More

    Dekriptor za Rhysida ransomware je dostupan!

    Rhysida i njen ransomware

    Rhysida je relativno nova ransomware-a-a-service banda koja se bavi dvostrukom iznudom.

    Prvi put uočena u maju 2023. godine, stekla je ime napadom na Britansku biblioteku, čileansku vojsku, zdravstvene organizacije i Holding Slovenske elektrarne (HSE).

    Prema Check Point Research- u, Rhysida ransomware grupa može jednostavno biti hakerska grupa Vice Society naoružana novim ransomware-om.

    “[Rhysida] ransomware šifrira podatke koristeći 4096-bitni RSA ključ za šifriranje s ChaCha20 algoritmom. Algoritam sadrži 256-bitni ključ, 32-bitni brojač i 96-bitni nonce zajedno sa matricom četiri po četiri 32-bitne riječi u običnom tekstu”, navela je Agencija za kibernetičku sigurnost i sigurnost infrastrukture savjetu objavljenom u novembru 2023.

    Izrada Rhysida ransomware dekriptora

    “Dešifriranje podataka šifriranih korištenjem kriptografskog algoritma sa simetričnim ključem zahtijeva ključ za šifriranje koji se koristi u procesu. Budući da se ključevi za šifriranje mogu generisati na različite načine, važno je identifikovati faktore koje koristi ransomware u procesu generisanja ključeva tokom enkripcije podataka”, objasnili su istraživači Giyoon Kim, Soojin Kang, Seungjun Baek i Jongsung Kim sa Univerziteta Kookmin u Seulu i Kimoon Kim iz Korejske agencije za internet i sigurnost (KISA).

    Kao i drugi istraživači prije njih, ustanovili su da Rhysida ransomware koristi kriptografsku biblioteku otvorenog koda LibTomCrypt za svoju rutinu šifriranja, i njene funkcije generatora pseudoslučajnih brojeva (PRNG) za generisanje ključeva i vektora inicijalizacije (IV).

    Nakon detaljne analize ransomware-a, otkrili su da:

    • Nasumični broj koji generiše PRNG bazira se na vremenu izvršenja Rhysida ransomware-a
    • Oni bi mogli odrediti (nasumični) redoslijed datoteka za šifriranje
    • Rhysida nit šifriranja generiše 80 bajtova nasumičnih brojeva prilikom šifriranja jedne datoteke, od kojih se prvih 48 bajtova koristi kao ključ za šifriranje i IV

    S tim informacijama u ruci, uspjeli su stvoriti alat za oporavak.

    “Prema našim saznanjima, ovo je prvo uspješno dešifriranje Rhysida ransomware-a. Težimo da naš rad doprinese ublažavanju štete koju je nanio Rhysida ransomware,” naveli su istraživači.

    Izvor: Help Net Security

    Recent Articles

    spot_img

    Related Stories