White Phoenix met le feu au chat noir !
L’outil White Phoenix permet de récupérer certains fichiers pris en otage par des hackers malveillants adeptes de ransomware du groupe BlackCat Alphv.
Le chiffrement discontinu est une technique utilisée par certains auteurs de ransomwares pour chiffrer les fichiers de manière altérée. Il consiste à alterner entre des données chiffrées et manquantes, rendant ainsi les fichiers inutilisables pour les victimes. Ce type de chiffrement permet aux attaquants d’exécuter rapidement des opérations malveillantes, mais il présente également une opportunité pour les experts en sécurité de récupérer partiellement les fichiers affectés.
En septembre dernier, les développeurs de ransomwares ont commencé à mettre en œuvre le chiffrement discontinu dans leurs attaques, parmi lesquels le ransomware BlackCat/ALPHV. Face à cette évolution, les spécialistes de CyberArk ont développé un outil de déchiffrement appelé White Phoenix, qui exploite spécifiquement les lacunes du chiffrement discontinu.
L’équipe a réalisé des expériences avec des fichiers PDF, cherchant à récupérer le texte et les graphiques affectés. Au cours de leurs analyses, ils ont découvert que les modes de chiffrement utilisés par BlackCat ne touchent pas de nombreux éléments au sein des documents PDF. Cela leur a donné une base pour développer efficacement White Phoenix, capable de restaurer partiellement les fichiers pris en otage.
Le succès initial de White Phoenix avec les fichiers PDF a conduit les experts à explorer d’autres formats de fichiers. Ils ont pu étendre l’efficacité de l’outil pour des formats couramment utilisés tels que les archives ZIP, les documents Word (docx, docm, dotx, dotm, odt), les feuilles de calcul Excel (xlsx, xlsm, xltx, xltm, xlsb, xlam, ods) et les présentations PowerPoint (pptx, pptm, ptox, potm, ppsx, ppsm, odp).
Identification des parties saines
L’approche utilisée par White Phoenix repose sur l’identification des parties non chiffrées des fichiers. En récupérant ces parties, les experts peuvent reconstruire partiellement les fichiers et restaurer une partie de leur contenu original. Cependant, il est important de noter que la récupération n’est pas complète, car les parties manquantes restent irrécupérables.
L’introduction de White Phoenix comme outil pour le chiffrement discontinu représente une avancée significative dans la lutte contre les ransomwares. Cela offre une lueur d’espoir aux victimes qui ont été touchées par cette technique de chiffrement altérée, leur permettant de récupérer au moins une partie de leurs fichiers. Néanmoins, il est essentiel de continuer à renforcer les mesures de sécurité et de sensibilisation pour prévenir les attaques de ransomware et protéger les données de manière proactive. En contre partie, il y a de forte chance que les pirates adaptes leurs outils pour contrer White Phoenix.
Pour finir, si de nombreux petits groupes de ransomwares sont sortis de terre ces derniers jours, on notera la disparition, depuis bientôt une semaine du groupe Royal. Il ne reste plus qu’un espace « support SAV » accessible. Les autres « outils » de communication de ces pirates ont disparu du dark web.