Бесплатно Экспресс-аудит сайта:

Проверить
ГлавнаяО компанииПочему?Аудит безопасностиУстранение уязвимостейFAQНовостиКонтакты
13.02.2024

Корейцы взломали Rhysida: жертвы вымогательских атак могут бесплатно восстановить свои данные

Специалисты в области кибербезопасности обнаружили уязвимость имплементации в вымогательском ПО Rhysida, которая позволила восстановить ключи шифрования и расшифровать данные, заблокированные вредоносом. Открытие было опубликовано группой исследователей из сеульского Университета Кунмин совместно с корейским агентством интернета и безопасности ( KISA ).

Исследование стало первым успешным случаем дешифровки данного штамма вымогательского ПО, который появился в мае 2023 года. Инструмент для восстановления данных теперь распространяется на официальном сайте KISA.

В ноябре 2023 года американское правительство опубликовало предупреждение о группе хакеров Rhysida, атакующих образовательные, производственные, информационные и государственные учреждения.

Данная вымогательская банда известна своими связями с другой группой, называемой Vice Society, а также использованием тактики «двойного вымогательства», когда жертвам угрожают опубликовать украденные данные, если те не заплатят выкуп.

Анализ исследователей показал, что фирменное вредоносное ПО Rhysida использует для шифрования библиотеку LibTomCrypt, а также параллельную обработку и прерывистое шифрование для ускорения процесса избежания обнаружения.

Основой генератора ключей шифрования является алгоритм ChaCha20, гарантирующий криптографическую надёжность генерируемых случайных чисел. Эти числа также зависят от времени запуска вредоносного ПО.

Несмотря на всю сложность, исследователи всё же смогли восстановить исходный сид расшифровки, определить порядок шифрования файлов и восстановить заблокированные данные. Это открытие подчёркивает, что некоторые вымогательские программы могут быть успешно расшифрованы, а данные могут восстановлены без уплаты выкупа. Хоть такое и случается редко, но всё же случается.

Теперь разумно ожидать от группы Rhysida обновлённый вредонос, который сделает процесс шифрования более продуманным и сложным, что не позволит исследователям взломать его. Хотя кто знает, может южнокорейские специалисты из Университета Кунмин ещё удивят нас в будущем.