Cybersecurity-onderzoekers hebben een ‘implementatiekwetsbaarheid’ ontdekt die het mogelijk heeft gemaakt om encryptiesleutels te reconstrueren en gegevens te decoderen die zijn vergrendeld door de Rhysida-ransomware.
De bevindingen werden vorige week gepubliceerd door een groep onderzoekers van Kookmin University en de Korea Internet and Security Agency (KISA).
“Door een uitgebreide analyse van Rhysida Ransomware hebben we een implementatiekwetsbaarheid geïdentificeerd, waardoor we de encryptiesleutel die door de malware wordt gebruikt opnieuw kunnen genereren”, aldus de onderzoekers.
De ontwikkeling markeert de eerste succesvolle decodering van de ransomware-variant, die voor het eerst opdook in mei 2023. Via KISA wordt een hersteltool verspreid.
Het onderzoek is na Magniber v2, Ragnar Locker, Avaddon en Hive ook het meest recente onderzoek naar het ontsleutelen van gegevens door gebruik te maken van implementatiekwetsbaarheden in ransomware.
Rhysida, waarvan bekend is dat het overlap deelt met een andere ransomware-ploeg genaamd Vice Society, maakt gebruik van een tactiek die bekend staat als dubbele afpersing om druk uit te oefenen op slachtoffers om te betalen door te dreigen hun gestolen gegevens vrij te geven.
In een advies dat in november 2023 door de Amerikaanse regering werd gepubliceerd, werden de dreigingsactoren opgeroepen voor het organiseren van opportunistische aanvallen op het onderwijs, de productie, de informatietechnologie en de overheidssectoren.
Een grondig onderzoek van de interne werking van de ransomware heeft het gebruik van LibTomCrypt voor encryptie en parallelle verwerking onthuld om het proces te versnellen. Er is ook gebleken dat het intermitterende encryptie (ook wel gedeeltelijke encryptie genoemd) implementeert om detectie door beveiligingsoplossingen te omzeilen.
“Rhysida ransomware gebruikt een cryptografisch veilige pseudo-willekeurige nummergenerator (CSPRNG) om de coderingssleutel te genereren”, aldus de onderzoekers. “Deze generator gebruikt een cryptografisch veilig algoritme om willekeurige getallen te genereren.”
Concreet is de CSPRNG gebaseerd op het ChaCha20-algoritme van de LibTomCrypt-bibliotheek, waarbij het gegenereerde willekeurige getal ook gecorreleerd is met het tijdstip waarop de Rhysida-ransomware actief is.
Dat is niet alles. Het hoofdproces van de Rhysida-ransomware stelt een lijst samen met bestanden die moeten worden gecodeerd. Naar deze lijst wordt vervolgens verwezen door verschillende threads die zijn gemaakt om de bestanden tegelijkertijd in een specifieke volgorde te coderen.
“Tijdens het versleutelingsproces van de Rhysida-ransomware genereert de versleutelingsthread 80 bytes aan willekeurige getallen bij het versleutelen van een enkel bestand”, merkten de onderzoekers op. “Hiervan worden de eerste 48 bytes gebruikt als de encryptiesleutel en de [initialization vector].”
Door deze observaties als referentiepunten te gebruiken, zeiden de onderzoekers dat ze in staat waren om het initiële startpunt voor het decoderen van de ransomware te achterhalen, de “willekeurige” volgorde te bepalen waarin de bestanden werden gecodeerd en uiteindelijk de gegevens konden herstellen zonder losgeld te hoeven betalen.
“Hoewel deze onderzoeken een beperkte reikwijdte hebben, is het belangrijk om te erkennen dat bepaalde ransomwares bestaan […] met succes kan worden gedecodeerd”, concludeerden de onderzoekers.
