Ricercatori sudcoreani hanno reso pubblico un difetto nell’encryptor del ransomware Rhysida, consentendo la creazione di uno strumento di decrittazione per Windows che sfrutta questa vulnerabilità per recuperare i file gratuitamente. Rhysida è noto per aver preso di mira organizzazioni sanitarie, interrompendo le loro operazioni cruciali e vendendo dati sensibili dei pazienti.
La vulnerabilità di Rhysida
La vulnerabilità, identificata come un problema nel generatore di numeri casuali (CSPRNG) utilizzato per generare la chiave privata unica in ogni attacco, ha permesso agli analisti di recuperare lo stato interno di CSPRNG durante l’attacco e di utilizzarlo per creare una chiave valida per invertire la crittografia dei dati.
Decifratura dei File
L’utilizzo di Rhysida della crittografia intermittente, che cripta solo parti dei file lasciando altre in chiaro, è stato cruciale per delineare il metodo di decifratura. Gli analisti hanno dovuto comprendere il modello di crittografia e applicare selettivamente la chiave corretta alle parti dei file interessate.
Valore del seme prevedibile
Il sistema di generazione di valori difettoso di Rhysida si basa sul derivare il valore del seme a 32 bit dall’orario corrente del sistema, limitando lo spazio di ricerca a una portata computazionalmente gestibile. Questo rende il valore del seme indovinabile esaminando i log o altri dati che indicano il momento dell’infezione.
Sviluppo dello strumento di decrittazione
Armato di questa conoscenza, il team di ricerca ha sviluppato un metodo che rigenera sistematicamente lo stato di CSPRNG provando diversi valori di seme all’interno dell’intervallo previsto. Una volta trovato il valore corretto, tutti i numeri casuali successivi utilizzati dal ransomware per criptare i file possono essere facilmente predetti, consentendo il recupero di tutti i dati bloccati senza richiedere la chiave privata effettiva. Grazie a questa scoperta è stato possibile ottenere uno strumento di decrittazione di Rhysida
Disponibilità dello strumento
Uno strumento automatizzato di decrittazione per Windows è disponibile sul sito web di KISA, insieme a un documento tecnico pubblicato, con istruzioni in coreano e inglese. Tuttavia, non è possibile garantire la sicurezza o l’efficacia dello strumento.
Uso privato della vulnerabilità
La vulnerabilità di crittografia di Rhysida è stata utilizzata privatamente per mesi da aziende di cybersecurity e governi in tutto il mondo da almeno maggio 2023. Ora che il difetto è pubblico, è probabile che il gruppo di ransomware corregga il bug, rendendo impossibile recuperare i file senza pagare un riscatto.