Для вымогателя Rhysida появился бесплатный дешифровщик - «Новости» » Интернет технологии
sitename
Microsoft отрицает, что Word и Excel собирают данные для обучения ИИ - «Новости»
Microsoft отрицает, что Word и Excel собирают данные для обучения ИИ - «Новости»
 Опенсорсный игровой движок Godot применяют для распространения малвари - «Новости»
Опенсорсный игровой движок Godot применяют для распространения малвари - «Новости»
 MEGANews. Самые важные события в мире инфосека за ноябрь - «Новости»
MEGANews. Самые важные события в мире инфосека за ноябрь - «Новости»
 Ботнет Matrix проводит DDoS-атаки через устройства IoT - «Новости»
Ботнет Matrix проводит DDoS-атаки через устройства IoT - «Новости»
 После требования РКН YouTube попросил российских пользователей удалить материалы о VPN - «Новости»
После требования РКН YouTube попросил российских пользователей удалить материалы о VPN - «Новости»
 Xiaomi представила Redmi K80 Pro — флагман для экономных со Snapdragon 8 Elite и ёмкой батареей - «Новости сети»
Xiaomi представила Redmi K80 Pro — флагман для экономных со Snapdragon 8 Elite и ёмкой батареей - «Новости сети»
 Производители консолей оказались в тупике: пользователи не хотят платить за производительность - «Новости сети»
Производители консолей оказались в тупике: пользователи не хотят платить за производительность - «Новости сети»
 Xiaomi представила беспроводные наушники Redmi Buds 6 Pro с тройными динамиками и радиусом подключения до 130 метров - «Новости сети»
Xiaomi представила беспроводные наушники Redmi Buds 6 Pro с тройными динамиками и радиусом подключения до 130 метров - «Новости сети»
 Nissan осталось жить всего год, если автопроизводитель не найдёт инвестора - «Новости сети»
Nissan осталось жить всего год, если автопроизводитель не найдёт инвестора - «Новости сети»
 Steam запустил осеннюю распродажу со скидками на «тысячи игр» - «Новости сети»
Steam запустил осеннюю распродажу со скидками на «тысячи игр» - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Для вымогателя Rhysida появился бесплатный дешифровщик - «Новости»

✔Для вымогателя Rhysida появился бесплатный дешифровщик - «Новости»

14 февраля 2024 495 Новости / Сайтостроение / Изображения / Преимущества стилей / Заработок / Интернет и связь / Статьи об афоризмах / Вёрстка / Добавления стилей / Самоучитель CSS 0

Южнокорейские исследователи обнаружили уязвимость в шифровальщике Rhysida, что позволило им создать бесплатный дешифратор для восстановления файлов в Windows. Другие специалисты считают, что исследователи зря раскрыли информацию о баге.


Вымогатель Rhysida появился в середине 2023 года, и стоящая за ним группировка активно атаковала организации в сфере образования, здравоохранения, производства, информационных технологий и государственного управления. Одной из наиболее известных жертв Rhysida стала национальная библиотека Великобритании, атакованная хакерами прошлой осенью.


Теперь южнокорейские специалисты из Университета Кукмин и Корейского агентства интернета и безопасности (KISA) обнаружили уязвимость в схеме шифрования вымогателя, а именно в генераторе псевдослучайных чисел (CSPRNG), который используется для создания уникального приватного ключа для каждой атаки. Благодаря этому недостатку аналитики сумели создать инструмент, позволяющий бесплатно восстанавливать зашифрованные данные.


В своем отчете эксперты объясняют, что тщательное изучение принципов работы вымогателя выявило использование LibTomCrypt для шифрования и параллельную обработку данных для ускорения работы. Также было обнаружено, что программа использует прерывистое шифрование (оно же частичное шифрование), чтобы ускорить работу и избежать обнаружения.


Прерывистое шифрование представляет собой метод, используемый многими вымогательскими группировками. Идея заключается в том, что малварь попеременно шифрует и не шифрует фрагменты данных, что позволяет зашифровать файл намного быстрее, делая данные непригодными для использования жертвой.


Это имело решающее значение для создания метода дешифрования, поскольку исследователям пришлось понять шаблон шифрования и выборочно применять правильный ключ к затронутым частям файла.



Прерывистое шифрование в Rhysida

«Rhysida использует криптографически стойкий генератор псевдослучайных чисел (CSPRNG) для генерации ключей шифрования, — говорят исследователи. — Этот генератор использует криптографически стойкий алгоритм для генерации случайных чисел».


Так, CSPRNG основан на алгоритме ChaCha20, предоставляемым библиотекой LibTomCrypt, причем генерируемое случайное число также соотносится со временем, когда был запущен шифровальщик Rhysida. Некорректная система генерации значений в Rhysida связана именно с получение 32-битного seed-значения на основе текущего системного времени, что, по словам исследователей, сужает область поиска до приемлемых с вычислительной точки зрения пределов.


Rhysida использует это значение для генерации приватного ключа шифрования и вектора инициализации, но не имеет других источников данных с высокой энтропией для обеспечения непредсказуемости seed, что в итоге делает его угадываемым при изучении логов или прочих данных, позволяющих узнать время начала атаки.


