Un nouveau décrypteur de ransomware « White Phoenix » permet aux victimes de récupérer partiellement les fichiers cryptés par des souches de ransomware qui utilisent un cryptage intermittent.

Le chiffrement intermittent est une stratégie employée par plusieurs groupes de rançongiciels qui alterne entre le chiffrement et le non chiffrement de blocs de données. Cette méthode permet de crypter un fichier beaucoup plus rapidement tout en laissant les données inutilisables par la victime.

En septembre 2022, Sentinel Labs a signalé que le chiffrement intermittent gagnait du terrain dans l’espace des ransomwares, tous les grands RaaS l’offrant au moins en option aux affiliés et BlackCat/ALPHV ayant apparemment l’implémentation la plus sophistiquée.

Cependant, selon CyberArk, qui a développé et publié « White Phoenix », cette tactique introduit des faiblesses dans le cryptage, car le fait de laisser des parties des fichiers originaux non cryptés crée un potentiel de récupération gratuite des données.

Les opérations de ransomware qui utilisent un chiffrement intermittent incluent BlackCat, Play, ESXiArgs, Qilin/Agenda et BianLian.

Récupération de fichiers partiellement cryptés
CyberArk a développé White Phoenix après avoir expérimenté des fichiers PDF partiellement cryptés, en essayant de récupérer du texte et des images à partir d’objets de flux.

Les chercheurs ont découvert que dans certains modes de cryptage BlackCat, de nombreux objets dans les fichiers PDF ne sont pas affectés, ce qui permet d’extraire les données.

Dans le cas des flux d’images, leur récupération est aussi simple que la suppression des filtres appliqués.

Dans le cas de la récupération de texte, les méthodes de restauration comprennent l’identification de morceaux de texte dans les flux et leur concaténation ou l’inversion du codage hexadécimal et du brouillage CMAP (mappage de caractères).

Après avoir récupéré avec succès des fichiers PDF à l’aide de l’outil White Phoenix, CyberArk a trouvé des possibilités de restauration similaires pour d’autres formats de fichiers, y compris des fichiers basés sur des archives ZIP.

Ces fichiers utilisant le format ZIP incluent Word (docx, docm, dotx, dotm, odt), Excel (xlsx, xlsm, xltx, xltm, xlsb, xlam, ods) et PowerPoint (pptx, pptm, ptox, potm, ppsx, ppsm, odp) formats de documents.

La restauration de ces types de fichiers est réalisée en utilisant 7zip et un éditeur hexadécimal pour extraire les fichiers XML non chiffrés des documents impactés et effectuer le remplacement des données.

White Phoenix automatise toutes les étapes ci-dessus pour les types de fichiers pris en charge, bien qu’une intervention manuelle puisse être nécessaire dans certains cas.

L’outil est disponible en téléchargement gratuit à partir du référentiel public GitHub de CyberArk.

Limites pratiques
Les analystes rapportent que leur outil de récupération de données automatisé devrait bien fonctionner pour les types de fichiers mentionnés chiffrés par les souches de rançongiciels suivantes :

  • BlackCat/ALPHV
  • Play ransomware
  • Qilin/Agenda
  • BianLian
  • DarkBit

Cependant, il est essentiel de noter que White Phoenix ne produira pas de bons résultats dans tous les cas, même s’il est théoriquement pris en charge.

Par exemple, si une grande partie d’un fichier a été cryptée, y compris ses composants critiques, les données récupérées peuvent être incomplètes ou inutiles. Ainsi, l’efficacité de l’outil est directement liée à l’étendue des dommages au dossier.

Dans les cas où le texte est stocké en tant qu’objets CMAP dans des fichiers PDF, la récupération n’est possible que si ni le texte ni les objets CMAP ne sont chiffrés, sauf dans de rares cas où le codage hexadécimal correspond aux valeurs de caractères d’origine.

Breachtrace a testé White Phoenix avec un petit échantillon de fichiers PDF cryptés ALPHV et de fichiers PPTX et DOCX cryptés par Play et n’a pu récupérer aucune donnée à l’aide de l’outil.

Cependant, CyberArk a expliqué que cela pourrait être dû au fait que le cryptage intermittent n’est pas utilisé dans les attaques dont nous avons reçu des échantillons ou que les fichiers sont trop fortement cryptés pour être correctement analysés.

« Selon l’échantillon de rançongiciel spécifique utilisé, différentes tailles de fichiers peuvent être trop cryptées pour récupérer des données. Si les caractères suivants ne sont pas visibles dans le fichier, il est probablement entièrement crypté et White Phoenix ne pourra pas vous aider,  » a déclaré CyberArk à Breachtrace.

Pour que White Phoenix fonctionne correctement, les formats Zip/Office doivent contenir la chaîne « PK\x03\x04 » dans le fichier pour être pris en charge. De plus, les PDF doivent contenir les chaînes « 0 obj » et « endobj » pour être partiellement récupérés.

Si White Phoenix ne trouve pas ces chaînes, il indiquera que le type de fichier n’est pas pris en charge, comme indiqué ci-dessous dans nos tests limités.

Bien que ce décrypteur puisse ne pas fonctionner pour tous les fichiers, il pourrait être très utile pour les victimes d’essayer de récupérer « certaines » données à partir de fichiers critiques.

CyberArk invite tous les chercheurs en sécurité à télécharger et à essayer l’outil et à se joindre à l’effort pour l’améliorer et aider à étendre sa prise en charge à davantage de types de fichiers et de souches de ransomwares.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *