Site icon Kiber.ba

Dekriptor za Rhysida ransomware je dostupan!

Dekriptor za Rhysida ransomware je dostupan! - Kiber.ba

Dekriptor za Rhysida ransomware je dostupan! - Kiber.ba

Rhysida i njen ransomware

Rhysida je relativno nova ransomware-a-a-service banda koja se bavi dvostrukom iznudom.

Prvi put uočena u maju 2023. godine, stekla je ime napadom na Britansku biblioteku, čileansku vojsku, zdravstvene organizacije i Holding Slovenske elektrarne (HSE).

Prema Check Point Research- u, Rhysida ransomware grupa može jednostavno biti hakerska grupa Vice Society naoružana novim ransomware-om.

“[Rhysida] ransomware šifrira podatke koristeći 4096-bitni RSA ključ za šifriranje s ChaCha20 algoritmom. Algoritam sadrži 256-bitni ključ, 32-bitni brojač i 96-bitni nonce zajedno sa matricom četiri po četiri 32-bitne riječi u običnom tekstu”, navela je Agencija za kibernetičku sigurnost i sigurnost infrastrukture savjetu objavljenom u novembru 2023.

Izrada Rhysida ransomware dekriptora

“Dešifriranje podataka šifriranih korištenjem kriptografskog algoritma sa simetričnim ključem zahtijeva ključ za šifriranje koji se koristi u procesu. Budući da se ključevi za šifriranje mogu generisati na različite načine, važno je identifikovati faktore koje koristi ransomware u procesu generisanja ključeva tokom enkripcije podataka”, objasnili su istraživači Giyoon Kim, Soojin Kang, Seungjun Baek i Jongsung Kim sa Univerziteta Kookmin u Seulu i Kimoon Kim iz Korejske agencije za internet i sigurnost (KISA).

Kao i drugi istraživači prije njih, ustanovili su da Rhysida ransomware koristi kriptografsku biblioteku otvorenog koda LibTomCrypt za svoju rutinu šifriranja, i njene funkcije generatora pseudoslučajnih brojeva (PRNG) za generisanje ključeva i vektora inicijalizacije (IV).

Nakon detaljne analize ransomware-a, otkrili su da:

S tim informacijama u ruci, uspjeli su stvoriti alat za oporavak.

“Prema našim saznanjima, ovo je prvo uspješno dešifriranje Rhysida ransomware-a. Težimo da naš rad doprinese ublažavanju štete koju je nanio Rhysida ransomware,” naveli su istraživači.

Izvor: Help Net Security

Exit mobile version