Algunas personas inteligentes han encontrado una manera de descifrar automáticamente documentos cifrados por el ransomware Rhysida y utilizaron ese conocimiento para producir y lanzar una práctica herramienta de recuperación para las víctimas. Rhysida es una nueva banda de ransomware que existe desde mayo del año pasado. El grupo de extorsión se dirige a organizaciones de educación, atención médica, manufactura, tecnología de la información y gobierno; El ataque más sonado de los delincuentes hasta la fecha ha sido contra la Biblioteca Británica. Se cree que la pandilla está vinculada al grupo criminal Vice Society, y se sabe que alquila malware e infraestructura a sus afiliados para obtener una parte de las ganancias. En la investigación [PDF] Publicado el 9 de febrero, Giyoon Kim, Soojin Kang, Seungjun Baek, Kimoon Kim y Jongsung Kim de Corea del Sur explicaron cómo descubrieron una «vulnerabilidad de implementación» en el generador de números aleatorios utilizado por Rhysida para bloquear los datos de las víctimas. Esta falla «nos permitió regenerar el estado interno del generador de números aleatorios en el momento de la infección» y luego descifrar los datos «usando el generador de números aleatorios regenerado», escribió el equipo. La Agencia de Seguridad e Internet de Corea (KISA) ahora está distribuyendo la herramienta gratuita de recuperación de ransomware Rhysida, que es el primer descifrador exitoso de esta cepa particular de ransomware. «Aspiramos a que nuestro trabajo contribuya a mitigar el daño infligido por el ransomware Rhysida», señalaron en su artículo los expertos, con sede en la Universidad de Kookmin y KISA. Rhysida ransomware utiliza el generador de números pseudoaleatorios (CSPRNG) criptográficamente seguro basado en ChaCha20 de LibTomCrypt para crear claves de cifrado para cada archivo. El número aleatorio generado por el CSPRNG se basa en el tiempo de ejecución del ransomware, un método que los investigadores descubrieron limita las posibles combinaciones para cada clave de cifrado. Específicamente, el malware utiliza el tiempo de ejecución actual como semilla de 32 bits para el generador. Eso significa que las claves pueden derivarse del momento de la ejecución y usarse para descifrar y recuperar archivos codificados. Algunas observaciones adicionales: el ransomware Rhysida utiliza cifrado intermitente. Cifra parcialmente documentos en lugar de archivos completos, una técnica que LockBit y otras bandas popularizaron porque es más rápida que cifrar todo. Este enfoque significa que es menos probable que los delincuentes sean atrapados en la red antes de haber terminado de estropear una cantidad decente de documentos. También acelera el proceso de restauración, aunque se aplican las advertencias habituales: no confíe en máquinas en las que se haya ejecutado código intruso. Restaurar datos es una cosa, pero será necesario limpiar las PC para estar seguras. El malware Rhysida, una vez en la PC con Windows de la víctima, localiza los documentos que desea codificar, los compila en una lista y activa algunos subprocesos simultáneos para realizar ese cifrado. Cada hilo elige el siguiente archivo en su pila de tareas pendientes para procesar y usa CSPRNG para generar una clave para cifrar ese documento usando el algoritmo estándar AES-256. La clave se almacena en el archivo codificado, aunque cifrada mediante una clave pública RSA codificada. Necesitará la mitad privada de ese par de claves RSA para recuperar la clave AES del archivo y descifrar los datos. Sin embargo, como resultado de esta investigación, es posible utilizar el mtime de cada archivo (la última hora de modificación) para determinar el orden de procesamiento y el momento en que se ejecutó cada subproceso y, por lo tanto, la semilla para generar la clave de descifrado AES del archivo. , proporcionándole la clave de descifrado final. Los investigadores explicaron que estos descubrimientos les permitieron desbloquear los archivos de las víctimas «a pesar de la creencia predominante de que el ransomware hace que los datos sean irrecuperables sin pagar el rescate». En noviembre, el gobierno de EE. UU. emitió un aviso de seguridad que incluía amplios detalles técnicos para ayudar a las organizaciones a no convertirse en la próxima víctima de Rhysida. ®

Source link