Siber güvenlik araştırmacıları, şifreleme anahtarlarını yeniden yapılandırmayı ve Rhysida fidye yazılımı tarafından kilitlenen verilerin şifresini çözmeyi mümkün kılan bir “uygulama güvenlik açığını” ortaya çıkardı.
Bulgular geçen hafta Kookmin Üniversitesi ve Kore İnternet ve Güvenlik Ajansı’ndan (KISA) bir grup araştırmacı tarafından yayınlandı.
Araştırmacılar, “Rhysida Ransomware’in kapsamlı bir analizi yoluyla, kötü amaçlı yazılım tarafından kullanılan şifreleme anahtarını yeniden oluşturmamızı sağlayan bir uygulama güvenlik açığı tespit ettik” dedi. söz konusu.
Bu gelişme, ilk olarak Mayıs 2023’te ortaya çıkan fidye yazılımı türünün ilk başarılı şifre çözme işlemine işaret ediyor. kurtarma aracı KISA aracılığıyla dağıtılıyor.
Bu çalışma aynı zamanda fidye yazılımındaki uygulama açıklarından yararlanarak veri şifre çözmeyi başaran en son çalışmadır. Magniber v2Ragnar Dolabı, Avaddonve Hive’ı seçin.
RhysidaVice Society adlı başka bir fidye yazılımı ekibiyle çakışmaları olduğu bilinen .
ABD hükümeti tarafından Kasım 2023’te yayınlanan bir tavsiye niteliğindeki belge, tehdit aktörlerine eğitim, imalat, bilgi teknolojisi ve kamu sektörlerini hedef alan fırsatçı saldırılar düzenlemeleri konusunda çağrıda bulundu.
Fidye yazılımının iç işleyişinin kapsamlı bir incelemesi, şifreleme için LibTomCrypt’in yanı sıra süreci hızlandırmak için paralel işleme kullandığını ortaya çıkardı. Ayrıca uygulandığı tespit edildi aralıklı şifreleme (kısmi şifreleme olarak da bilinir) güvenlik çözümleri tarafından tespit edilmekten kaçınmak için.
Araştırmacılar, “Rhysida fidye yazılımı, şifreleme anahtarını oluşturmak için kriptografik olarak güvenli bir sözde rastgele sayı üreteci (CSPRNG) kullanıyor” dedi. “Bu oluşturucu, rastgele sayılar üretmek için kriptografik olarak güvenli bir algoritma kullanıyor.”
Spesifik olarak, CSPRNG aşağıdakilere dayanmaktadır: ChaCha20 algoritması tarafından sağlanan LibTomCrypt kütüphanesioluşturulan rastgele sayı aynı zamanda Rhysida fidye yazılımının çalıştığı zamanla da ilişkilidir.
Hepsi bu değil. Rhysida fidye yazılımının ana süreci, şifrelenecek dosyaların bir listesini derler. Bu listeye daha sonra dosyaları belirli bir sırayla aynı anda şifrelemek için oluşturulan çeşitli iş parçacıkları tarafından başvurulur.
Araştırmacılar, “Rhysida fidye yazılımının şifreleme sürecinde, şifreleme dizisi tek bir dosyayı şifrelerken 80 baytlık rastgele sayılar üretiyor” dedi. “Bunlardan ilk 48 bayt şifreleme anahtarı olarak kullanılıyor ve [initialization vector]”
Bu gözlemleri referans noktası olarak kullanan araştırmacılar, fidye yazılımının şifresini çözmek için ilk tohumu alabildiklerini, dosyaların şifrelendiği “rastgele” sırayı belirleyebildiklerini ve sonuçta fidye ödemeden verileri kurtarabildiklerini söyledi.
“Bu çalışmaların kapsamı sınırlı olsa da bazı fidye yazılımlarının […] Başarılı bir şekilde şifresi çözülebilir” dedi araştırmacılar.
