Złamanie oprogramowania Rhysida Ransomware: badacze udostępniają darmowy program deszyfrujący
Rhysida Ransomware właśnie przeżyło moment swojej Enigmy, gdy koreańscy badacze z Uniwersytetu Kookmin podzielili się metodą odszyfrowywania plików dotkniętych tą niesławną odmianą złośliwego oprogramowania.
- Joanna Gościńska
- /
- 15 lutego 2024
Istniała luka
Badacze, wspierani przez Koreańską Agencję ds. Internetu i Bezpieczeństwa (KISA), wykorzystali luki w zabezpieczeniach Rhysidy do zrekonstruowania klucza szyfrowania i przywrócenia zaszyfrowanego systemu „pomimo panującego przekonania, że oprogramowanie ransomware uniemożliwia odzyskanie danych bez płacenia okupu”. Jak wynika z artykułu na ten temat, oprogramowanie ransomware Rhysida wykorzystywało bezpieczny generator liczb losowych do generowania klucza szyfrowania, a następnie szyfrowania danych.
"Istniała jednak luka w implementacji, która umożliwiła nam zregenerowanie stanu wewnętrznego generatora liczb losowych w momencie infekcji. Pomyślnie odszyfrowaliśmy dane za pomocą zregenerowanego generatora liczb losowych. Według naszej najlepszej wiedzy jest to pierwsze udane odszyfrowanie oprogramowania ransomware Rhysida” – oznajmiła gazeta. Pomyślne osiągnięcie następuje po podobnych zwycięstwach nad innymi odmianami ransomware, takimi jak Magniber v2, Ragnar Locker, Avaddon i Hive.
KISA udostępniła na swojej stronie internetowej narzędzie do odszyfrowywania Rhysida i jego instrukcję. Podręcznik instruuje użytkowników, aby najpierw usunęli złośliwy kod z systemu, aby uniknąć ponownej infekcji, i ostrzega, że 100% odszyfrowanie jest trudne ze względu na właściwości szyfrowania. Narzędzie wyszukuje zainfekowane pliki i automatycznie je odszyfrowuje, tworząc kopie w każdym folderze, w którym przechowywane były zainfekowane pliki. Nazwę odszyfrowanego pliku zmienia się poprzez dodanie „_dec” do oryginalnej nazwy pliku.
Co to jest Rhysida?
Rhysida Ransomware to mniej znany ugrupowanie zagrażające, które po raz pierwszy wykryto w drugim kwartale 2023 r. Amerykańska Agencja ds. Infrastruktury i Bezpieczeństwa Cyberbezpieczeństwa (CISA) stwierdziła, że Rhysida jest znana z atakowania „okazyjnych celów”, w tym edukacji, opieki zdrowotnej, produkcja, technologie informacyjne i sektory rządowe. Rhysida oferowała swoje narzędzia w formie oprogramowania ransomware jako usługi i praktykowała podwójne wymuszenia.
możemy Ci pomóc w analizie i zgłoszeniu do UODOWyciekły w Twojej firmie dane osobowe
Rhysida stała za włamaniem do Biblioteki Brytyjskiej. Gang zajął także wiele szpitali w USA, zaatakował system szkolny Prince George's Country i sprzedał na aukcji skradzione dane firmie Insomniac Games, znanej z gier wideo Spider-Man, Spyro the Dragon i Ratchet & Clan.
Jak badacze tego dokonali?
Według artykułu ransomware Rhysida wykorzystuje wyłącznie LibTomCrypt do szyfrowania i aby przyspieszyć ten proces, ransomware wykonuje przetwarzanie równoległe, tworząc podwątki odpowiadające liczbie procesorów na komputerze ofiary. Pierwszym wyzwaniem było zidentyfikowanie czynników odpowiedzialnych za regenerację klucza szyfrującego.
- Nasza analiza pokazuje, że liczba losowa wygenerowana przez kryptograficznie bezpieczny generator liczb pseudolosowych opiera się na czasie wykonania oprogramowania ransomware Rhysida. Wartość czasu wykorzystana jako zarodek, będąca danymi 32-bitowymi, nie zapewnia dużej przestrzeni do przeprowadzenia wyczerpujących poszukiwań – wyjaśniają badacze.
Po drugie, aby określić cele szyfrowania, istotne jest określenie kolejności użycia kluczy szyfrujących. Badacze zaobserwowali, że w Rhysidzie brakuje jednoznacznych reguł i nie było potrzeby obejścia tego problemu, ponieważ każdy system plików przechowywał czas modyfikacji każdego pliku.
Po trzecie, badacze zaobserwowali, że w procesie szyfrowania ransomware Rhysida wątek szyfrujący generuje 80 bajtów liczb losowych podczas szyfrowania pojedynczego pliku. Spośród nich pierwsze 48 bajtów służy jako klucz szyfrowania i wektor inicjujący. Mając ograniczoną liczbę przypadków nasion, badacze opracowali proces uzyskiwania początkowego materiału siewnego do odszyfrowania oprogramowania ransomware Rhysida i ustalili kolejność szyfrowania plików, uwzględniając możliwe nakładanie się czasów modyfikacji małych plików.
Narzędzie do odzyskiwania może pomóc uniknąć płacenia okupu, jednak zaawansowane oprogramowanie ransomware „nie tylko szyfruje dane, ale także dokonuje ich eksfiltracji, często stosując taktykę podwójnego wymuszenia, które grożą usunięciem wyekstrahowanych danych”. Badacze mają nadzieję, że podobne prace będą nadal pomagać ofiarom oprogramowania ransomware, twierdząc, że „niektóre odmiany oprogramowania ransomware można skutecznie odszyfrować”.
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco
z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu
ponownie!
Jeżeli
podobał Ci się artykuł podziel się z innymi udostępniając go w mediach
społecznościowych.
Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?