Новости Корейцы взломали Rhysida: жертвы вымогательских атак могут бесплатно восстановить свои данные

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022
Как исследователям из Сеула удалось разгадать тайный хакерский шифр?


5zff3r0ijgi0xgv4x20n447vtyicrgyo.jpg


Специалисты в области кибербезопасности обнаружили уязвимость имплементации в вымогательском ПО Rhysida, которая позволила восстановить ключи шифрования и расшифровать данные, заблокированные вредоносом. Открытие Для просмотра ссылки Войди или Зарегистрируйся группой исследователей из сеульского Университета Кунмин совместно с корейским агентством интернета и безопасности ( KISA ).

Исследование стало первым успешным случаем дешифровки данного штамма вымогательского ПО, который появился в мае 2023 года. Инструмент для восстановления данных теперь Для просмотра ссылки Войди или Зарегистрируйся на официальном сайте KISA.

В ноябре 2023 года американское правительство Для просмотра ссылки Войди или Зарегистрируйся о группе хакеров Rhysida, атакующих образовательные, производственные, информационные и государственные учреждения.

Данная вымогательская банда известна своими связями с другой группой, называемой Vice Society, а также использованием тактики «двойного вымогательства», когда жертвам угрожают опубликовать украденные данные, если те не заплатят выкуп.

Анализ исследователей показал, что фирменное вредоносное ПО Rhysida использует для шифрования библиотеку LibTomCrypt, а также параллельную обработку и прерывистое шифрование для ускорения процесса избежания обнаружения.

Основой генератора ключей шифрования является алгоритм ChaCha20, гарантирующий криптографическую надёжность генерируемых случайных чисел. Эти числа также зависят от времени запуска вредоносного ПО.

Несмотря на всю сложность, исследователи всё же смогли восстановить исходный сид расшифровки, определить порядок шифрования файлов и восстановить заблокированные данные. Это открытие подчёркивает, что некоторые вымогательские программы могут быть успешно расшифрованы, а данные могут восстановлены без уплаты выкупа. Хоть такое и случается редко, но всё же случается.

Теперь разумно ожидать от группы Rhysida обновлённый вредонос, который сделает процесс шифрования более продуманным и сложным, что не позволит исследователям взломать его. Хотя кто знает, может южнокорейские специалисты из Университета Кунмин ещё удивят нас в будущем.
 
Источник новости
www.securitylab.ru

Похожие темы