Жертвы вымогателя Clop для Linux на протяжении нескольких месяцев бесплатно расшифровывали свои данные

[Artifact]

Досадный недочёт в коде шифровальщика не позволил хакерам как следует заработать.

Банда вымогателей под названием Clop уже несколько месяцев использует в своих атаках одноимённый шифровальщик, нацеленный на серверы Linux. Однако ошибка в схеме шифрования позволила жертвам в течение нескольких месяцев незаметно восстанавливать свои файлы, причём абсолютно бесплатно.
Данная версия Clop для Linux была обнаружена в декабре 2022 года Антонисом Терефосом, исследователем из SentinelLabs. Вредонос был выявлен после того, как группировка использовала его вместе с аналогичным вариантом для Windows при атаке на один из университетов Колумбии.
Несмотря на то, что версии для Linux и Windows очень похожи, поскольку обе используют один и тот же метод шифрования и почти идентичную логику процесса, всё же есть некоторые различия, в основном обусловленные разной структурой операционных систем.
Вредоносная программа Clop для Linux пока что находится на ранней стадии разработки, поскольку в ней всё ещё отсутствуют надлежащие механизмы запутывания и уклонения от систем безопасности. Также специалисты SentinelLabs обнаружили в ней забавный недостаток, который позволяет жертвам восстановить все свои файлы, не платя мошенникам никаких денег.
Всё дело в том, что текущая версия для Linux использует жёстко запрограммированный RC4 мастер-ключ для генерации ключей шифрования файлов. Более того, этот же мастер-ключ затем «шифрует сам себя» и сохраняется в локальный файл на диске.
Эта слабая схема абсолютно не защищает ключи от свободного извлечения и последующей расшифровки файлов, что и сделали в SentinelLabs. Расшифровывающий скрипт представители компании выложили на GitHub .

Недочёт в схеме шифрования
В дополнение к отсутствию защиты ключа, SentinelLabs также обнаружила, что при записи зашифрованного ключа в файл, вредоносная программа записывает и некоторые дополнительные данные. Например сведения о файле, такие как его размер и время шифрования. Эти данные также должны быть скрыты, поскольку могут быть использованы специалистами для расшифровки файлов.

Запись RC4 и дополнительных данных в файл
Программа-вымогатель Clop для Linux вряд ли станет широко распространенной угрозой в её нынешнем виде. Выпуск дешифратора, вероятно, подтолкнет авторов Clop к доработке программы и выпуску улучшенной версий с надлежащей схемой шифрования.
SentinelLabs сообщили, что уже поделились своим дешифратором с правоохранительными органами, чтобы они смогли помочь жертвам атаки восстановить свои файлы.