Les chercheurs en cybersécurité ont découvert une « vulnérabilité d’implémentation » qui a permis de reconstruire les clés de chiffrement et de décrypter les données verrouillées par le ransomware Rhysida.
Les résultats ont été publiés la semaine dernière par un groupe de chercheurs de l’Université Kookmin et de l’Agence coréenne de sécurité de l’Internet et de la sécurité (KISA).
« Grâce à une analyse complète de Rhysida Ransomware, nous avons identifié une vulnérabilité de mise en œuvre, nous permettant de régénérer la clé de cryptage utilisée par le malware », expliquent les chercheurs. dit.
Ce développement marque le premier décryptage réussi de la souche du ransomware, qui a fait son apparition en mai 2023. outil de récupération est distribué via KISA.
L’étude est également la dernière à parvenir au décryptage des données en exploitant les vulnérabilités de mise en œuvre des ransomwares, après Magniber v2Casier Ragnar, Avaddonet Ruche.
Rhysidaqui est connu pour partager des chevauchements avec une autre équipe de ransomware appelée Vice Society, utilise une tactique connue sous le nom de double extorsion pour faire pression sur les victimes afin qu’elles paient en menaçant de divulguer leurs données volées.
Un avis publié par le gouvernement américain en novembre 2023 a dénoncé les acteurs menaçants pour avoir organisé des attaques opportunistes ciblant les secteurs de l’éducation, de l’industrie manufacturière, des technologies de l’information et du gouvernement.
Un examen approfondi du fonctionnement interne du ransomware a révélé qu’il utilise LibTomCrypt pour le chiffrement ainsi que pour le traitement parallèle afin d’accélérer le processus. Il s’est également avéré mettre en œuvre cryptage intermittent (c’est-à-dire un cryptage partiel) pour échapper à la détection par les solutions de sécurité.
« Le ransomware Rhysida utilise un générateur de nombres pseudo-aléatoires cryptographiquement sécurisé (CSPRNG) pour générer la clé de cryptage », ont indiqué les chercheurs. « Ce générateur utilise un algorithme cryptographiquement sécurisé pour générer des nombres aléatoires. »
Concrètement, le CSPRNG s’appuie sur le Algorithme ChaCha20 fournis par le Bibliothèque LibTomCryptle nombre aléatoire généré étant également corrélé à l’heure à laquelle le ransomware Rhysida est en cours d’exécution.
Ce n’est pas tout. Le processus principal du ransomware Rhysida compile une liste de fichiers à chiffrer. Cette liste est ensuite référencée par différents threads créés pour chiffrer simultanément les fichiers dans un ordre spécifique.
« Dans le processus de cryptage du ransomware Rhysida, le fil de cryptage génère 80 octets de nombres aléatoires lors du cryptage d’un seul fichier », ont noté les chercheurs. » Parmi ceux-ci, les 48 premiers octets sont utilisés comme clé de chiffrement et le [initialization vector] ».
En utilisant ces observations comme points de référence, les chercheurs ont déclaré avoir pu récupérer la graine initiale pour décrypter le ransomware, déterminer l’ordre « aléatoire » dans lequel les fichiers ont été cryptés et finalement récupérer les données sans avoir à payer de rançon.
« Même si ces études ont une portée limitée, il est important de reconnaître que certains ransomwares […] peut être décrypté avec succès », ont conclu les chercheurs.