Güney Koreli araştırmacılar, Rhysida fidye yazılımı şifrelemesinde bir şifreleme kusuru açıkladı ve bir Windows şifrelemesinin oluşturulmasına ücretsiz olarak kurtarılmasına izin verdiler.
Rhysida, 2023 ortalarında başlatılan ve sağlık kuruluşlarını hedeflemek, önemli operasyonlarını bozmak ve hassas hasta kayıtları satmak için kötü şöhretli bir fidye yazılımı operasyonudur.
Kasım 2023'te FBI ve CISA, çetenin sağlık, askeri, kültürel ve enerji organizasyonları da dahil olmak üzere geniş bir endüstri türü yelpazesine karşı fırsatçı saldırıları konusunda uyardı.
Kore İnternet ve Güvenlik Ajansı (KISA) çalışanları da dahil olmak üzere Güney Koreli araştırmacılar, Rhysida'yı inceleyen, fidye yazılımlarının şifreleme şemasında, özellikle, her birinde benzersiz özel (şifreleme) anahtar üretilmesine yardımcı olan rastgele sayı jeneratöründe (CSPRNG) bir uygulama kırılganlığı buldu. saldırı.
Kusurdan yararlanarak, analistler saldırı sırasında CSPRNG'nin iç durumunu kurtarabilir ve veri şifrelemesini tersine çevirmek için geçerli bir anahtar oluşturmak için kullanabilirler.
Rhysida'nın aralıklı şifreleme kullanımı, diğerlerini düz metin olarak bırakırken dosyaların sadece kısıtlamasının bir taktiği kullanımı, araştırmacılar şifreleme modelini anlamak ve doğru anahtarı etkilenen dosya parçalarına seçici olarak uygulamak zorunda olduğu için şifre çözme yöntemini şekillendirmede kritikti.
Rhysida'nın hatalı değer üretim sistemi, 32 bit tohum değerini sistemin mevcut zamanından türetmeye dayanır ve araştırmacıların arama alanını hesaplamalı olarak uygulanabilir bir kapsamla sınırladığını söyler.
Rhysida, özel şifreleme anahtarını ve başlatma vektörünü oluşturmak için bu değeri kullanır, ancak tohum değerinin öngörülemez olmasını sağlamak için diğer yüksek entropi veri kaynaklarından yoksundur, bu da enfeksiyon zamanını gösteren kütüklere veya diğer verilere bakarak tahmin edilebilir.
Bu bilgiyle donanmış olan araştırmacılar, beklenen aralıkta farklı tohum değerlerini deneyerek CSPRNG durumunu sistematik olarak yenileyen bir yöntem geliştirdiler.
Doğru değer bulunduktan sonra (verilerin şifresini çözebileceğini doğrulayarak), dosyaları şifrelemek için fidye yazılımı tarafından kullanılan tüm rasgele sayılar kolayca tahmin edilebilir, böylece tüm kilitli veriler gerçek özel anahtar gerektirmeden alınabilir.
Şifre çözme, orijinal şifreleme işlemi sırasında kullanılan aynı şifreleme tuşunu ve başlangıç vektörü doğru bir şekilde yeniden üreterek ve daha sonra dosyaların şifreli segmentlerine karşı mod (CTR) şifreleme işlemi uygulayarak çalışır.
Bu yöntem, şifrelemenin özel anahtarına ihtiyaç duymadan orijinal düz metinleri geri yükleyerek şifrelemeyi etkili bir şekilde tersine çevirir ve şifreleme ve şifre çözme işlemlerinin aynı olduğu TO modunun simetrik özelliğini kullanır.
Windows için otomatik bir şifre çözme aracı, Kisa'nın web sitesinde geçen Cuma günü yayınlanan ve Korece ve İngilizce kullanım talimatlarıyla yayınlanan teknik bir makale mevcuttur.
Rhysida fidye yazılımının kurbanları, aracı dosyalarını ücretsiz olarak şifresini çözmeye çalışmak için kullanabilir, ancak BleepingComputer aracın güvenliğini veya etkinliğini garanti edemez.
Fidye yazılımı uzmanı Fabian Wosar, BleepingComputer'a bu şifrelemenin yalnızca Rysida Windows şifrelemesi tarafından şifrelenmiş dosyalar için çalıştığını ve VMware ESXI'da veya PowerShell tabanlı şifrelemesinde şifrelenmiş dosyaları şifresini çözemediğini söyledi.
Rhysida şifreleme kusuru, en azından Mayıs 2023'ten beri dünya çapında siber güvenlik firmaları ve hükümetler tarafından aylarca özel olarak kullanılmaktadır.
"Bir tane daha var. Açıkçası bu güvenlik açığını bulan ilk kişi değiller," diye açıklıyor Wosar
Diyerek şöyle devam etti: "Bu, bağımsız olarak, yayınlanmak yerine özel olarak dolaşmayı seçen ve Rhysida'yı sorunları hakkında uyarmayı seçen en az üç parti tarafından bulundu."
"Bu partilerin kim olduğuna gelince: Avast bunu geçen yıl Ekim ayında buldu, Fransız sertifikası Haziran ayında bu konuda özel bir makale yazdı ve yayınladı ve geçen yıl Mayıs ayında güvenlik açığını buldum."
Wosar, BleepingComputer'a, Mayıs ayında keşfettiğinden beri yüzlerce makinedeki petabaytların bu kusur kullanılarak başarılı bir şekilde şifresini çözdüğünü söyledi.
BleepingComputer, kusurun neden kamuya açıklandığını sormak için Güney Koreli araştırmacılarla temasa geçtiğinde, aşağıdaki ifadeyi paylaştılar.
Bildiğimiz kadarıyla, birçok siber güvenlik şirketi bloglarında/githubs/vb. Ve bu kesinlikle hasarı azaltmaya yardımcı olur. Şifre çözme aracını KISA ile işbirliği içinde geliştirdik ve etkili bir şekilde göstermek için makaleyi serbest bırakmaya karar verdik. Fidye yazılımı kurbanlarının esnekliğine katkıda bulunacağı umuduyla ayrıntılı araştırmamızı yayınlıyoruz.
Ancak, kusur halka açık olduğuna göre, Wosar fidye yazılımı işleminin hatayı günler içinde düzelteceği ve fidye talebi ödemeden dosyaları kurtarmayı imkansız hale getireceği konusunda uyarıyor.
Çevrimiçi Fidye Yazılımı Şifreleme, kısmen şifreli dosyaları kurtarmaya yardımcı olur
Hacker tutuklandıktan sonra yayınlanan Babuk Fidye Yazılımı Varyantı için DeFRePtor
Ransomware'de Hafta - 5 Ocak 2024 - Gizli DeRryptors
Dosyaları kurtarmak için yeni siyah basta şifrelemesi fidye yazılımı kusurundan yararlanır
Fidye yazılımı saldırısı 100 Romanya hastanesini çevrimdışı olmaya zorlar
Kaynak: Bleeping Computer