Os arquivos criptografados pelo ransomware Rhysida agora podem ser descriptografados com sucesso.
Pesquisadores de segurança da Coreia descobriram uma vulnerabilidade na implementação do ransomware e a partir disso, conseguiram criar um descriptografador.
O Rhysida é uma gangue de ransomware como serviço (RaaS) relativamente nova que pratica dupla extorsão.
Detectado pela primeira vez em maio de 2023, o grupo se tornou conhecido após atacar a Biblioteca Britânica, o Exército Chileno, instituições de saúde e a Holding Slovenske Elektrarne (HSE), uma empresa estatal de geração de energia na Eslovênia.
Segundo a Check Point Research (CPR), o grupo de ransomware Rhysida pode ser, na verdade, o grupo de hackers da Vice Society equipado com um novo ransomware.
“O ransomware [Rhysida] criptografa dados usando uma chave de criptografia RSA de 4.096 bits com um algoritmo ChaCha20.
O algoritmo possui uma chave de 256 bits, um contador de 32 bits e um nonce de 96 bits, juntamente com uma matriz quatro por quatro de palavras de 32 bits em texto simples”, observou a Agência de Segurança de Infraestrutura e Cibersegurança (CISA) dos EUA em um relatório de segurança cibernética divulgado em novembro de 2023.
“Descriptografar dados criptografados usando um algoritmo criptográfico de chave simétrica requer a chave de criptografia utilizada no processo.
Como as chaves de criptografia podem ser geradas de várias maneiras, é importante identificar os fatores usados pelo ransomware no processo de geração de chaves durante a criptografia dos dados”, disseram os pesquisadores Giyoon Kim, Soojin Kang, Seungjun Baek e Jongsung Kim da Universidade Kookmin em Seul, e Kimoon Kim da Agência Coreana de Internet e Segurança (Kisa).
Todos esses pesquisadores, como muitos antes deles, estabeleceram que o ransomware Rhysida usa a biblioteca criptográfica de código aberto LibTomCrypt para sua rotina de criptografia e suas funções de gerador de números pseudoaleatórios (PRNG) para geração de chaves e vetor de inicialização (IV).
Após uma análise completa do ransomware, eles descobriram que:
• O número aleatório gerado pelo PRNG é baseado no tempo de execução do ransomware Rhysida
• Eles poderiam determinar a ordem (randomizada) dos arquivos para criptografia
• A amarração (thread) de criptografia do Rhysida gera 80 bytes de números aleatórios ao criptografar um único arquivo, sendo que os primeiros 48 bytes são usados como chave de criptografia e IV.
Com essas informações, eles conseguiram criar uma ferramenta de recuperação.
“Pelo que sabemos, essa é a primeira descriptografia bem-sucedida do ransomware Rhysida.
Esperamos que nosso trabalho ajude a mitigar os danos causados pelo ransomware Rhysida”, observaram os pesquisadores.
Para acessar o relatório sobre medidas de mitigação do ransomware Rhysida, em inglês, da Agência de Segurança de Infraestrutura e Cibersegurança (CISA) dos EUA, clique aqui.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...