O pesquisador de segurança Yohanes Nugroho desenvolveu uma ferramenta capaz de quebrar as chaves de criptografia da variante Linux do ransomware Akira. Diferente de outras ferramentas, que exigem que a chave seja fornecida pelo usuário, esse método utiliza GPUs para recuperar as chaves e restaurar o acesso aos arquivos criptografados. Nugroho criou a ferramenta para ajudar um amigo afetado pelo ataque.
Leia também
Google não nega ter recebido ordem de criar backdoor
Hackers encadearam falhas em ataque a soluções Ivanti
O ransomware Akira gera chaves únicas para cada arquivo criptografado usando quatro seeds baseadas em timestamps em nanossegundos. Elas são processadas por 1.500 rodadas de SHA-256 e, depois, criptografadas com RSA-4096. Como a geração de chaves depende do tempo exato da infecção, encontrar a chave correta por brute force é extremamente difícil, pois há bilhões de possibilidades por segundo. Além disso, o Akira usa multithreading para criptografar vários arquivos simultaneamente, tornando a análise ainda mais complexa.
Para superar esse desafio, Nugroho analisou os logs do sistema para restringir a janela de tempo em que o ransomware foi executado, reduzindo o número de seeds possíveis. Ele então realizou benchmarks para estimar o tempo de criptografia e, com isso, conseguiu quebrar as chaves em cerca de 10 horas, utilizando 16 GPUs RTX 4090 em serviços de nuvem, ao custo aproximado de US$ 1.200. O descriptografador foi disponibilizado no GitHub, permitindo que vítimas do ransomware Akira possam recuperar seus arquivos sem precisar pagar resgate aos criminosos.
