Los investigadores de ciberseguridad han descubierto una “vulnerabilidad de implementación” que ha permitido reconstruir claves de cifrado y descifrar datos bloqueados por el ransomware Rhysida.
Los hallazgos fueron publicados la semana pasada por un grupo de investigadores de la Universidad Kookmin y la Agencia de Seguridad e Internet de Corea (KISA).
“A través de un análisis exhaustivo de Rhysida Ransomware, identificamos una vulnerabilidad de implementación que nos permite regenerar la clave de cifrado utilizada por el malware”, dijeron los investigadores.
El desarrollo marca el primer descifrado exitoso de la cepa de ransomware, que apareció por primera vez en mayo de 2023. Se está distribuyendo una herramienta de recuperación a través de KISA.
El estudio también es el último en lograr el descifrado de datos mediante la explotación de vulnerabilidades de implementación en ransomware, después de Magniber v2, Ragnar Locker, Avaddon y Hive.
Rhysida, que se sabe que comparte coincidencias con otro equipo de ransomware llamado Vice Society, aprovecha una táctica conocida como doble extorsión para presionar a las víctimas para que paguen amenazando con revelar sus datos robados.
Un aviso publicado por el gobierno de EE. UU. en noviembre de 2023 denunciaba a los actores de amenazas por organizar ataques oportunistas dirigidos a los sectores de educación, manufactura, tecnología de la información y gobierno.
Un examen exhaustivo del funcionamiento interno del ransomware ha revelado que utiliza LibTomCrypt para el cifrado y procesamiento paralelo para acelerar el proceso. También se ha descubierto que implementa cifrado intermitente (también conocido como cifrado parcial) para evadir la detección por parte de las soluciones de seguridad.
“El ransomware Rhysida utiliza un generador de números pseudoaleatorios criptográficamente seguro (CSPRNG) para generar la clave de cifrado”, dijeron los investigadores. “Este generador utiliza un algoritmo criptográficamente seguro para generar números aleatorios”.
Específicamente, el CSPRNG se basa en el algoritmo ChaCha20 proporcionado por la biblioteca LibTomCrypt, y el número aleatorio generado también se correlaciona con el momento en que se ejecuta el ransomware Rhysida.
Eso no es todo. El proceso principal del ransomware Rhysida compila una lista de archivos para cifrar. Posteriormente, varios subprocesos creados para cifrar simultáneamente los archivos en un orden específico hacen referencia a esta lista.
“En el proceso de cifrado del ransomware Rhysida, el hilo de cifrado genera 80 bytes de números aleatorios al cifrar un solo archivo”, señalaron los investigadores. “De estos, los primeros 48 bytes se utilizan como clave de cifrado y el [initialization vector]”.
Utilizando estas observaciones como puntos de referencia, los investigadores dijeron que pudieron recuperar la semilla inicial para descifrar el ransomware, determinar el orden “aleatorio” en el que se cifraron los archivos y, en última instancia, recuperar los datos sin tener que pagar un rescate.
“Aunque estos estudios tienen un alcance limitado, es importante reconocer que ciertos ransomwares […] se puede descifrar con éxito”, concluyeron los investigadores.
