Investigadores de ciberseguridad descubren la vulnerabilidad de implementación en el ransomware Rhysida que permite la reconstrucción de claves de cifrado y el descifrado de datos bloqueados. El descubrimiento marca el primer descifrado exitoso de la cepa de ransomware que surgió en mayo de 2023. La herramienta de recuperación está siendo distribuida por la Agencia de Internet y Seguridad de Corea (KISA). Este estudio es el más reciente en lograr el descifrado de datos explotando vulnerabilidades de implementación en ransomwares. Rhysida comparte similitudes con otro grupo de ransomware denominado Vice Society. Este utiliza la táctica de doble extorsión para presionar a las víctimas a pagar amenazando con publicar datos robados.
El uso de la biblioteca LibTomCrypt para el cifrado y el procesamiento paralelo para acelerar el proceso es un hecho confirmado por el examen detallado del funcionamiento interno del ransomware Rhysida. Además, se ha encontrado que implementa cifrado intermitente para evadir la detección por soluciones de seguridad.
El ransomware Rhysida utiliza un generador de números pseudoaleatorios criptográficamente seguros (CSPRNG) para generar la clave de cifrado. Este está basado en el algoritmo ChaCha20 proporcionado por LibTomCrypt, con el número aleatorio generado también correlacionado con el momento en que se está ejecutando el ransomware Rhysida. El hilo de cifrado genera 80 bytes de números aleatorios al cifrar un solo archivo, de los cuales los primeros 48 bytes se utilizan como clave de cifrado y el vector de inicialización.
Los investigadores han logrado recuperar la semilla inicial para descifrar el ransomware, determinar el orden «aleatorio» en que se cifraron los archivos y, en última instancia, recuperar los datos sin tener que pagar un rescate. La advertencia publicada por el gobierno de EE. UU. en noviembre de 2023 alertó sobre los actores maliciosos que realizan ataques oportunistas para atacar sectores como la educación, la fabricación, la tecnología de la información y el gobierno. Aunque estos estudios tienen un alcance limitado, investigaciones recientes demuestran que algunos ransomwares pueden ser descifrados exitosamente.
Vía The Hacker News
