Investigadores de Corea del Sur han expuesto una vulnerabilidad en el algoritmo de cifrado del ransomware Rhysida, permitiendo la creación de un herramienta de descifrado para Windows que recupera archivos sin costo. Rhysida, una campaña de ransomware activa desde mediados de 2023, se ha destacado por atacar entidades de salud, comprometiendo operaciones esenciales y comercializando datos sensibles de pacientes.
En noviembre de 2023, el FBI y la CISA emitieron alertas sobre los ataques de este grupo, que afectan a una amplia gama de sectores, incluyendo salud, defensa, cultura y energía.
El equipo de investigación surcoreano, con miembros de la Agencia de Seguridad de Internet de Corea (KISA), descubrió una falla en la implementación del mecanismo de cifrado de Rhysida, en particular en su generador de números aleatorios criptográficamente seguros (CSPRNG), el cual es clave para generar la clave de cifrado única para cada infección.
Esta vulnerabilidad fue explotada para reconstruir el estado interno del CSPRNG durante el ataque, lo que permitió generar una clave efectiva para deshacer el cifrado.
El enfoque selectivo de Rhysida al cifrar archivos, cifrando solo ciertas partes y dejando otras en claro, fue crucial para desarrollar el método de descifrado. Esto obligó a los investigadores a analizar el patrón de cifrado y aplicar la clave correcta de manera selectiva a las secciones cifradas del archivo.
Semillas usadas para crear números en cada proceso de cifrado
Conoce más sobre: Alerta del FBI y CISA: Ransomware Rhysida Ataca Oportunamente
El método defectuoso de Rhysida para generar valores iniciales se basa en tomar el tiempo actual del sistema para derivar un valor inicial de 32 bits, lo cual, según investigadores, reduce el espacio de búsqueda a un rango manejable computacionalmente.
Rhysida usa este valor para generar tanto la clave de cifrado privada como el vector de inicialización, pero su falta de fuentes adicionales de alta entropía hace que el valor inicial sea predecible, facilitando su adivinación mediante la revisión de registros u otros indicativos del momento exacto de la infección.
Con este conocimiento, los investigadores diseñaron un método que regenera el estado del CSPRNG, probando sistemáticamente diferentes valores de semilla dentro de un rango predeterminado.
Proceso de obtención de la semilla correcta
Identificar el valor correcto (demostrado al descifrar datos exitosamente) permite prever todos los números aleatorios generados subsecuentemente por el ransomware para el cifrado, haciendo posible recuperar los datos sin la clave privada original.
El proceso de descifrado se logra recreando exactamente la misma clave de cifrado y vector de inicialización usados originalmente, aplicando luego un cifrado en modo contador (CTR) a las partes cifradas de los archivos.
Este enfoque revierte efectivamente el cifrado, restituyendo los datos originales sin necesitar la clave privada del atacante, aprovechando la naturaleza simétrica del modo CTR, donde cifrar y descifrar son procesos idénticos.
El especialista en ransomware, Fabian Wosar, indicó que este descifrador es específico para archivos afectados por el ransomware Rhysida en entornos Windows, y no tiene capacidad para revertir el cifrado en sistemas VMware ESXi ni en aquellos comprometidos por scripts de PowerShell.
Te podrá interesar: Herramienta web recupera archivos cifrados por Ransomware
La vulnerabilidad en el cifrado de Rhysida ha sido explotada en secreto durante meses por entidades de ciberseguridad y gobiernos a nivel global desde, al menos, mayo de 2023. "Otro caso más. Claramente, no somos los primeros en identificar este fallo", mencionó Wosar en una discusión en X.
"Esta vulnerabilidad fue hallada de manera independiente por al menos tres grupos diferentes, que decidieron mantenerlo en reserva en vez de hacerlo público y alertar a los creadores de Rhysida sobre el problema".
"En cuanto a quiénes descubrieron esto: Avast lo identificó en octubre del año pasado, el CERT francés redactó y compartió un análisis privado en junio, y yo encontré la vulnerabilidad en mayo del año pasado".
Wosar comentó que, gracias a este fallo, se han logrado descifrar petabytes de datos en cientos de sistemas desde su descubrimiento en mayo. Al contactar a los investigadores surcoreanos sobre la decisión de hacer pública la vulnerabilidad, proporcionaron una declaración al respecto.
"Hasta donde sabemos, muchas empresas de seguridad cibernética están divulgando técnicas de descifrado en sus blogs/githubs/etc. Y esto definitivamente ayuda a mitigar el daño. Desarrollamos la herramienta de descifrado en colaboración con KISA y decidimos publicar el documento para demostrarlo de manera efectiva. Publicamos nuestra investigación detallada con la esperanza de que contribuya a la resistencia de las víctimas de ransomware."
Sin embargo, ahora que la vulnerabilidad ha sido expuesta públicamente, Wosar advierte que los operadores detrás del ransomware Rhysida probablemente corregirán el error en cuestión de días, lo que podría imposibilitar la recuperación de archivos sin realizar el pago del rescate.
Conoce más sobre: Evita el Pago de Ransomware: Riesgos del Rescate
En conclusión, la revelación de la vulnerabilidad en el cifrado de Rhysida y el desarrollo de herramientas de descifrado gratuitas representan un avance significativo en la lucha contra el ransomware. Sin embargo, la existencia de tales herramientas también subraya la importancia de adoptar estrategias de seguridad proactivas y robustas para prevenir ataques futuros. En este contexto, nuestro SOC as a Service emerge como una solución integral para mitigar los riesgos asociados con el ransomware y otros ciberataques.
Nuestro SOC as a Service proporciona una vigilancia continua, análisis de amenazas en tiempo real y respuestas rápidas a incidentes, lo que permite a las organizaciones fortalecer sus defensas contra las sofisticadas tácticas empleadas por los ciberdelincuentes. Mediante la combinación de tecnología avanzada, inteligencia sobre amenazas actualizada y la experiencia de profesionales en seguridad cibernética, podemos ofrecer una capa adicional de protección para asegurar la integridad y la disponibilidad de los datos críticos de las empresas.