El investigador de seguridad Yohanes Nugroho lanzó un descifrador para la variante Linux del ransomware Akira, que sirve para recuperar la clave de descifrado y desbloquear archivos de forma gratuita utilizando la potencia de una GPU.

El uso de esta herramienta, se basa en utilizar la fuerza bruta sobre las claves de cifrado (únicas para cada archivo) aprovechando la oportunidad de que el cifrador de Akira genera sus claves de cifrado basándose en la hora actual (en nanosegundos) como semilla. El ransomware Akira genera dinámicamente claves de cifrado únicas para cada archivo utilizando cuatro semillas de marca de tiempo diferentes con precisión de nanosegundos y algoritmos hash a través de 1.500 rondas de SHA-256.

Cuatro marcas de tiempo utilizadas para generar claves
Fuente: tinyhack.com

Una semilla de cifrado son datos que se utilizan con funciones criptográficas para generar claves de cifrado robustas e impredecibles, al influir en la generación de estas, es importante mantenerla en secreto para evitar que los atacantes recreen las claves de cifrado o descifrado mediante fuerza bruta u otros ataques criptográficos. Además, Nugroho dice que el ransomware Akira en Linux cifra varios archivos simultáneamente mediante subprocesos múltiples, lo que dificulta determinar la marca de tiempo utilizada y agrega aún más complejidad.

Subprocesos de CPU que manejan el cifrado de archivos en diferentes momentos
Fuente: tinyhack.com

Este nuevo descifrador le permitió ver cuándo se ejecutó el ransomware, los metadatos del archivo para estimar los tiempos de finalización del cifrado y generar pruebas de rendimiento de cifrado en diferentes hardware, para crear perfiles predecibles. Para tener éxito en esta nueva herramienta, el investigador recurrió a los servicios de GPU en la nube RunPod y Vast.ai, que ofrecían suficiente potencia al precio adecuado para confirmar su eficacia. En concreto, utilizó dieciséis GPU RTX 4090 para forzar la clave de descifrado en aproximadamente 10 horas. Sin embargo, dependiendo de la cantidad de archivos cifrados que se deban recuperar, el proceso puede tardar un par de días. Nugroho recomienda que, antes de intentar descifrar archivos, haga una copia de seguridad de los cifrados originales, ya que, existe la posibilidad de que los archivos se dañen si se utiliza la clave de descifrado incorrecta.

Si bien, desde la fuente de esta noticia no se ha probado la herramienta, no se puede garantizar su seguridad y eficacia, de manera que, se recomienda ser cautelosos en el uso de la misma y manipularla bajo su propio riesgo.

Fuente

https://www.bleepingcomputer.com/news/security/gpu-powered-akira-ransomware-decryptor-released-on-github/