Naukowcy z KISA przełamali zabezpieczenia ransomware Rhysida
Badacze ds. cyberbezpieczeństwa odkryli "wadę w implementacji", która umożliwiła odtworzenie kluczy szyfrujących i odszyfrowanie danych zablokowanych przez ransomware Rhysida. Wyniki badań zostały opublikowane w zeszłym tygodniu przez grupę badaczy z Uniwersytetu Kookmin i Koreańskiej Agencji Internetu i Bezpieczeństwa (KISA). "Przeprowadzając kompleksową analizę ransomware Rhysida, zidentyfikowaliśmy wadę w implementacji, która umożliwiła nam regenerację klucza szyfrującego używanego przez złośliwe oprogramowanie," Osiągnięcie to oznacza pierwsze pomyślne odszyfrowanie tego szczepu ransomware, który pojawił się po raz pierwszy w maju 2023 roku. Narzędzie do odzyskiwania danych jest dystrybuowane przez KISA. Rhysida wyróżnia się kilkoma charakterystycznymi cechami: Podwójne wymuszanie (double extortion): Rhysida stosuje strategię znaną jako podwójne wymuszanie, polegającą na dodatkowym wywieraniu presji na ofiary poprzez groźbę opublikowania skradzionych danych w internecie, jeśli okup nie zostanie zapłacony. Taka taktyka ma na celu zwiększenie prawdopodobieństwa zapłaty okupu przez ofiary. Wykorzystanie LibTomCrypt: Badania wykazały, że Rhysida korzysta z biblioteki LibTomCrypt do szyfrowania danych ofiar. Jest to biblioteka kryptograficzna,…
Opracowano narzędzie do deszyfrowania Ransomware Black Basta
Grupa badawcza SRLabs, specjalizująca się w bezpieczeństwie komputerowym, opracowała narzędzie do deszyfrowania danych zaszyfrowanych przez ransomware Black Basta. To ważny krok dla ofiar tego oprogramowania, które od kwietnia 2022 roku spowodowało ogromne szkody, generując ponad 100 milionów dolarów z okupów w Bitcoinach. Black Basta jest znana z podwójnej strategii wymuszania okupu, polegającej na szyfrowaniu kluczowych serwerów i wrażliwych danych, a następnie grożeniu ujawnieniem tych informacji. Narzędzie, nazwane "Black Basta Buster", wykorzystuje lukę w algorytmie szyfrowania używanym w starszych wersjach ransomware przez grupę Black Basta. Błąd ten został naprawiony przez grupę w połowie grudnia, co oznacza, że narzędzie nie będzie skuteczne w przypadku najnowszych ataków. Mimo to, nadal umożliwia ono odzyskanie dużych plików skradzionych między listopadem 2022 a styczniem 2024 roku. [caption id="attachment_2914" align="alignnone" width="726"] Odszyfrowanie pliku za pomocą narzędzia decryptauto.py[/caption] Mechanizm działania narzędzia opiera się na analizie zaszyfrowanych plików i ocenie, czy deszyfrowanie jest możliwe. Jeśli znany jest tekst jawny…