Koreli araştırmacılar tarafından keşfedilen ve bir şifre çözücü oluşturmak için kullanılan bir uygulama güvenlik açığı nedeniyle, Rhysida fidye yazılımı tarafından şifrelenen dosyaların şifresi başarıyla çözülebiliyor.
Rhysida hakkında
Rhysida, çifte gaspla uğraşan nispeten yeni bir hizmet olarak fidye yazılımı çetesidir.
İlk kez Mayıs 2023’te gözlemlenen saldırı, Britanya Kütüphanesi’ne saldırarak adını duyurdu. Şili Ordususağlık hizmetleri dağıtım kuruluşları ve Holding Slovenske Elektrarne (HSE).
Check Point Research’e göre Rhysida fidye yazılımı grubu, yeni fidye yazılımıyla donanmış Vice Society hack grubu olabilir.
“ [Rhysida] Fidye yazılımı, ChaCha20 algoritmasına sahip 4096 bitlik bir RSA şifreleme anahtarı kullanarak verileri şifreler. Algoritma, 256 bitlik bir anahtar, 32 bitlik bir sayaç ve 96 bitlik bir teklik özelliğinin yanı sıra düz metin olarak 32 bitlik sözcüklerden oluşan dörte dörtlük bir matris içeriyor.” Kasım 2023’te yayınlanan danışma belgesi.
Rhysida fidye yazılımı şifre çözücüyü yapma
“Simetrik anahtarlı şifreleme algoritması kullanılarak şifrelenen verilerin şifresinin çözülmesi, süreçte kullanılan şifreleme anahtarını gerektirir. Şifreleme anahtarları çeşitli yöntemlerle oluşturulabildiğinden, veri şifreleme sırasında anahtar oluşturma sürecinde fidye yazılımının kullandığı faktörleri belirlemek önemlidir.” Seul’deki Kookmin Üniversitesi’nden araştırmacılar Giyoon Kim, Soojin Kang, Seungjun Baek ve Jongsung Kim ve Kimoon Kim Kore İnternet ve Güvenlik Ajansı’ndan (KISA) açıkladı.
Kendilerinden önceki diğer araştırmacılar gibi onlar da Rhysida fidye yazılımının, şifreleme rutini için açık kaynaklı kriptografik kütüphane LibTomCrypt’i ve hem anahtar hem de başlatma vektörü (IV) üretimi için sözde rastgele sayı üreteci (PRNG) işlevlerini kullandığını tespit ettiler.
Fidye yazılımının kapsamlı bir analizinden sonra şunu buldular:
- PRNG tarafından oluşturulan rastgele sayı, Rhysida fidye yazılımının yürütme süresine dayanmaktadır.
- Şifreleme için dosyaların (rastgele) sırasını belirleyebilirler
- Rhysida’nın şifreleme dizisi, tek bir dosyayı şifrelerken 80 baytlık rasgele sayılar üretir; bunların ilk 48 baytı şifreleme anahtarı ve IV olarak kullanılır.
Ellerindeki bu bilgilerle bir kurtarma aracı oluşturmayı başardılar.
“Bildiğimiz kadarıyla bu, Rhysida fidye yazılımının ilk başarılı şifre çözme işlemidir. Araştırmacılar, çalışmalarımızın Rhysida fidye yazılımının neden olduğu hasarın azaltılmasına katkıda bulunmasını hedefliyoruz” dedi.