Търсене
Close this search box.

Rhysida Ransomware е кракнат, пуснат е безплатен инструмент за декриптиране

Изследователи в областта на киберсигурността са открили „уязвимост в изпълнението“, която е позволила да се възстановят ключовете за криптиране и да се декриптират данните, заключени от рансъмуера Rhysida.

Констатациите са публикувани миналата седмица от група изследователи от университета Kookmin и Корейската агенция за интернет и сигурност (KISA).

„Чрез цялостен анализ на Rhysida Ransomware идентифицирахме уязвимост в изпълнението, която ни позволи да възстановим ключа за криптиране, използван от зловредния софтуер“, заявиха изследователите.

Разработката бележи първото успешно декриптиране на щама ransomware, който се появи за първи път през май 2023 г. Чрез KISA се разпространява инструмент за възстановяване.

Rhysida Ransomware Cracked
Изследването е и най-новото, което постига декриптиране на данни чрез използване на уязвимости в имплементацията на ransomware, след Magniber v2, Ragnar Locker, Avaddon и Hive.

Rhysida, за който е известно, че има общи припокривания с друг екип на ransomware, наречен Vice Society, използва тактика, известна като двойно изнудване, за да окаже натиск върху жертвите да платят, като заплашва да публикува откраднатите им данни.

През ноември 2023 г. правителството на САЩ публикува консултативен документ, в който се посочва, че  заплахите организират опортюнистични атаки, насочени към секторите на образованието, производството, информационните технологии и правителството.

Задълбоченото проучване на вътрешните механизми на рансъмуера разкри, че той използва LibTomCrypt за криптиране, както и паралелна обработка за ускоряване на процеса. Установено е също така, че той прилага прекъснато криптиране (известно още като частично криптиране), за да избегне откриване от решенията за сигурност.

 

„Rhysida ransomware използва криптографски защитен генератор на псевдослучайни числа (CSPRNG), за да генерира ключа за криптиране“, казват изследователите. „Този генератор използва криптографски защитен алгоритъм за генериране на случайни числа.“

По-конкретно, CSPRNG се основава на алгоритъма ChaCha20, предоставен от библиотеката LibTomCrypt, като генерираното случайно число е свързано и с времето, в което се изпълнява Rhysida ransomware.

Това не е всичко. Основният процес на Rhysida ransomware съставя списък на файловете, които трябва да бъдат криптирани. Впоследствие този списък се препраща към различни нишки, създадени за едновременно криптиране на файловете в определен ред.

„В процеса на криптиране на Rhysida ransomware нишката за криптиране генерира 80 байта случайни числа при криптирането на един файл“, отбелязват изследователите. „От тях първите 48 байта се използват като ключ за криптиране и [вектор за инициализация].“

Използвайки тези наблюдения като отправни точки, изследователите заявиха, че са успели да извлекат първоначалното ядро за декриптиране на ransomware, да определят „рандомизирания“ ред, в който са били криптирани файловете, и в крайна сметка да възстановят данните, без да се налага да плащат откуп.

„Въпреки че тези проучвания имат ограничен обхват, важно е да се признае, че някои рансъмуери могат да бъдат успешно декриптирани“, заключават изследователите.

 

 

Източник: The Hacker News

Подобни публикации

16 април 2024

CISA издаде извънредна директива

На 11 април Агенцията за киберсигурност и инфраструктурна сигурност...
15 април 2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви ареста и повдигането на...
15 април 2024

Daixin Team ransomware е атакувала успешно Omni...

Бандата Daixin Team ransomware е извършила неотдавнашна кибератака ...
15 април 2024

За проблемите с работната сила в сферата киберс...

  За проблемите с работната сила в сферата киберсигурността в ...
15 април 2024

КНДР се възползва от 2 подтехники: Призрачно от...

Този месец MITRE ще добави две подтехники към своята база данни ATT...
15 април 2024

Хакер твърди, че е пробил Giant Tiger и пусна 2...

Канадската верига за търговия на дребно Giant Tiger разкрива наруше...
14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
14 април 2024

Критичен недостатък на Palo Alto Networks PAN-O...

Palo Alto Networks предупреждава, че критичен недостатък, засягащ с...
Бъдете социални
Още по темата
11/04/2024

10 млн. долара рекет за Hoy...

Неотдавнашната кибератака срещу Hoya Corporation, за...
11/04/2024

Panera Bread подхранва подо...

Веригата ресторанти не е предоставила никаква...
09/04/2024

Спад на атаките с рансъмуер...

През 2023 г. секторът на ransomware...
Последно добавени
16/04/2024

CISA издаде извънредна дире...

На 11 април Агенцията за киберсигурност...
15/04/2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви...
15/04/2024

Daixin Team ransomware е ат...

Бандата Daixin Team ransomware е извършила...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!