🔥Adquiere tu membresía:  acceso a todos los cursos, videos eliminados, contenidos protegidos, manuales y más. >> Ver Más
Iniciar sesión

Este nuevo descifrador de ransomware recupera datos de archivos parcialmente cifrados

Un nuevo descifrador de ransomware llamado ‘White Phoenix’ permite a las víctimas recuperar parcialmente archivos cifrados por cepas de ransomware que utilizan cifrado intermitente.

El cifrado intermitente es una estrategia empleada por varios grupos de ransomware que alterna entre cifrar y no cifrar fragmentos de datos. Este método permite cifrar un archivo mucho más rápido y, al mismo tiempo, dejar los datos inutilizables para la víctima.

En septiembre de 2022,  Sentinel Labs informó  que el cifrado intermitente está ganando terreno en el espacio del ransomware, con todos los grandes  RaaS ofreciéndolo al menos como una opción para los afiliados y BlackCat/ALPHV aparentemente con la implementación más sofisticada.

Cifrado intermitente de BlackCat 

Sin embargo, según CyberArk, que desarrolló y publicó ‘White Phoenix’, esta táctica presenta debilidades en el cifrado, ya que dejar partes de los archivos originales sin cifrar crea el potencial para la recuperación de datos gratuita.

Las bandas de ransomware que usan cifrado intermitente incluyen BlackCat, Play,  ESXiArgs, Qilin/Agenda y BianLian.

Recuperación de archivos parcialmente cifrados

CyberArk desarrolló White Phoenix después de experimentar con archivos PDF parcialmente cifrados, intentando recuperar texto e imágenes de objetos de transmisión.

Ejemplo de objeto de flujo de PDF

Los investigadores encontraron que en ciertos modos del cifrado de BlackCat, muchos objetos en los archivos PDF no se ven afectados. Es decir, permite extraer los datos.

En el caso de los flujos de imágenes, recuperarlos es tan simple como eliminar los filtros aplicados.

En el caso de la recuperación de texto, los métodos de restauración incluyen identificar fragmentos de texto en los flujos y concatenarlos o invertir la codificación hexadecimal y la codificación CMAP (asignación de caracteres).

Después de recuperar con éxito archivos PDF con la herramienta White Phoenix, CyberArk encontró posibilidades de restauración similares para otros formatos de archivo, incluidos archivos basados ​​en archivos ZIP.

Estos archivos que utilizan el formato ZIP incluyen Word (docx, docm, dotx, dotm, odt), Excel (xlsx, xlsm, xltx, xltm, xlsb, xlam, ods) y PowerPoint (pptx, pptm, ptox, potm, ppsx, ppsm, odp).

Entradas de archivo en archivo ZIP

La restauración de estos tipos de archivos se logra mediante el uso de 7zip y un editor hexadecimal para extraer los archivos XML sin cifrar de los documentos afectados y realizar el reemplazo de datos.

White Phoenix automatiza todos los pasos anteriores para los tipos de archivos admitidos, aunque en algunos casos puede ser necesaria la intervención manual.

La herramienta está disponible para descargar de forma gratuita desde el  repositorio público de GitHub de CyberArk.

Limitaciones prácticas

Los analistas informaron que su herramienta de recuperación automática de datos debería funcionar bien para los tipos de archivos mencionados cifrados por las siguientes cepas de ransomware:

  • BlackCat/ALPHV
  • Play ransomware
  • Qilin/Agenda
  • BianLian
  • DarkBit

Sin embargo, es esencial tener en cuenta que White Phoenix no producirá buenos resultados en todos los casos, incluso si es teóricamente compatible.

Por ejemplo, si se ha cifrado una gran parte de un archivo, incluidos sus componentes críticos, los datos recuperados pueden estar incompletos o ser inútiles. Por lo tanto, la eficacia de la herramienta está directamente relacionada con la magnitud del daño al archivo.

Para los casos en los que el texto se almacena como objetos CMAP en archivos PDF, la recuperación solo es posible si ni el texto ni los objetos CMAP están cifrados, excepto en casos excepcionales en los que la codificación hexadecimal coincide con los valores de caracteres originales.

Expertos probaron White Phoenix con una pequeña muestra de archivos PDF cifrados con ALPHV y archivos PPTX y DOCX cifrados con Play y no pudieron recuperar ningún dato con la herramienta. 

Sin embargo, CyberArk explicó que esto podría deberse a que no se utilizó el cifrado intermitente en los ataques de las muestras o que los archivos están demasiado cifrados para analizarlos correctamente.

“Dependiendo de la muestra de ransomware específica que se utilice, los diferentes tamaños de archivo pueden estar demasiado cifrados para recuperar datos. Si los siguientes caracteres no se ven en el archivo, es probable que esté completamente cifrado y White Phoenix no podrá ayudar.

Declaración de CyberArk

Funcionamiento óptimo de la herramienta

Para que White Phoenix funcione correctamente, los formatos Zip/Office deben contener la cadena “PK\x03\x04” en el archivo para que sean compatibles. Además, los archivos PDFs deben contener cadenas “0 obj” y “endobj” para recuperarse parcialmente.

Si White Phoenix no puede encontrar estas cadenas, indicará que el tipo de archivo no es compatible, como se muestra a continuación en algunas pruebas limitadas.

Probando White Phoenix contra un archivo cifrado de Play

Si bien es posible que este descifrador no funcione para todos los archivos, podría ser muy útil para que las víctimas intenten recuperar “algunos” datos de archivos críticos.

CyberArk invita a todos los investigadores de seguridad a descargar y probar la herramienta y unirse al esfuerzo para mejorarla y ayudar a extender su soporte a más tipos de archivos y variedades de ransomware.

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información