Вооружившись этими данными, исследователи создали метод, который восстанавливает состояние CSPRNG, перебирая различные значения seed в пределах ожидаемого диапазона. Как только правильное значение найдено (подтверждено, что оно может расшифровать данные), все последующие случайные числа можно легко предсказать, и зашифрованные данные могут быть восстановлены без использования настоящего приватного ключа.



Поиск seed

Инструмент для расшифровки файлов уже доступен на сайте доступен на сайте KISA, наряду с с техническим отчетом и инструкциями по его использованию на корейском и английском языках.


Стоит отметить, что вскоре после публикации этого исследования известный ИБ-эксперт Фабиан Восар сообщил, что уязвимость в Rhysida была обнаружена «по меньшей мере тремя другими сторонами, которые предпочли распространять эту информацию в частном порядке, а не добиваться публикации, оповещая Rhysida о проблемах».


«Avast обнаружил уязвимость в октябре прошлого года, французский CERT написал и опубликовал приватную статью об этом в июне, а я нашел уязвимость в мае прошлого года, — заявил Восар. — Мне неизвестная статистика Avast и CERT, но с тех пор мы расшифровали сотни систем. Кроме того, хочу предупредить: исследование [корейских специалистов] относится только к Rhysida версии Windows PE. Оно не касается ESXi или полезной нагрузки PowerShell».


Восар предупреждает, что теперь операторы вымогателя, скорее всего, устранят ошибку за несколько дней, и восстановление файлов без выплаты выкупа снова станет невозможным.


Южнокорейские исследователи обнаружили уязвимость в шифровальщике Rhysida, что позволило им создать бесплатный дешифратор для восстановления файлов в Windows. Другие специалисты считают, что исследователи зря раскрыли информацию о баге. Вымогатель Rhysida появился в середине 2023 года, и стоящая за ним группировка активно атаковала организации в сфере образования, здравоохранения, производства, информационных технологий и государственного управления. Одной из наиболее известных жертв Rhysida стала национальная библиотека Великобритании, атакованная хакерами прошлой осенью. Теперь южнокорейские специалисты из Университета Кукмин и Корейского агентства интернета и безопасности (KISA) обнаружили уязвимость в схеме шифрования вымогателя, а именно в генераторе псевдослучайных чисел (CSPRNG), который используется для создания уникального приватного ключа для каждой атаки. Благодаря этому недостатку аналитики сумели создать инструмент, позволяющий бесплатно восстанавливать зашифрованные данные. В своем отчете эксперты объясняют, что тщательное изучение принципов работы вымогателя выявило использование LibTomCrypt для шифрования и параллельную обработку данных для ускорения работы. Также было обнаружено, что программа использует прерывистое шифрование (оно же частичное шифрование), чтобы ускорить работу и избежать обнаружения. Прерывистое шифрование представляет собой метод, используемый многими вымогательскими группировками. Идея заключается в том, что малварь попеременно шифрует и не шифрует фрагменты данных, что позволяет зашифровать файл намного быстрее, делая данные непригодными для использования жертвой. Это имело решающее значение для создания метода дешифрования, поскольку исследователям пришлось понять шаблон шифрования и выборочно применять правильный ключ к затронутым частям файла. Прерывистое шифрование в Rhysida «Rhysida использует криптографически стойкий генератор псевдослучайных чисел (CSPRNG) для генерации ключей шифрования, — говорят исследователи. — Этот генератор использует криптографически стойкий алгоритм для генерации случайных чисел». Так, CSPRNG основан на алгоритме ChaCha20, предоставляемым библиотекой LibTomCrypt, причем генерируемое случайное число также соотносится со временем, когда был запущен шифровальщик Rhysida. Некорректная система генерации значений в Rhysida связана именно с получение 32-битного seed-значения на основе текущего системного времени, что, по словам исследователей, сужает область поиска до приемлемых с вычислительной точки зрения пределов. Rhysida использует это значение для генерации приватного ключа шифрования и вектора инициализации, но не имеет других источников данных с высокой энтропией для обеспечения непредсказуемости seed, что в итоге делает его угадываемым при изучении логов или прочих данных, позволяющих узнать время начала атаки. Вооружившись этими данными, исследователи создали метод, который восстанавливает состояние CSPRNG, перебирая различные значения seed в пределах ожидаемого диапазона. Как только правильное значение найдено (подтверждено, что оно может расшифровать данные), все последующие случайные числа можно легко предсказать, и зашифрованные данные могут быть восстановлены без использования настоящего приватного ключа. Поиск seed Инструмент для расшифровки файлов уже доступен на сайте доступен на сайте KISA, наряду с с техническим отчетом и инструкциями по его использованию на корейском и английском языках. Стоит отметить, что вскоре после публикации этого исследования известный ИБ-эксперт Фабиан Восар сообщил, что уязвимость в Rhysida была обнаружена «по меньшей мере тремя другими сторонами, которые предпочли распространять эту информацию в частном порядке, а не добиваться публикации, оповещая Rhysida о проблемах». «Avast обнаружил уязвимость в октябре прошлого года, французский CERT написал и опубликовал приватную статью об этом в июне, а я нашел уязвимость в мае прошлого года, — заявил Восар. — Мне неизвестная статистика Avast и CERT, но с тех пор мы расшифровали сотни систем. Кроме того, хочу предупредить: исследование _
CSS
запостил(а)
Adrian
Вернуться назад

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: