ellas se encuentran en Chile y pertenecen al rubro metalúrgico y de retail.

Recientemente el equipo de Trustwave realizó una investigación en profundidad sobre Blackbyte en la cual pudieron observar una pieza interesante del ransomware. Previo a ello, los investigadores en su reporte mencionan características peculiares que hacen destacar a Blackbyte de entre sus pares.

Algunas otras características de Blackbyte son:

• Verifica el idioma del sistema para asegurarse de que no afecta a las víctimas en geografías específicas.
  • Evita infectar sistemas con idiomas rusos y ex-URSS.
• Tiene capacidades similares a las de un gusano y se bloquea si falla la descarga de la clave de cifrado.
• Prepara el sistema de destino antes de iniciar el cifrado para asegurarse de que el proceso no se interrumpa
• Elimina aplicaciones específicas que pueden evitar el cifrado. 
  • También elimina los procesos que podrían interferir con la operación y, si encuentra la utilidad anti-ransomware Raccine, la desinstala del sistema.
• Elimina todas las instantáneas y los puntos de restauración de Windows, elimina la papelera de reciclaje, deshabilita el acceso controlado a las carpetas, habilita el uso compartido de archivos e impresoras y el descubrimiento de redes.
• Habilita el protocolo SMBv1 y otorga acceso completo a las unidades de destino a cualquier persona.
• Enumerar los nombres de host en el dominio desde Active Directory, hace ping a los identificados para asegurarse de que estén activos y luego intenta copiarse y ejecutarse en los hosts.

Descifrador de archivos 

De forma general el descifrador identifica y analiza un falso archivo .PNG dejado por el malware que contiene las claves AES de cifrado en texto plano de cada víctima, esta clave descargada es la misma que se utiliza para desencriptarlos, por lo que el software toma estas claves y tras su manipulación permiten descifrar archivos comprometidos mediante procesos automatizados que se pueden ver detallados técnicamente en la web del proveedor en los siguientes enlaces:

• https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/blackbyte-ransomware-pt-1-in-depth-analysis/
• https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/blackbyte-ransomware-pt-2-code-obfuscation-analysis/

Además, es posible encontrar y utilizar la herramienta puesta a disposición públicamente en GitHub por parte de sus desarrolladores.

A diferencia de otros ransomware que pueden tener una clave única en cada sesión, BlackByte usa la misma clave, por lo que es posible inferir un menor grado de desarrollo o experticia por parte de los atacantes.

Diagrama de flujo del descifrador 

BlackByte 

Respecto al descifrador ofrecido, desde BlackByte rápidamente se hizo mención a esto en su website de la red TOR indicando que lo dicho por investigadores no era tal y que la utilización de esta herramienta por sus afectados podría resultar en la pérdida definitiva de sus documentos ya que la clave de descifrado no es única como se asevera.

Publicación de negación de efectividad de herramienta de descifrado de Blackbyte

Recomendación

Hasta el momento no existen indicios o evidencias que permitan confirmar la veracidad de esta alerta por lo que recomendamos:

“Si desea utilizar esta herramienta se deberá efectuar las pruebas pertinentes en una ambiente controlado y seguro objeto evitar posibles afectaciones o corrupción de la data secuestrada.”

Tras el corto tiempo de aparición, BlackByte ha sumado múltiples víctimas afectando el panorama nacional, por lo que no se descarta que sume nuevos afectados con el paso del tiempo, sin embargo, esto va a depender directamente de la funcionalidad del Decryptor publicado y las medidas que sumen desde BlackByte para evadir este software.

Si bien investigadores han lanzado la herramienta mencionando que serviría para cualquier afectado, desde el mismo sitio de BlackByte anuncian que este hecho no es así y que de intentarlo se podría dañar la información cifrada, por lo que es cuestión de tiempo verificar si esta herramienta es realmente útil para todos los casos y desde la agrupación necesitan generar miedo a afectados para no perder sus negociaciones o que tras la utilización con resultados erróneos termine por dar la razón a los ciberactores.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, limite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.