Investigadores lançam decryptor do ransomware Rhysida

Os investigadores da Universidade Kookmin, em Seoul, na Coreia do Sul, e da Agência Coreana de Internet e Segurança (KISA) desenvolveram um novo método para prever as chaves de criptografia geradas pelo ransomware Rhysida, assim como a ordem em que o malware criptografa os ficheiros.

O método dos investigadores assenta numa ferramenta de descriptografia automática gratuita, que está disponível no site da KISA. O decryptor do Rhysida aproveita uma vulnerabilidade no processo de criptografia do ransomware, sujeitando-o a uma engenharia reversa para recuperar os ficheiros.

De acordo com o especialista em ransomware Fabian Wosar, a vulnerabilidade na criptografia do Rhysida foi descoberta há uns meses por três partes independentes, havendo circulado de forma privada para ajudar os indivíduos visados pelo ransomware.

Wosar, chefe de investigação de ransomware da Emsisoft, publicou no X, antigo Twitter, que a publicação do método de descriptografia alertará o grupo Rhysida sobre a vulnerabilidade, permitindo-lhes corrigi-la.

A ferramenta disponível é apenas eficaz contra a versão Windows Portable Executable (PE) do Rhysida e não se aplica às cargas ESXi ou PowerShell Rhysida, embora a vulnerabilidade ainda esteja presente na versão ESXi, acrescenta Wosar.

O ransomware Rhysida, que surgiu pela primeira vez em maio do ano passado, tem como alvos as áreas de saúde, educação, manufatura, tecnologia da informação e governo, segundo uma consultoria do FBI, da CISA e Centro Multiestadual de Partilha e Análise de Informações (MS-ISAC).

Os alvos do grupo de ransomware-as-a-service (RaaS) Rhysida incluem a Prospect Medical Holdings, a Biblioteca Nacional do Reino Unido e a Insomniac Games, developers de videojogos da Sony. Os afiliados recorrem a métodos de dupla extorsão de criptografia e exfiltração, ameaçando divulgar as informações dos alvos se não for efetuado o pagamento de resgate.

Os investigadores sul-coreanos revelaram uma vulnerabilidade neste processo de geração que permite fazer engenharia reversa nas chaves de criptografia de forma mais fácil. Estes descobriram que o Rhysida incorpora dados de entropia antes de usar o CSPRNG que é gerado pela função “rand” na biblioteca padrão C, e a seed da função “rand” é baseada na hora do sistema quando esta função é executada.

A correlação entre o tempo de criptografia e a chave de criptografia gerada permite limitar as chaves possíveis geradas para um determinado ficheiro e, assim, torna-se possível identificar a chave correta através da tentativa de múltiplas iterações nos ficheiros criptografados, até que um ficheiro seja descriptografado com sucesso.

Os investigadores conseguiram identificar também a ordem de criptografia dos ficheiros, uma vez que o tempo de modificação (mtime) dos ficheiros mudou quando foram criptografados. Após o decryption bem-sucedido, os restantes ficheiros podem ser descriptografados mais facilmente devido à sequência previsível que o Rhysida utiliza CSPRNG para gerar chaves.

A KISA recomenda aos utilizadores da ferramenta de descriptografia a garantia de que todo o código malicioso é removido do sistema antes da sua utilização. “A descriptografia 100% é difícil” e “a KISA não é responsável por quaisquer problemas causados pelo uso indevido”, afirma a agência no manual de utilizador.

Segundo Wosar, desde que foi descoberta a vulnerabilidade de criptografia, a sua equipa ajudou na restauração de centenas de sistemas e na recuperação de petabytes de dados, provavelmente evitando cerca de 100 milhões de dólares em pagamentos de resgate, ao trabalhar de forma privada com as vítimas e as autoridades.