Złamanie oprogramowania Rhysida Ransomware: badacze udostępniają darmowy program deszyfrujący

Rhysida Ransomware właśnie przeżyło moment swojej Enigmy, gdy koreańscy badacze z Uniwersytetu Kookmin podzielili się metodą odszyfrowywania plików dotkniętych tą niesławną odmianą złośliwego oprogramowania.

  • Joanna Gościńska
  • /
  • 15 lutego 2024

Istniała luka 

Badacze, wspierani przez Koreańską Agencję ds. Internetu i Bezpieczeństwa (KISA), wykorzystali luki w zabezpieczeniach Rhysidy do zrekonstruowania klucza szyfrowania i przywrócenia zaszyfrowanego systemu „pomimo panującego przekonania, że ​​oprogramowanie ransomware uniemożliwia odzyskanie danych bez płacenia okupu”. Jak wynika z artykułu na ten temat, oprogramowanie ransomware Rhysida wykorzystywało bezpieczny generator liczb losowych do generowania klucza szyfrowania, a następnie szyfrowania danych.

"Istniała jednak luka w implementacji, która umożliwiła nam zregenerowanie stanu wewnętrznego generatora liczb losowych w momencie infekcji. Pomyślnie odszyfrowaliśmy dane za pomocą zregenerowanego generatora liczb losowych. Według naszej najlepszej wiedzy jest to pierwsze udane odszyfrowanie oprogramowania ransomware Rhysida” – oznajmiła gazeta. Pomyślne osiągnięcie następuje po podobnych zwycięstwach nad innymi odmianami ransomware, takimi jak Magniber v2, Ragnar Locker, Avaddon i Hive.

KISA udostępniła na swojej stronie internetowej narzędzie do odszyfrowywania Rhysida i jego instrukcję. Podręcznik instruuje użytkowników, aby najpierw usunęli złośliwy kod z systemu, aby uniknąć ponownej infekcji, i ostrzega, że ​​100% odszyfrowanie jest trudne ze względu na właściwości szyfrowania. Narzędzie wyszukuje zainfekowane pliki i automatycznie je odszyfrowuje, tworząc kopie w każdym folderze, w którym przechowywane były zainfekowane pliki. Nazwę odszyfrowanego pliku zmienia się poprzez dodanie „_dec” do oryginalnej nazwy pliku.

Co to jest Rhysida?

Rhysida Ransomware to mniej znany ugrupowanie zagrażające, które po raz pierwszy wykryto w drugim kwartale 2023 r. Amerykańska Agencja ds. Infrastruktury i Bezpieczeństwa Cyberbezpieczeństwa (CISA) stwierdziła, że ​​Rhysida jest znana z atakowania „okazyjnych celów”, w tym edukacji, opieki zdrowotnej, produkcja, technologie informacyjne i sektory rządowe. Rhysida oferowała swoje narzędzia w formie oprogramowania ransomware jako usługi i praktykowała podwójne wymuszenia. 

Wyciekły w Twojej firmie dane osobowe

możemy Ci pomóc w analizie i zgłoszeniu do UODO

Sprawdź szczegóły

Rhysida stała za włamaniem do Biblioteki Brytyjskiej. Gang zajął także wiele szpitali w USA, zaatakował system szkolny Prince George's Country i sprzedał na aukcji skradzione dane firmie Insomniac Games, znanej z gier wideo Spider-Man, Spyro the Dragon i Ratchet & Clan.

Jak badacze tego dokonali?

Według artykułu ransomware Rhysida wykorzystuje wyłącznie LibTomCrypt do szyfrowania i aby przyspieszyć ten proces, ransomware wykonuje przetwarzanie równoległe, tworząc podwątki odpowiadające liczbie procesorów na komputerze ofiary. Pierwszym wyzwaniem było zidentyfikowanie czynników odpowiedzialnych za regenerację klucza szyfrującego.


- Nasza analiza pokazuje, że liczba losowa wygenerowana przez kryptograficznie bezpieczny generator liczb pseudolosowych opiera się na czasie wykonania oprogramowania ransomware Rhysida. Wartość czasu wykorzystana jako zarodek, będąca danymi 32-bitowymi, nie zapewnia dużej przestrzeni do przeprowadzenia wyczerpujących poszukiwań  – wyjaśniają badacze.

Po drugie, aby określić cele szyfrowania, istotne jest określenie kolejności użycia kluczy szyfrujących. Badacze zaobserwowali, że w Rhysidzie brakuje jednoznacznych reguł i nie było potrzeby obejścia tego problemu, ponieważ każdy system plików przechowywał czas modyfikacji każdego pliku.

Po trzecie, badacze zaobserwowali, że w procesie szyfrowania ransomware Rhysida wątek szyfrujący generuje 80 bajtów liczb losowych podczas szyfrowania pojedynczego pliku. Spośród nich pierwsze 48 bajtów służy jako klucz szyfrowania i wektor inicjujący. Mając ograniczoną liczbę przypadków nasion, badacze opracowali proces uzyskiwania początkowego materiału siewnego do odszyfrowania oprogramowania ransomware Rhysida i ustalili kolejność szyfrowania plików, uwzględniając możliwe nakładanie się czasów modyfikacji małych plików.

Narzędzie do odzyskiwania może pomóc uniknąć płacenia okupu, jednak zaawansowane oprogramowanie ransomware „nie tylko szyfruje dane, ale także dokonuje ich eksfiltracji, często stosując taktykę podwójnego wymuszenia, które grożą usunięciem wyekstrahowanych danych”. Badacze mają nadzieję, że podobne prace będą nadal pomagać ofiarom oprogramowania ransomware, twierdząc, że „niektóre odmiany oprogramowania ransomware można skutecznie odszyfrować”.

 

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?

Zapraszamy do kontaktu
Tagi: technologie edukacja szyfrowanie anty-ransomware dla firm IAM sztuczna inteligencja
Powiązane posty
Popularne Tagi

Najnowsze tematy

WSPÓŁPRACA

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
Security Magazine
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO
Kliknij aby wrócić do strony głównej

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!