Исследователи кибербезопасности выявили критическую уязвимость в новом шифровальщике Midnight ransomware, созданном на базе утекшего кода Babuk. Попытка авторов ускорить шифрование и расширить охват целей привела к ошибке в реализации схемы с использованием RSA, что позволило специалистам Norton подготовить и опубликовать бесплатный дешифровщик для пострадавших систем.
Midnight: наследие Babuk и ставка на скорость
По данным исследователей, Midnight практически полностью воспроизводит архитектуру Babuk, исходники которого стали общедоступны в 2021 году и с тех пор легли в основу множества форков. Как и «прародитель», малварь применяет частичное шифрование файлов для максимального ускорения атаки: зашифровываются фрагменты, а не весь контент, из-за чего крупные документы и базы данных становятся нечитаемыми почти мгновенно.
В свежих сборках Midnight заметно расширен перечень целей: вредонос охватывает практически все популярные типы файлов, исключая .exe, .dll и .msi. На скомпрометированных узлах у файлов появляются расширения .midnight или .endpoint; иногда метка внедряется прямо в содержимое. Жертвам оставляют записку с требованиями выкупа How To Restore Your Files.txt, а также диагностические логи вроде report.midnight или debug.endpoint, по которым можно проследить ход выполнения скрипта.
Схема ChaCha20 + RSA и почему она дала сбой
Midnight использует гибридный подход: содержимое файлов шифруется поточным алгоритмом ChaCha20, а ключ сессии защищается при помощи RSA. Именно в части, связанной с управлением RSA-ключами, исследователи обнаружили ошибку. Недочет сначала открыл возможность частичного восстановления данных, а затем позволил создать полноценный дешифровщик. Эта ситуация наглядно демонстрирует, что даже использование современных и устойчивых примитивов не гарантирует безопасности при неверной реализации ключевых процедур.
Бесплатный дешифровщик Norton: как он работает
Инструмент Norton доступен для Windows x86 и x64 и рассчитан на пользователей без специальных навыков. Утилита автоматически ищет зашифрованные данные (в том числе с расширениями .midnight и .endpoint), создает резервные копии и запускает процесс восстановления. Эксперты рекомендуют не отключать создание бэкапов в утилите, чтобы минимизировать риск случайной потери информации при нештатных сбоях или поврежденных файлах.
Индикаторы компрометации и наблюдаемые артефакты
К типичным индикаторам относятся: появление новых расширений файлов, записка How To Restore Your Files.txt, а также служебные логи report.midnight или debug.endpoint. Ускоренное частичное шифрование повышает вероятность быстрого паралича ключевых сервисов, поэтому важны проактивные мониторинг и ограничение прав на доступ к сетевым шару и критичным каталогам.
Последствия для организаций и рекомендации по защите
Повторное использование исходников Babuk снижает порог входа для злоумышленников, ускоряя появление новых семейств вымогателей. В то же время любой криптологический дефект в реализации, как в случае с Midnight, дает защитникам шанс на восстановление. Однако разработчики малвари обычно оперативно выпускают исправления, поэтому окно возможностей может быть ограничено по времени.
Практические меры: изолируйте зараженные хосты, сохраните копии зашифрованных файлов и получите официальный дешифровщик Norton. Проведите ревизию политик резервного копирования (с обязательной офлайн-копией), настройте многоуровневую сегментацию сети, внедрите EDR/поведенческое обнаружение, ограничьте привилегии учетных записей и оперативно закрывайте уязвимости через регулярное обновление ПО. Для SOC-команд полезны дополнительные правила корреляции по факту массовой модификации расширений и появлению характерных артефактов вымогателя.
История с Midnight подтверждает, что безопасность зависит не только от выбора алгоритмов, но и от корректной криптореализации. Пока уязвимость позволяет расшифровывать файлы, организациям рекомендуется воспользоваться бесплатным инструментом Norton, усилить резервирование и пересмотреть процессы реагирования на инциденты. Это снизит время простоя и ущерб при возможных последующих кампаниях вымогателей.
