Os arquivos criptografados pelo ransomware Rhysida já podem ser descriptografados com sucesso. Pesquisadores de segurança coreanos descobriram uma vulnerabilidade de implementação do ransomware e, a partir dela, aproveitaram para criar um descriptografador.
O Rhysida é uma gangue relativamente nova de ransomware como serviço (RaaS) que pratica dupla extorsão. Observado pela primeira vez em maio de 2023, o grupo ganhou fama ao atacar a Biblioteca Britânica, o Exército Chileno, instituições de cuidados de saúde e a Holding Slovenske Elektrarne (HSE),empresa estatal de geração de energia na Eslovênia.
De acordo com a Check Point Research (CPR), o grupo de ransomware Rhysida pode ser, na realidade, o grupo de hackers da Vice Society armado com um novo ransomware. “O ransomware [Rhysida] criptografa dados usando uma chave de criptografia RSA de 4.096 bits com um algoritmo ChaCha20. O algoritmo apresenta uma chave de 256 bits, um contador de 32 bits e um nonce de 96 bits, juntamente com uma matriz quatro por quatro de palavras de 32 bits em texto simples”, observa a Agência de Segurança de Infraestrutura e Cibersegurança (CISA) dos EUA em um relatório de segurança cibernética publicado em novembro de 2023.
“Descriptografar dados criptografados usando um algoritmo criptográfico de chave simétrica requer a chave de criptografia usada no processo. Como as chaves de criptografia podem ser geradas de vários métodos, é importante identificar os fatores usados pelo ransomware no processo de geração de chaves durante a criptografia de dados”, disseram os pesquisadores Giyoon Kim, Soojin Kang, Seungjun Baek e Jongsung Kim da Universidade Kookmin de Seul, e Kimoon Kim da Agência Coreana de Internet e Segurança (Kisa).
Como outros pesquisadores antes deles, eles estabeleceram que o ransomware Rhysida usa a biblioteca criptográfica de código aberto LibTomCrypt para sua rotina de criptografia e suas funcionalidades de gerador de números pseudoaleatórios (PRNG) para geração de chave e vetor de inicialização (IV).
Veja isso
Grupo Rhysida assume ataques a Portugal e República Dominicana
Ransomware Rhysida vaza documentos do Exército do Chile
Após uma análise completa do ransomware, eles descobriram que:
• O número aleatório gerado pelo PRNG é baseado no tempo de execução do ransomware Rhysida
• Eles poderiam determinar a ordem (randomizada) dos arquivos para criptografia
• O encadeamento (thread) de criptografia do Rhysida gera 80 bytes de números aleatórios ao criptografar um único arquivo, dos quais os primeiros 48 bytes são usados como chave de criptografia e IV
Com essas informações em mãos, eles conseguiram criar uma ferramenta de recuperação. “Até onde sabemos, esta é a primeira descriptografia bem-sucedida do ransomware Rhysida. Aspiramos que nosso trabalho contribua para mitigar os danos infligidos pelo ransomware Rhysida”, observaram os pesquisadores.
Para ter acesso ao relatório sobre medidas de mitigação do ransomware Rhysida, em inglês, da Agência de Segurança de Infraestrutura e Cibersegurança (CISA) dos EUA clique aqui.
