La società di antivirus Avast ha scoperto un punto debole nello schema crittografico della famiglia di ransomware DoNex. Per questo motivo ha rilasciato un decryptor, in modo che le vittime possano recuperare i propri file gratuitamente. L'azienda afferma di aver collaborato con le forze dell'ordine per fornire privatamente il decryptor alle vittime del ransomware DoNex da marzo 2024. I fornitori di sicurezza informatica comunemente distribuiscono i decryptor in questo modo per impedire agli autori delle minacce di venire a conoscenza del bug e risolverlo. La falla è stata resa pubblica alla conferenza sulla sicurezza informatica Recon 2024 del mese scorso. Avast ha poi deciso di rilasciare il decryptor.
DoNext è un rebrand del 2024 di DarkRace, che a sua volta era un rebrand del 2023 del ransomware Muse, rilasciato per la prima volta nell'aprile 2022. Il difetto scoperto da Avast ha un impatto su tutte le precedenti varianti della famiglia di ransomware DoNex. Avast afferma che la recente attività di DoNex si è concentrata negli Stati Uniti, Italia e Belgio, ma ha avuto una portata mondiale.
Avast: come funziona l’attacco ransomware DoNex
Durante l'esecuzione del ransomware DoNex, viene generata una chiave di crittografia utilizzando la funzione 'CryptGenRandom()'. Per fare ciò viene inizializzata una chiave simmetrica ChaCha20 utilizzata per crittografare i file del bersaglio. Dopo la fase di crittografia del file, la chiave ChaCha20 viene crittografata utilizzando RSA-4096 e aggiunta alla fine di ciascun file. Avast non ha spiegato dove risieda il punto debole, quindi potrebbe riguardare il riutilizzo delle chiavi, la generazione prevedibile delle chiavi, il riempimento improprio o altri problemi. Vale la pena notare che DoNex utilizza la crittografia intermittente per file di dimensioni superiori a 1 MB. Questa tattica aumenta la velocità durante la crittografia dei file, ma introduce punti deboli che possono essere sfruttati per ripristinare i dati crittografati senza pagare un riscatto.
Il decryptor di Avast per DoNex e le varianti precedenti è disponibile sul sito della società di sicurezza. Si consiglia agli utenti di scegliere la versione a 64 bit, poiché la fase di cracking della password richiede molta memoria. Lo strumento di decrittazione deve essere eseguito da un utente amministratore, richiedendo una coppia di file crittografati e originali. Avast consiglia agli utenti di fornire il file più grande possibile come file di "esempio". Ciò determinerà la dimensione massima del file che può essere decrittografato utilizzando lo strumento. Bisogna infine assicurarsi di eseguire il backup dei file crittografati prima di tentare la decrittografia. La possibilità che qualcosa vada storto e danneggi i file oltre il ripristino è sempre dietro l’angolo.