Naciśnij ESC aby zamknąć

Naukowcy z KISA przełamali zabezpieczenia ransomware Rhysida

ransomware rhysida
Badacze ds. cyberbezpieczeństwa odkryli “wadę w implementacji”, która umożliwiła odtworzenie kluczy szyfrujących i odszyfrowanie danych zablokowanych przez ransomware Rhysida.

Wyniki badań zostały opublikowane w zeszłym tygodniu przez grupę badaczy z Uniwersytetu Kookmin i Koreańskiej Agencji Internetu i Bezpieczeństwa (KISA).

Przeprowadzając kompleksową analizę ransomware Rhysida, zidentyfikowaliśmy wadę w implementacji, która umożliwiła nam regenerację klucza szyfrującego używanego przez złośliwe oprogramowanie,”

Osiągnięcie to oznacza pierwsze pomyślne odszyfrowanie tego szczepu ransomware, który pojawił się po raz pierwszy w maju 2023 roku. Narzędzie do odzyskiwania danych jest dystrybuowane przez KISA.

Rhysida wyróżnia się kilkoma charakterystycznymi cechami:

  1. Podwójne wymuszanie (double extortion): Rhysida stosuje strategię znaną jako podwójne wymuszanie, polegającą na dodatkowym wywieraniu presji na ofiary poprzez groźbę opublikowania skradzionych danych w internecie, jeśli okup nie zostanie zapłacony. Taka taktyka ma na celu zwiększenie prawdopodobieństwa zapłaty okupu przez ofiary.
  2. Wykorzystanie LibTomCrypt: Badania wykazały, że Rhysida korzysta z biblioteki LibTomCrypt do szyfrowania danych ofiar. Jest to biblioteka kryptograficzna, która oferuje szeroki zakres funkcji szyfrowania.
  3. Równoległe przetwarzanie: Rhysida zwiększa efektywność procesu szyfrowania poprzez wykorzystanie równoległego przetwarzania. Oznacza to, że ransomware może szyfrować wiele plików jednocześnie, co przyspiesza proces blokowania dostępu do danych.
  4. Intermitentne szyfrowanie (partial encryption): Aby uniknąć wykrycia przez oprogramowanie antywirusowe i inne rozwiązania bezpieczeństwa, Rhysida może stosować technikę częściowego szyfrowania. Polega ona na szyfrowaniu tylko części pliku zamiast całej jego zawartości, co utrudnia wykrycie złośliwej aktywności.
  5. Zaawansowane generowanie kluczy: Rhysida używa kryptograficznie bezpiecznego generatora pseudolosowego (CSPRNG) opartego na algorytmie ChaCha20 do generowania kluczy szyfrujących. Klucze te są generowane w sposób, który zapewnia wysoki poziom bezpieczeństwa i utrudnia ich złamanie bez znajomości specyficznego ziarna generatora.

Marcin Lewandowski

Z wykształceniem informatycznym, jestem głęboko zanurzony w świat bezpieczeństwa informacji i najnowszych technologii. Moje wieloletnie doświadczenie w branży IT koncentruje się na rozwijaniu i wdrażaniu zaawansowanych systemów zabezpieczeń oraz badaniu trendów w cyberbezpieczeństwie. Moja wiedza i umiejętności pozwalają na efektywną ochronę przed zagrożeniami cyfrowymi oraz zapewnienie bezpieczeństwa danych. Jako aktywny członek społeczności technologicznej, dzielę się swoją wiedzą poprzez publikacje, wykłady i warsztaty. Moje prace i analizy często pojawiają się w branżowych czasopismach i na konferencjach. Jako zwolennik ciągłego rozwoju i innowacji, nieustannie śledzę najnowsze osiągnięcia w dziedzinie IT, co przekłada się na praktyczne i skuteczne rozwiązania technologiczne.