Rhysida i njen ransomware
Rhysida je relativno nova ransomware-a-a-service banda koja se bavi dvostrukom iznudom.
Prvi put uočena u maju 2023. godine, stekla je ime napadom na Britansku biblioteku, čileansku vojsku, zdravstvene organizacije i Holding Slovenske elektrarne (HSE).
Prema Check Point Research- u, Rhysida ransomware grupa može jednostavno biti hakerska grupa Vice Society naoružana novim ransomware-om.
“[Rhysida] ransomware šifrira podatke koristeći 4096-bitni RSA ključ za šifriranje s ChaCha20 algoritmom. Algoritam sadrži 256-bitni ključ, 32-bitni brojač i 96-bitni nonce zajedno sa matricom četiri po četiri 32-bitne riječi u običnom tekstu”, navela je Agencija za kibernetičku sigurnost i sigurnost infrastrukture savjetu objavljenom u novembru 2023.
Izrada Rhysida ransomware dekriptora
“Dešifriranje podataka šifriranih korištenjem kriptografskog algoritma sa simetričnim ključem zahtijeva ključ za šifriranje koji se koristi u procesu. Budući da se ključevi za šifriranje mogu generisati na različite načine, važno je identifikovati faktore koje koristi ransomware u procesu generisanja ključeva tokom enkripcije podataka”, objasnili su istraživači Giyoon Kim, Soojin Kang, Seungjun Baek i Jongsung Kim sa Univerziteta Kookmin u Seulu i Kimoon Kim iz Korejske agencije za internet i sigurnost (KISA).
Kao i drugi istraživači prije njih, ustanovili su da Rhysida ransomware koristi kriptografsku biblioteku otvorenog koda LibTomCrypt za svoju rutinu šifriranja, i njene funkcije generatora pseudoslučajnih brojeva (PRNG) za generisanje ključeva i vektora inicijalizacije (IV).
Nakon detaljne analize ransomware-a, otkrili su da:
- Nasumični broj koji generiše PRNG bazira se na vremenu izvršenja Rhysida ransomware-a
- Oni bi mogli odrediti (nasumični) redoslijed datoteka za šifriranje
- Rhysida nit šifriranja generiše 80 bajtova nasumičnih brojeva prilikom šifriranja jedne datoteke, od kojih se prvih 48 bajtova koristi kao ključ za šifriranje i IV
S tim informacijama u ruci, uspjeli su stvoriti alat za oporavak.
“Prema našim saznanjima, ovo je prvo uspješno dešifriranje Rhysida ransomware-a. Težimo da naš rad doprinese ublažavanju štete koju je nanio Rhysida ransomware,” naveli su istraživači.
Izvor: Help Net Security