Изследователи в областта на киберсигурността са открили „уязвимост в изпълнението“, която е позволила да се възстановят ключовете за криптиране и да се декриптират данните, заключени от рансъмуера Rhysida.
Констатациите са публикувани миналата седмица от група изследователи от университета Kookmin и Корейската агенция за интернет и сигурност (KISA).
„Чрез цялостен анализ на Rhysida Ransomware идентифицирахме уязвимост в изпълнението, която ни позволи да възстановим ключа за криптиране, използван от зловредния софтуер“, заявиха изследователите.
Разработката бележи първото успешно декриптиране на щама ransomware, който се появи за първи път през май 2023 г. Чрез KISA се разпространява инструмент за възстановяване.
Изследването е и най-новото, което постига декриптиране на данни чрез използване на уязвимости в имплементацията на ransomware, след Magniber v2, Ragnar Locker, Avaddon и Hive.
Rhysida, за който е известно, че има общи припокривания с друг екип на ransomware, наречен Vice Society, използва тактика, известна като двойно изнудване, за да окаже натиск върху жертвите да платят, като заплашва да публикува откраднатите им данни.
През ноември 2023 г. правителството на САЩ публикува консултативен документ, в който се посочва, че заплахите организират опортюнистични атаки, насочени към секторите на образованието, производството, информационните технологии и правителството.
Задълбоченото проучване на вътрешните механизми на рансъмуера разкри, че той използва LibTomCrypt за криптиране, както и паралелна обработка за ускоряване на процеса. Установено е също така, че той прилага прекъснато криптиране (известно още като частично криптиране), за да избегне откриване от решенията за сигурност.
„Rhysida ransomware използва криптографски защитен генератор на псевдослучайни числа (CSPRNG), за да генерира ключа за криптиране“, казват изследователите. „Този генератор използва криптографски защитен алгоритъм за генериране на случайни числа.“
По-конкретно, CSPRNG се основава на алгоритъма ChaCha20, предоставен от библиотеката LibTomCrypt, като генерираното случайно число е свързано и с времето, в което се изпълнява Rhysida ransomware.
Това не е всичко. Основният процес на Rhysida ransomware съставя списък на файловете, които трябва да бъдат криптирани. Впоследствие този списък се препраща към различни нишки, създадени за едновременно криптиране на файловете в определен ред.
„В процеса на криптиране на Rhysida ransomware нишката за криптиране генерира 80 байта случайни числа при криптирането на един файл“, отбелязват изследователите. „От тях първите 48 байта се използват като ключ за криптиране и [вектор за инициализация].“
Използвайки тези наблюдения като отправни точки, изследователите заявиха, че са успели да извлекат първоначалното ядро за декриптиране на ransomware, да определят „рандомизирания“ ред, в който са били криптирани файловете, и в крайна сметка да възстановят данните, без да се налага да плащат откуп.
„Въпреки че тези проучвания имат ограничен обхват, важно е да се признае, че някои рансъмуери могат да бъдат успешно декриптирани“, заключават изследователите.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.