Криптографические ошибки нового Midnight ransomware позволяют восстановить файлы без выплаты выкупа

Midnight был впервые идентифицирован специалистами Gen как развитие семейства Babuk, которое изначально появилось в начале 2021 года и быстро приобрело репутацию благодаря агрессивной тактике и продвинутым техническим характеристикам. Исходный код Babuk был опубликован в открытом доступе в середине 2021 года, что привело к появлению множества производных шифровальщиков. Midnight представляет собой одну из таких эволюционных ветвей, сохраняя основную структуру Babuk, но с критическими изменениями в криптографической схеме.

Узнать заражение Midnight ransomware можно по характерным признакам. Программа обычно добавляет расширения .Midnight или .endpoint к зашифрованным файлам, хотя в некоторых конфигурациях может не изменять имена файлов, а добавлять строку расширения непосредственно в конец содержимого файла. В пораженных директориях появляется файл с требованием выкупа под названием How To Restore Your Files.txt. Дополнительными индикаторами компрометации являются создание мьютекса с именем Mutexisfunnylocal для предотвращения одновременного запуска нескольких экземпляров программы, а также отладочные файлы Report.Midnight или debug.endpoint в зависимости от конфигурации.

Ключевой особенностью Midnight, отличающей его от предшественников, стали криптографические ошибки в реализации. Хотя программа использует современные алгоритмы шифрования ChaCha20 для содержимого файлов и RSA для шифрования ключей, в процессе разработки были допущены существенные просчеты. Исследователям удалось выявить уязвимости в механизме управления ключами, которые делают возможным дешифрацию файлов без знания закрытого RSA-ключа.

Для повышения производительности Midnight применяет технологию выборочного шифрования, унаследованную от Babuk, но с более детализированной логикой определения шифруемых участков файлов на основе их размера. Это позволяет быстрее обрабатывать большие файлы, сохраняя их функциональную непригодность. Ранние версии шифровальщика в основном targeted высокоценные файлы, включая базы данных, резервные копии и архивы с расширениями .mdf, .ndf, .bak, .sql и другими. Более поздние варианты расширили спектр атакуемых файлов, шифруя практически все типы данных за исключением исполняемых файлов .exe, .dll и .msi.

Программа поддерживает различные параметры командной строки для контроля поведения, включая режим добавления расширения непосредственно в содержимое файла, шифрование сетевых томов и целевое воздействие на определенные директории. Эти функциональные возможности демонстрируют развитие тактик по сравнению с оригинальным Babuk, однако криптографические недоработки сводят на нет потенциальную эффективность шифровальщика.

Исследовательская группа Gen разработала работоспособный дешифратор, использующий обнаруженные уязвимости в реализации криптографии Midnight. Это представляет редкую возможность для жертв атаки восстановить свои данные без выплаты выкупа злоумышленникам. Специалисты подчеркивают важность своевременного обнаружения признаков заражения и рекомендуют организациям уделять особое внимание защите критически важных данных, несмотря на наличие инструментов восстановления.

Ситуация с Midnight наглядно демонстрирует, что даже при использовании продвинутых криптографических алгоритмов ошибки реализации могут сделать всю систему уязвимой. Эксперты по кибербезопасности отмечают, что публикация исходных кодов ransomware-программ создает двоякую ситуацию: с одной стороны, это способствует появлению новых вредоносных семейств, с другой - позволяет исследователям быстрее находить и исправлять уязвимости в их реализации.

SHA256

• 1e58448808006de410ddb31a4d6ff8292aa70168f69f2b7e08144d6090d5084d
• 300c46bf17e8bd0cd5ac800a33e1d27ef9001aecef1f98965414bf9c33af19e0
• 3d9a71cfec82fef531227465f40d9106e671ef162fa3ab21119e2ee08612e0aa
• aa8a043fd3d64fc96864cf5361bbb82012cc4b2e1a909c747038edcf2b4369e7
• dd9de77c6e17093b0b2150b3f0c66e8526369ba68fb7b9a5758ff9274d85342e