
Les chercheurs ont profité d’une faiblesse du système de cryptage du ransomware Key Group et ont développé un outil de décryptage qui permet à certaines victimes de récupérer leurs fichiers gratuitement.
Le décrypteur a été créé par des experts en sécurité de la société de renseignement sur les menaces EclecticIQ et fonctionne pour les versions du malware créées début août.
Les attaquants ont affirmé que leur logiciel malveillant utilisait un « cryptage AES de niveau militaire », mais le casier utilise un sel statique dans tous les processus de cryptage, ce qui rend le schéma quelque peu prévisible et le cryptage peut être inversé.
« [Key Group ransomware] crypte les données des victimes à l’aide de l’algorithme AES en mode Cipher Block Chaining (CBC) avec un mot de passe statique donné », explique EclecticIQ.
« Le mot de passe est dérivé d’une clé utilisant la fonction de dérivation de clé basée sur le mot de passe 2 (PBKDF2) avec un sel fixe », ajoutent les chercheurs.

Profil du groupe clé
Key Group est un acteur menaçant russophone qui est entré en action début 2023, attaquant diverses organisations, volant des données sur des systèmes compromis, puis utilisant des canaux Telegram privés pour négocier le paiement de rançons.
La société russe de renseignement sur les menaces BI.ZONE a précédemment signalé que Key Group avait basé son ransomware sur le constructeur Chaos 4.0, tandis qu’EclecticIQ a vu le groupe vendre sur les marchés russophones du darknet des données et des cartes SIM volées, ainsi que partager des données doxing et un accès à distance. aux caméras IP.
Key Group efface les fichiers originaux du système victime après le processus de cryptage et ajoute l’extension de fichier .KEYGROUP777TG à toutes les entrées.
Les attaquants utilisent des binaires Windows vivant de l’extérieur, appelés LOLBins, pour supprimer les copies fantômes de volume, empêchant ainsi la restauration du système et des données sans payer de rançon.
De plus, le malware modifie les adresses hôtes des produits antivirus exécutés sur le système piraté pour les empêcher de récupérer les mises à jour.

Comment utiliser le décrypteur
Le décrypteur de ransomware Key Group est un script Python (partagé dans la section Annexe A du rapport). Les utilisateurs peuvent l’enregistrer en tant que fichier Python, puis l’exécuter à l’aide de la commande suivante :
python decryptor.py /chemin/vers/search/répertoire
Le script recherchera dans le répertoire cible et ses sous-répertoires les fichiers portant l’extension .KEYGROUP777TG et décryptera et enregistrera le contenu déverrouillé avec le nom de fichier d’origine (décodé à partir de la chaîne base64).
Notez que certaines bibliothèques Python sont requises, notamment le package de cryptographie.
Il est toujours prudent de sauvegarder vos données (cryptées) avant d’utiliser un décrypteur, car le processus peut entraîner une corruption irréversible des données et une perte permanente de données.
La sortie du décrypteur d’EclecticIQ pourrait inciter Key Group à remédier aux vulnérabilités de son ransomware, rendant les futures versions plus difficiles à décrypter. Néanmoins, l’outil reste précieux pour les personnes concernées par les versions actuelles.