Buenas noticias para las organizaciones que han sido víctimas del famoso ransomware Rhysida.
Un grupo de investigadores de seguridad de Corea del Sur ha descubierto una vulnerabilidad en el infame ransomware. Esta vulnerabilidad proporciona una forma de descifrar archivos cifrados.
Investigadores de la Universidad Kookmin describen cómo explotaron una falla de implementación en el código de Rhysida para regenerar su clave de cifrado en un documento técnico sobre sus hallazgos.
“Rhysida ransomware empleó un generador de números aleatorios seguro para generar la clave de cifrado y posteriormente cifrar los datos. Sin embargo, existía una vulnerabilidad de implementación que nos permitió regenerar el estado interno del generador de números aleatorios en el momento de la infección. Desciframos los datos con éxito utilizando el generador de números aleatorios regenerado. Hasta donde sabemos, este es el primer descifrado exitoso del ransomware Rhysida.”
A su debido tiempo, se desarrolló una herramienta de recuperación del ransomware Rhysida y se está distribuyendo al público en general a través de la Agencia de Seguridad e Internet de Corea (KISA).
También se han puesto a disposición instrucciones en inglés para utilizar la herramienta de descifrado.
Afortunadamente, para aquellos que no entienden coreano, se han proporcionado instrucciones en inglés sobre cómo utilizar la herramienta de descifrado.
Desafortunadamente, hacer pública la existencia de una herramienta de recuperación de ransomware tiene un costo. El lanzamiento de la herramienta y la publicación de sus hallazgos por parte de los investigadores inevitablemente alertarán a los piratas informáticos maliciosos detrás de Rhysida sobre su defecto, y casi con certeza garantizarán que se solucione.
Los investigadores de ransomware están atrapados entre la espada y la pared. Si encuentran una falla en un ransomware que les permite descifrar los datos de las víctimas, deben considerar cuidadosamente si lo harán público o no.
Anunciar la existencia de una falla y un método de recuperación puede ayudar a las organizaciones pirateadas a saber que existe un método para recuperar sus datos sin pagar un rescate.
La publicidad ayuda a correr la voz de que una solución es posible.
Pero la existencia de una herramienta de recuperación también puede alertar a los ciberdelincuentes para que arreglen su código, privando a las víctimas de una posible cura. Entonces, ¿es mejor no anunciar que existe una herramienta de recuperación?
No es una pregunta con una respuesta fácil.
El descifrador Rhysida es sólo el último de una línea de herramientas de recuperación de ransomware que han aparecido en los últimos años, incluidas utilidades para ayudar a víctimas de empresas como Yanlouwang, MegaCortex, Akira, REvil y una versión de Conti.
Nota del editor: Las opiniones expresadas en este artículo de autor invitado son únicamente las del colaborador y no reflejan necesariamente las de Tripwire.
