Saya baru baca blognya yohanes nugroho tentang ransomware brain cipher. Yohanes ini salah satu dewa reverse di Indonesia. Di blog itu dia share tentang reverse engineering ransomware brain cipher yang nyerang PDN. Disitu dia jelasin tentang Ransomware Lockbit, jadi brain cipher ini salah satu variannya lockbit. Walupun geng yang bikin lockbit ini udah di takedown, namun buildernya udah bocor, sehingga banyak muncul varian dari lockbit. Biasanya sebelum nyerang mereka bikin file locker.exe dan unlocker.exe. Locker.exe isinya public key, unlocker.exe isinya private key. locker.exe menghasilkan key yang unik. Malwarenya juga beda2, tergantung settingan config.json yang dipake.
Setiap locker.exe ini punya ID enkripsi yang unik. Ini buat si hacker ngenalin si korban pake kunci yang mana. Pas si korban kena ransom, file korban bakal terenkrip dan dia dapat pesan ransom, biasanya isinya alamat url yang harus dikunjungi (pake tor) dan ID enkripsi. Kalo orang buka alamat url tersebut dan masukin id enkripsi dia bisa chat sama si hacker. Lockbit ternyata udah sampe versi 3, sekarang pake algoritma Salsa20, dah gak pake AES, trus pake obfuscation juga. Yohanes dan temennya ternyata sempet menawarkan bantuan ke bssn buat ngereverse si brain cipher ini, cuman ya begitulah bssn kita. Dia coba cari sampel si ransomware dari IOC yang dishare BSSN.
Dari sampel yang dia dapet, menurut yohanes ada bug yang bisa dieksploitasi, yaitu bug keystream reuse, bahkan dia dah bikin POC nya. Dia menemukan kelemahan ransomware kalo misalnya ada 2 file di dalam satu folder, yang satu namanya pendek, yang satu namanya panjang, maka file yang namanye pendek tadi bisa dia dekrip isinya. Perbedaan panjang nama filenya harus minimal 82 karakter. Penjelasannya rada panjang tapi menarik.
tulisan yohanes bisa dilihat disini:
https://blog.compactbyte.com/2024/07/01/reverse-engineering-ransomware-brain-cipher-penyerang-pdn
tentang celah keamanan keystream reuse:
https://blog.calif.io/p/dissecting-lockbit-v3-ransomware#§keystream-reuse-vulnerability
Semoga bermanfaat!