Investigadores de ciberseguridad de la Universidad Kookmin y la Agencia de Seguridad e Internet de Corea (KISA) descubrieron una «vulnerabilidad de implementación» que ha permitió reconstruir claves de cifrado y descifrar datos bloqueados por el ransomware Rhysida.

«A través de un análisis exhaustivo de Rhysida Ransomware, identificamos una vulnerabilidad de implementación que nos permite regenerar la clave de cifrado utilizada por el malware», dijeron los investigadores.

Este hecho marca el primer descifrado exitoso de la cepa del ransomware que apareció por primera vez en mayo de 2023. La distribución de dicha herramienta se está llevando a cabo a través de KISA.

El estudio también es el último en lograr el descifrado de datos mediante la explotación de vulnerabilidades de implementación en ransomware, después de Magniberv2, Ragnar LockerAvaddon y Hive .

El grupo Rhysida, comparte coincidencias con otro grupo de ransomware llamado Vice Society, la cual aprovecha una táctica conocida como doble extorsión para presionar a las víctimas a que paguen el rescate de sus datos robados.

En mayo de 2023, el gobierno de EEUU, mediante un aviso publicado en noviembre de ese año, denunció a los actores por organizar ataques oportunistas dirigidos a sectores de educación, manufactura, tecnología de la información y gobierno.

Luego de un estudio minucioso sobre el funcionamiento interno del ransomware, se descubrió que utilizaba LibTomCrypt, tanto para el cifrado como para garantizar la celeridad del proceso. También se descubrió que implementaba cifrado intermitente (también conocido como cifrado parcial) para evadir la detección por parte de las soluciones de seguridad.

«El ransomware Rhysida utiliza un generador de números pseudoaleatorios criptográficamente seguro (CSPRNG) para generar la clave de cifrado», dijeron los investigadores». 

Específicamente, el CSPRNG se basa en el algoritmo ChaCha20 proporcionado por la biblioteca LibTomCrypt, y el número aleatorio generado también se correlaciona con el momento en que se ejecuta el ransomware Rhysida. A su vez, el malware compila los archivos y ejecuta varios subprocesos para cifrar simultáneamente los mismos en un orden específico.

Utilizando estas observaciones como puntos de referencia, los investigadores dijeron que pudieron recuperar la semilla inicial para descifrar el ransomware, determinar el orden «aleatorio» en el que se cifraron los archivos y, en última instancia, recuperar los datos sin tener que pagar un rescate.

«Aunque estos estudios tienen un alcance limitado, es importante reconocer que ciertos ransomwares pueden descifrarse con éxito», concluyeron los investigadores.

Fuente

https://thehackernews.com/2024/02/rhysida-ransomware-cracked-free.html