บริษัท Antivirus Avast ได้ค้นพบช่องโหว่ในโครงสร้างเข้ารหัสของแรนซัมแวร์ตระกูล DoNex และได้ปล่อยเครื่องมือถอดรหัสเพื่อให้เหยื่อสามารถกู้คืนไฟล์ได้ฟรี
บริษัทระบุว่าได้ทำงานร่วมกับหน่วยงานบังคับใช้กฎหมายในการให้เครื่องมือถอดรหัสแก่เหยื่อของแรนซัมแวร์ DoNex ตั้งแต่เดือนมีนาคม 2024 โดยบริษัทความปลอดภัยไซเบอร์จะแจกจ่ายเครื่องมือถอดรหัสในลักษณะนี้(ไม่บอกรายละเอียดของช่องโหว่) เพื่อป้องกันไม่ให้ผู้โจมตีทราบเกี่ยวกับช่องโหว่ และแก้ไขมัน
ช่องโหว่นี้ถูกเปิดเผยต่อสาธารณะในงานประชุมความปลอดภัยไซเบอร์ Recon 2024 เดือนที่แล้ว ดังนั้น Avast จึงตัดสินใจปล่อยเครื่องมือถอดรหัสออกมา
การถอดรหัส DoNex
DoNex เป็นการรีแบรนด์ในปี 2024 ของกลุ่ม DarkRace ซึ่งเป็นการรีแบรนด์ในปี 2023 ของแรนซัมแวร์ Muse ที่ถูกปล่อยออกมาในเดือนเมษายน 2022
ช่องโหว่ที่ค้นพบโดย Avast มีอยู่ในแรนซัมแวร์ตระกูล DoNex เวอร์ชันก่อนหน้าทั้งหมด รวมถึงเวอร์ชันปลอมที่ใช้แบรนด์ Lockbit 3.0 ที่ใช้จากกลุ่ม 'Muse' ในเดือนพฤศจิกายน 2022
Avast ระบุว่าจากการตรวจสอบของบริษัท การโจมตีล่าสุดของ DoNex มีเป้าหมายในสหรัฐอเมริกา, อิตาลี และเบลเยียม แต่ก็พบการแพร่กระจายไปทั่วโลก
ช่องโหว่ในระบบการเข้ารหัส
ในระหว่างการดำเนินการของ DoNex แรนซัมแวร์ encryption key จะถูกสร้างขึ้นโดยใช้ฟังก์ชัน 'CryptGenRandom()' ซึ่งเป็นการเริ่มต้น ChaCha20 symmetric key ที่ใช้ในการเข้ารหัสไฟล์เป้าหมาย
หลังจากขั้นตอนการเข้ารหัสไฟล์ ChaCha20 key จะถูกเข้ารหัสโดยใช้ RSA-4096 และถูกเพิ่มลงในส่วนท้ายของแต่ละไฟล์
Avast ยังไม่ได้อธิบายว่าช่องโหว่อยู่ที่ใด ดังนั้นอาจเป็นเรื่องของ key reuse, การสร้าง key ที่สามารถคาดเดาได้ หรือปัญหาอื่น ๆ
สังเกตว่า DoNex ใช้การเข้ารหัสสลับสำหรับไฟล์ที่มีขนาดใหญ่กว่า 1MB วิธีการนี้เพิ่มความเร็วเมื่อเข้ารหัสไฟล์ แต่ทำให้เกิดช่องโหว่ที่สามารถใช้เพื่อกู้คืนข้อมูลที่เข้ารหัสได้โดยไม่ต้องจ่ายค่าไถ่
เครื่องมือถอดรหัสของ Avast สำหรับ DoNex และเวอร์ชันก่อนหน้า สามารถดาวน์โหลดได้จาก (hxxps://decoded.