Ransomware e cifratura dati: un po’ di storia
Per anni, i criminali che operano nell’ambito degli attacchi ransomware hanno cifrato i file delle vittime direttamente dai sistemi operativi Windows. L’effort della distribuzione del ransomware è sempre stata piuttosto alta, considerando che durante le fasi finali dell’attacco bisogna adottare il metodo più veloce ed efficace possibile.
Le difficoltà che si possono incontrare durante quest’ultima fase, la più critica per chi sta dall’altra parte della barricata, sono molteplici, come ad esempio:
- Server spenti (guasto o manutenzione)
- Antimalware/EDR che bloccano l’esecuzione del ransomware
- Problemi o interruzioni di rete
- Essere scoperti dall’azienda o dall’eventuale SOC
Per questi motivi, durante gli ultimi due anni, svariati gruppi criminali hanno iniziato a sviluppare e distribuire ai propri affiliati nuove versioni dei propri cifratori che prevedono anche versioni Linux e con esse anche gli hypervisor VMWare ESXi.
In questo modo, una volta ottenute le credenziali dell’infrastruttura di virtualizzazione, i criminali spengono le Virtual Machine (VM) ed eseguono il ransomware direttamente dagli host di virtualizzazione.
Questa metodologia di cifratura, pur essendo molto più rapida ed efficace, ha fortunatamente un’altra faccia della medaglia che può aiutare in modo sensibile le vittime.
Cifratura e recupero dati: premesse
Gli algoritmi di cifratura, pur essendo ottimizzati e largamente utilizzati, sono estremamente efficaci ma anche lenti su grandi mole di dati. Per questo motivo gli sviluppatori hanno pensato di cifrare solo una parte dei file VMDK, spesso compresa tra il 30 ed il 50% della totalità.
Solitamente viene cifrata la parte iniziale del disco dove risiedono le informazioni delle partizioni e, dipendentemente dal tipo di ransomware e dagli algoritmi adottati, vengono cifrate porzioni di disco ogni tot Mb/Gb.
Dipendentemente da come sono disposti i dati su disco, dal tipo di dato e dalla dimensione dei dischi/spazio utilizzato, è possibile tentare il recupero dei file all’interno dei dischi VMDK.
Il recupero può essere effettuato in due modi:
- cercando manualmente le tracce del file MFT del file system NTFS dove risiedono le informazioni dei file/cartelle su disco e la loro posizione e ricostruendo manualmente il settore 0;
- effettuando il “carving” dei file.
Nel primo caso, se tutto va come deve, è possibile ricostruire il volume e “sfogliarne” tramite appositi tool il contenuto, mantenendo così i nomi file originali. Nel secondo, bisogna conoscere esattamente che tipo di file recuperare (estensioni) per poter creare delle firme apposite per ciascuna tipologia.
Le firme includono l’header e il footer di un file ed i software di recupero dati vanno alla ricerca dell’accoppiata, recuperando così in modo “grezzo” tutto ciò che è stato trovato. Se è vero che tutti i file hanno un header, non tutti però hanno un footer, questo perché chi ha sviluppato determinati software/file, ha progettato diversamente la struttura, non avendo così una modalità “statica” ma più dinamica.
Nel caso quindi del carving non è possibile risalire ai nomi originali dei file recuperati, considerando che non è presente alcuna tabella (MFT) ed i software di recupero procedono in una modalità più a basso livello.
Recupero dati: analisi
Durante un recente ingaggio, un’importante azienda del settore metalmeccanico ha commissionato a Cyberoo Docetz* il recupero dati dai propri dischi virtuali (file VMDK), che erano stati precedentemente crittografati tramite l’esecuzione del ransomware Akira da parte di attori malevoli.
*Cyberoo Docetz è la Business Unit di CYBEROO che si occupa di guidare le aziende nel processo di Cybersecurity attraverso servizi quali Incident Response, VA/PT, Risk Assessment, ecc.
Dopo un primo confronto con il cliente, i dischi VMDK sono stati copiati dai data store locali e messi su dischi esterni USB dedicati, successivamente spediti a Cyberoo Docetz per valutare la fattibilità di recuperare dati e, in caso positivo, procedere in tal senso.
Il cliente ha consegnato a Cyberoo n. 8 dischi VMDK crittografati con ransomware Akira e partizionati MBR/GPT:
DISCO | FILE SYSTEM | DIMENSIONE |
Disco 1 | NTFS | 1,5 TB |
Disco 2 | NTFS | 3,00 TB |
Disco 3 | NTFS | 700 GB |
Disco 4 | NTFS | 150 GB |
Disco 5 | NTFS | 130 GB |
Disco 6 | NTFS | 100 GB |
Disco 7 | NTFS | 350 GB |
Disco 8 | NTFS | 150 GB |
Tutti i file VMDK erano stati rinominati con suffisso .akira.
Recupero dati: procedimento
Cyberoo Docetz ha analizzato manualmente ogni singolo file VMDK, effettuando la ricerca del file MFT e, in caso positivo, ricostruendo il settore 0.
In seguito al processing, riscontrando una buona percentuale di validità del file MFT dei sistemi operativi Windows, si è proceduto alla ricostruzione dell’alberatura originale ed è stato possibile estrarre una buona quantità dei dati all’interno.
Figura 1 – Screenshot di 4 dischi aperti con software standard di settore
Come si evince dall’immagine sopra, che è un estratto, tra le parentesi sono riportati i numeri dei file che si sono potuti estrarre dai VMDK crittografati e consegnare in seguito al cliente.
Sugli altri tre dischi virtuali (quelli più grandi), non è stato possibile recuperare la partizione; pertanto, si è proceduto a tentare di eseguire carving con scarsi risultati, in quanto i tipi di file richiesti dal cliente che erano salvati su questi dischi adottano una struttura particolare e non è stato possibile determinarne con certezza il footer.
Figura 2 – Estratto di un record MFT recuperato
Figura 3 – Settore 0 di un disco cifrato
Nella figura sopra, ottenuta dall’apertura di un file VMDK tramite editor esadecimale, è possibile notare la casualità dei dati (cifrati).
Recupero Dati Ransomware Akira: conclusione
Analisi di questo genere fanno presupporre che, in alcuni casi come questo, quando i ransomware vengono eseguiti al di fuori dei sistemi operativi degli endpoint e quindi vanno ad impattare direttamente i dischi delle macchine virtuali sui data store, vi sia la possibilità di recuperare una parte del contenuto dei suddetti dischi, considerando anche il fatto che spesso i ransomware non eseguono la crittografia sull’intero file, ma a seconda del tipo cifrano solo parti del file, con uno schema predeterminato.