Dekriptor za Rhysida ransomware je dostupan!

By Adam
Novosti

Rhysida i njen ransomware

Rhysida je relativno nova ransomware-a-a-service banda koja se bavi dvostrukom iznudom.

Prvi put uočena u maju 2023. godine, stekla je ime napadom na Britansku biblioteku, čileansku vojsku, zdravstvene organizacije i Holding Slovenske elektrarne (HSE).

Prema Check Point Research- u, Rhysida ransomware grupa može jednostavno biti hakerska grupa Vice Society naoružana novim ransomware-om.

“[Rhysida] ransomware šifrira podatke koristeći 4096-bitni RSA ključ za šifriranje s ChaCha20 algoritmom. Algoritam sadrži 256-bitni ključ, 32-bitni brojač i 96-bitni nonce zajedno sa matricom četiri po četiri 32-bitne riječi u običnom tekstu”, navela je Agencija za kibernetičku sigurnost i sigurnost infrastrukture savjetu objavljenom u novembru 2023.

Izrada Rhysida ransomware dekriptora

“Dešifriranje podataka šifriranih korištenjem kriptografskog algoritma sa simetričnim ključem zahtijeva ključ za šifriranje koji se koristi u procesu. Budući da se ključevi za šifriranje mogu generisati na različite načine, važno je identifikovati faktore koje koristi ransomware u procesu generisanja ključeva tokom enkripcije podataka”, objasnili su istraživači Giyoon Kim, Soojin Kang, Seungjun Baek i Jongsung Kim sa Univerziteta Kookmin u Seulu i Kimoon Kim iz Korejske agencije za internet i sigurnost (KISA).

Kao i drugi istraživači prije njih, ustanovili su da Rhysida ransomware koristi kriptografsku biblioteku otvorenog koda LibTomCrypt za svoju rutinu šifriranja, i njene funkcije generatora pseudoslučajnih brojeva (PRNG) za generisanje ključeva i vektora inicijalizacije (IV).

Nakon detaljne analize ransomware-a, otkrili su da:

  • Nasumični broj koji generiše PRNG bazira se na vremenu izvršenja Rhysida ransomware-a
  • Oni bi mogli odrediti (nasumični) redoslijed datoteka za šifriranje
  • Rhysida nit šifriranja generiše 80 bajtova nasumičnih brojeva prilikom šifriranja jedne datoteke, od kojih se prvih 48 bajtova koristi kao ključ za šifriranje i IV

S tim informacijama u ruci, uspjeli su stvoriti alat za oporavak.

“Prema našim saznanjima, ovo je prvo uspješno dešifriranje Rhysida ransomware-a. Težimo da naš rad doprinese ublažavanju štete koju je nanio Rhysida ransomware,” naveli su istraživači.

Izvor: Help Net Security

Recent Articles

spot_img

Related Stories

Novosti

Google dodaje višeslojne odbrane kako bi zaštitio GenAI od napada putem prompt injection tehnika

Novosti

Scattered Spider iza cyber napada na M&S i Co-op, šteta i do 592 miliona dolara

Novosti

Ko čuva AI? Čak i sigurnosni timovi zaobilaze nadzor

Novosti

Ukradeni podaci iz Chain IQ-a i UBS-a u ransomware napadu

Novosti

Hakeri pristupili starim sistemima u sajber napadu na Opštinu Oksford

Novosti

AI Indeks 2025: Šta se mijenja i zašto je to važno

© Copyright - Kiber.ba