Show threadWho Let The Dogs Out 🐾Aug 21, 2025

#blue_team #cryptography #darkbit #profero

В своей работе Profero сосредоточилась на анализе esxi.darkbit — утилиты на C++ с библиотекой Crypto++. Она шифрует образы виртуальных дисков (.VMDK) через AES-128-CBC, а ключ и IV шифрует RSA-2048 и добавляет в конец файла вместе с маркером DARKBIT_ENCRYPTED_FILES.

Исследователи построили специальный harness для перебора ключей AES-128-CBC и отдельный дешифратор. На кластере HPC один VMDK удавалось восстановить примерно за сутки. Затем процесс ускорили с помощью приема known-plaintext. Первый блок в режиме AES-CBC зависит только от IV и открытого текста. Зная структуру заголовка VMDK, можно проверять кандидата, расшифровывая лишь первый блок, а не весь файл.

🔗 Подробности (https://profero.io/blog/from-drone-strike-to-file-recovery-outsmarting-a-nation-state).

From Drone Strike to File Recovery: Outsmarting a Nation State

Walk through our investigation workflow, cryptographic analysis, and end-to-end data-recovery strategy, proving that "encrypted" doesn't mean unrecoverable

Who Let The Dogs Out 🐾Aug 21, 2025

Специалисты Profero взломали шифр программы-вымогателя DarkBit

#blue_team #cryptography #darkbit #profero

Шифр удалось обойти простыми логическими приемами и криптоанализом. Главная его слабость кроется в предсказуемой генерации ключей — сид для rand() формируется из суммы time() + PID + два адреса в стеке, после чего генерируется 16-байтный ключ AES-128 и 16-байтный IV (Initialization Vector). Это резко сокращает пространство поиска и позволяет восстанавливать ключи простым перебором. Кроме того, DarkBit зашифровывает только часть блоков (например, 1 МБ из каждых 10 МБ для небольших файлов), поэтому значительные куски данных остаются открытыми. В ряде случаев этого было достаточно, чтобы извлечь важные данные без подбора ключа.

The DefendOps DiariesAug 11, 2025

Profero just turned the tables on DarkBit ransomware by exploiting a weak encryption flaw. Their breakthrough not only freed crucial data—it points to new ways to fight cyber threats. Curious how they did it?

https://thedefendopsdiaries.com/proferos-innovative-decryption-of-darkbit-ransomware/

#profero
#darkbitransomware
#cybersecurity
#ransomwaredecryption
#vmwareesxi

Profero's Innovative Decryption of DarkBit Ransomware

Profero decrypts DarkBit ransomware, showcasing innovative cybersecurity strategies against geopolitical cyber threats.

The DefendOps Diaries
SecurityLabOct 19, 2020
Иранская группировка MuddyWater атаковала крупные израильские организации #Profero, #ClearSky, #MuddyWater, #Thanos, #PowGoop https://www.securitylab.ru/news/513162.php https://twitter.com/SecurityLabnews/status/1318138586533908486/photo/1
Иранская группировка MuddyWater атаковала крупные израильские организации

Атака выглядела как попытка вымогательства, однако настоящей целью хакеров была не кража данных, а нанесение ущерба.