Дослідники кібербезпеки повідомили про критичну ваду в новому сімействі шифрувальників Midnight ransomware, що походить від відкритого коду Babuk. Помилка у реалізації схеми RSA, покликаної захищати сесійні ключі, дозволила фахівцям Norton підготувати й опублікувати безкоштовний дешифратор для постраждалих систем.
Midnight як спадкоємець Babuk: швидкість атаки та розширена поверхня ураження
Midnight майже повністю наслідує архітектуру Babuk, вихідні коди якого з’явилися у відкритому доступі у 2021 році та стали основою для численних форків. Як і «прародитель», шкідливе ПЗ застосовує часткове шифрування даних: блокує не весь файл, а окремі фрагменти, що різко прискорює виведення з ладу великих документів і баз даних.
Останні збірки Midnight орієнтовані на широкий спектр файлів, уникаючи шифрування .exe, .dll та .msi. На скомпрометованих вузлах файли отримують розширення .midnight або .endpoint, інколи мітка вставляється безпосередньо у вміст. Залишається вимогова записка How To Restore Your Files.txt і службові логи на кшталт report.midnight чи debug.endpoint, що фіксують перебіг шифрування.
Гібрид ChaCha20 + RSA: де сталася помилка
Midnight реалізує типову для вимагальних атак комбінацію: вміст файлів шифрується поточним алгоритмом ChaCha20, а сесійний ключ захищається RSA. Вразливість крилася у керуванні RSA-ключами — через огріхи в реалізації з’явилася можливість спочатку частково, а згодом і повністю відновлювати дані. Ситуація показує, що навіть стійкі криптопримітиви не гарантують безпеку, якщо порушено коректність процедур генерації, зберігання чи застосування ключів.
Безкоштовний дешифратор Norton: підтримка та сценарій використання
Інструмент Norton доступний для Windows x86 і x64 і розрахований на користувачів без глибоких технічних знань. Утиліта автоматично сканує системи на наявність зашифрованих файлів (зокрема з розширеннями .midnight і .endpoint), створює резервні копії та запускає процес відновлення. Експерти рекомендують не вимикати створення бекапів в інструменті, щоб знизити ризик втрати даних у разі збоїв.
Оскільки оператори шкідливого ПЗ зазвичай швидко виправляють помилки, вікно можливостей для безкоштовного розшифрування може бути обмеженим у часі. Тому важливо оперативно ізолювати уражені хости та зберегти копії зашифрованих файлів для подальшого відновлення.
Індикатори компрометації (IoC) та поведінкові ознаки Midnight
Типові артефакти: поява розширень .midnight / .endpoint, записка How To Restore Your Files.txt, логи report.midnight / debug.endpoint. З технічного боку варто моніторити масову зміну розширень, аномальний обсяг операцій запису/перейменування, різке зростання навантаження на файлові ресурси та мережеві шари. Часткове шифрування підвищує ймовірність швидкого паралічу сервісів, тож критичною є швидка локалізація інциденту.
Ризики для організацій і практичні кроки захисту
Повторне використання витоків коду на кшталт Babuk знижує поріг входу для зловмисників, сприяючи появі нових сімейств ransomware. Водночас будь-який криптографічний дефект, як у випадку з Midnight, надає захисникам шанс на відновлення. З огляду на динаміку загроз доцільно поєднувати превентивні та реактивні заходи.
Рекомендовані дії: сегментуйте мережу та обмежуйте права доступу до критичних каталогів і файлових шар; впровадьте EDR/поведеневе виявлення; застосовуйте принцип мінімальних привілеїв; регулярно оновлюйте ПЗ і закривайте відомі уразливості; посиліть політики електронної пошти й макросів; використовуйте дозволені списки для виконуваних файлів; перевіряйте журнали на предмет масових змін розширень і появи характерних файлів-артефактів.
Резервне копіювання має залишатися останньою лінією захисту: дотримуйтеся правила 3-2-1 з наявністю офлайн або незмінюваних копій; періодично тестуйте відновлення. Для інцидент-респонсу — зафіксуйте докази, ізолюйте системи, не видаляйте зашифровані файли, отримайте офіційний дешифратор Norton і перевірте сумісність з вашим середовищем.
Історія з Midnight підкреслює: безпека залежить не лише від вибору алгоритмів, а й від якісної криптореалізації. Поки вразливість дає змогу відновлювати дані, варто скористатися безкоштовним інструментом Norton, посилити резервування та оновити процедури реагування. Це допоможе зменшити час простою та фінансові наслідки можливих наступних кампаній ransomware.
