O descriptografador para o Ransomware Rhysida já está disponível
15 de Fevereiro de 2024

Os arquivos criptografados pelo ransomware Rhysida agora podem ser descriptografados com sucesso.

Pesquisadores de segurança da Coreia descobriram uma vulnerabilidade na implementação do ransomware e a partir disso, conseguiram criar um descriptografador.

O Rhysida é uma gangue de ransomware como serviço (RaaS) relativamente nova que pratica dupla extorsão.

Detectado pela primeira vez em maio de 2023, o grupo se tornou conhecido após atacar a Biblioteca Britânica, o Exército Chileno, instituições de saúde e a Holding Slovenske Elektrarne (HSE), uma empresa estatal de geração de energia na Eslovênia.

Segundo a Check Point Research (CPR), o grupo de ransomware Rhysida pode ser, na verdade, o grupo de hackers da Vice Society equipado com um novo ransomware.

“O ransomware [Rhysida] criptografa dados usando uma chave de criptografia RSA de 4.096 bits com um algoritmo ChaCha20.

O algoritmo possui uma chave de 256 bits, um contador de 32 bits e um nonce de 96 bits, juntamente com uma matriz quatro por quatro de palavras de 32 bits em texto simples”, observou a Agência de Segurança de Infraestrutura e Cibersegurança (CISA) dos EUA em um relatório de segurança cibernética divulgado em novembro de 2023.

“Descriptografar dados criptografados usando um algoritmo criptográfico de chave simétrica requer a chave de criptografia utilizada no processo.

Como as chaves de criptografia podem ser geradas de várias maneiras, é importante identificar os fatores usados pelo ransomware no processo de geração de chaves durante a criptografia dos dados”, disseram os pesquisadores Giyoon Kim, Soojin Kang, Seungjun Baek e Jongsung Kim da Universidade Kookmin em Seul, e Kimoon Kim da Agência Coreana de Internet e Segurança (Kisa).

Todos esses pesquisadores, como muitos antes deles, estabeleceram que o ransomware Rhysida usa a biblioteca criptográfica de código aberto LibTomCrypt para sua rotina de criptografia e suas funções de gerador de números pseudoaleatórios (PRNG) para geração de chaves e vetor de inicialização (IV).

Após uma análise completa do ransomware, eles descobriram que:

• O número aleatório gerado pelo PRNG é baseado no tempo de execução do ransomware Rhysida

• Eles poderiam determinar a ordem (randomizada) dos arquivos para criptografia

• A amarração (thread) de criptografia do Rhysida gera 80 bytes de números aleatórios ao criptografar um único arquivo, sendo que os primeiros 48 bytes são usados como chave de criptografia e IV.

Com essas informações, eles conseguiram criar uma ferramenta de recuperação.

“Pelo que sabemos, essa é a primeira descriptografia bem-sucedida do ransomware Rhysida.

Esperamos que nosso trabalho ajude a mitigar os danos causados pelo ransomware Rhysida”, observaram os pesquisadores.

Para acessar o relatório sobre medidas de mitigação do ransomware Rhysida, em inglês, da Agência de Segurança de Infraestrutura e Cibersegurança (CISA) dos EUA, clique aqui.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...