Istraživač kibernetičke sigurnosti uspješno je razbio enkripciju koju koristi Linux/ESXI varijanta Akira ransomware-a , omogućavajući oporavak podataka bez plaćanja zahtjeva za otkupninom.
Ovo otkriće iskorištava kritičnu slabost u metodologiji šifrovanja ransomware-a. Prema istraživaču, maliciozni softver koristi trenutno vrijeme u nanosekundama kao sjeme za svoj proces šifrovanja, što ga čini teoretski ranjivim na napade grubom silom.
“Iz moje početne analize, primijetio sam da ransomware koristi trenutno vrijeme u nanosekundama kao sjeme,” kaže istraživač Yohanes Nugroho.
“Moja početna misao je bila: ‘Ovo bi trebalo biti lako, samo izvršite grubom silom gledajući vremenske oznake datoteke.’ Međutim, pokazalo se da je to znatno složenije.”
Akira varijanta identifikovana hashom bcae978c17bcddc0bf6419ae978e3471197801c36f73cff2fc88cecbe3d88d1a koristi sofisticiranu šemu šifrovanja koja koristi četiri različite vremenske oznake, svaka sa nano rezolucijom.
Zbog ove složenosti dešifrovanje se u početku činilo neizvodljivim, ali su upornost i računska moć na kraju prevladale.
Istraživač je objavio kompletan izvorni kod i metodologiju na GitHubu , pružajući potencijalni spas za organizacije pogođene ovim specifičnim sojem ransomware-a koji je aktivan od kraja 2023.
Obrnuti inženjering Ransomware kod
Istraživač je obrnutim inženjeringom napravio ransomware kod i otkrio da koristi generator slučajnih brojeva Yarrow256 sa vrijednostima vremenske oznake. Osnovna ranjivost leži u funkciji generate_random():
Ransomware koristi ovu funkciju za generisanje ključeva i za KCipher2 i za Chacha8 algoritme šifrovanja. Svaka datoteka je podijeljena na blokove s procentom šifrovanja prema parametru definisanom od strane napadača:
GPU-ubrzano brute-force rješenje
Da bi razbio enkripciju, istraživač je razvio CUDA optimizovan brute-force alat koji koristi GPU visokih performansi.
Nakon opsežne optimizacije, sistem je postigao približno 1,5 milijardi pokušaja šifrovanja u sekundi na RTX 3090 GPU-u, pri čemu je RTX 4090s isporučio još bolje performanse uz 2,3 puta brže.
“Testiranje 2 miliona pomaka zahtijevalo bi otprilike 16 dana na jednom GPU-u ili samo 1 dan korištenjem 16 GPU-a,” napomenuo je istraživač .
“Sa 4090, isti proces bi se mogao završiti za oko 7 dana na jednom GPU-u ili nešto više od 10 sati sa 16 GPU-a.”
Zahtjevi procesa oporavka
Proces dešifrovanja zahtijeva specifične ulaze da bi bio efikasan:
- Originalne vremenske oznake datoteke prije šifrovanja
- Poznati parovi otvoreni tekst/šifrovani tekst iz šifrovanih datoteka
- Dovoljna računarska snaga GPU-a
- Shell.log fajlovi koji pokazuju kada je ransomware izvršen
Potpuni izvorni kod i tehnički detalji dostupni su na GitHubu za organizacije koje su možda postale žrtve ove specifične Akire varijante.
Kako se ransomware razvija, ovaj rad naglašava tekuću trku u naoružanju između napadača i branitelja.
Izvor: CyberSecurityNews