Güney Koreli araştırmacılar, Rhysida fidye yazılımı şifreleyicisindeki, dosyaları ücretsiz olarak kurtaracak bir Windows şifre çözücü oluşturulmasına olanak tanıyan bir şifreleme kusurunu kamuya açıkladı.
Rhysida, 2023’ün ortalarında başlatılan bir fidye yazılımı operasyonudur ve sağlık kuruluşlarını hedef alması, onların önemli operasyonlarını aksatması ve hassas hasta kayıtlarını satmasıyla ünlüdür.
Kasım 2023’te FBI ve CISA, çetenin sağlık, askeri, kültürel ve enerji kuruluşları da dahil olmak üzere geniş bir sektör yelpazesine yönelik fırsatçı saldırıları konusunda uyarıda bulundu.
Kore İnternet ve Güvenlik Ajansı (KISA) çalışanları da dahil olmak üzere Güney Koreli araştırmacılar, Rhysida’yı inceleyerek fidye yazılımının şifreleme düzeninde, özellikle de her birinde benzersiz özel (şifreleme) anahtarı oluşturmaya yardımcı olan rastgele sayı üretecinde (CSPRNG) bir uygulama güvenlik açığı buldu. saldırı.
Analistler, kusurdan yararlanarak saldırı sırasında CSPRNG’nin dahili durumunu kurtarabilir ve bunu veri şifrelemeyi tersine çevirecek geçerli bir anahtar oluşturmak için kullanabilir.
Araştırmacıların şifreleme modelini anlaması ve doğru anahtarı seçici olarak etkilenen dosya parçalarına uygulaması gerektiğinden, Rhysida’nın dosyaların yalnızca bazı kısımlarını şifreleyip diğerlerini düz metinde bırakma taktiği olan aralıklı şifrelemeyi kullanması, şifre çözme yöntemini şekillendirmede kritik öneme sahipti.
Tahmin edilebilir tohum değeri
Rhysida’nın hatalı değer üretme sistemi, sistemin mevcut zamanından 32 bitlik çekirdek değerini türetmeye dayanıyor; araştırmacılar bunun, arama alanını hesaplama açısından uygun bir kapsamla sınırladığını söylüyor.
Rhysida bu değeri özel şifreleme anahtarını ve başlatma vektörünü oluşturmak için kullanıyor ancak çekirdek değerinin tahmin edilemez olmasını sağlamak için diğer yüksek entropili veri kaynaklarına sahip değil; bu da günlüklere veya enfeksiyon zamanını gösteren diğer verilere bakarak onu tahmin edilebilir hale getiriyor.
Bu bilgiyle donanmış araştırmacılar, beklenen aralıktaki farklı tohum değerlerini deneyerek CSPRNG durumunu sistematik olarak yeniden üreten bir yöntem geliştirdiler.
Doğru değer bulunduğunda (verilerin şifresini çözebildiği doğrulanarak), fidye yazılımının dosyaları şifrelemek için kullandığı sonraki tüm rastgele sayılar kolayca tahmin edilebilir, böylece tüm kilitli veriler gerçek özel anahtara gerek kalmadan alınabilir.
Şifre çözme, orijinal şifreleme işlemi sırasında kullanılan aynı şifreleme anahtarını ve başlangıç vektörünü doğru bir şekilde yeniden oluşturarak ve ardından dosyaların şifrelenmiş bölümlerine bir karşı mod (CTR) şifreleme işlemi uygulayarak çalışır.
Bu yöntem, saldırganın özel anahtarına ihtiyaç duymadan orijinal düz metni geri yükleyerek şifrelemeyi etkili bir şekilde tersine çevirir ve şifreleme ve şifre çözme işlemlerinin aynı olduğu CTR modunun simetrik özelliğinden yararlanır.
Windows için otomatik bir şifre çözme aracı, KISA’nın web sitesinde, Korece ve İngilizce kullanım talimatlarını içeren, geçen Cuma yayınlanan teknik bir belgeyle birlikte mevcuttur.
Rhysida fidye yazılımının kurbanları, dosyalarının şifresini ücretsiz olarak çözmeye çalışmak için aracı kullanabilir, ancak BleepingComputer aracın güvenliğini veya etkinliğini garanti edemez.
Fidye yazılımı uzmanı Fabian Wosar, BleepingComputer’a bu şifre çözücünün yalnızca Rhysida Windows şifreleyicisi tarafından şifrelenmiş dosyalar için çalıştığını ve VMware ESXi veya PowerShell tabanlı şifreleyici aracılığıyla şifrelenmiş dosyaların şifresini çözemediğini söyledi.
Kusur aylarca özel olarak istismar edildi
Rhysida şifreleme kusuru, en az Mayıs 2023’ten bu yana dünya çapındaki siber güvenlik firmaları ve hükümetler tarafından aylardır özel olarak kullanılıyor.
“Bir tane daha var. Bu güvenlik açığını bulan ilk kişi kesinlikle onlar değil.” Wosar’ı açıklıyor X’teki bir başlıkta
“Bu, yayınlanmak ve Rhysida’yı sorunları hakkında uyarmak yerine bunu özel olarak dağıtmayı seçen en az üç taraf tarafından bağımsız olarak bulundu.”
“Bu tarafların kim olduğuna gelince: Avast bunu geçen yılın ekim ayında buldu, Fransız CERT haziran ayında bununla ilgili özel bir makale yazıp yayınladı ve ben de güvenlik açığını geçen yılın mayıs ayında buldum.”
Wosar, BleepingComputer’a, Mayıs ayında keşfetmesinden bu yana yüzlerce makinedeki petabaytlarca verinin şifresinin bu kusur kullanılarak başarıyla çözüldüğünü söyledi.
BleepingComputer, kusurun neden kamuya açıklandığını sormak için Güney Koreli araştırmacılarla iletişime geçtiğinde aşağıdaki açıklamayı paylaştılar.
Bildiğimiz kadarıyla birçok siber güvenlik şirketi bloglarında/github’larında/vb. sitelerinde şifre çözme tekniklerini açıklıyor. Ve bu kesinlikle hasarın azaltılmasına yardımcı olur. Şifre çözme aracını KISA ile işbirliği içinde geliştirdik ve bunu etkili bir şekilde göstermek için makaleyi yayınlamaya karar verdik. Fidye yazılımı kurbanlarının dayanıklılığına katkıda bulunmasını umarak ayrıntılı araştırmamızı yayınlıyoruz.
Ancak kusurun artık herkese açık olması nedeniyle Wosar, fidye yazılımı operasyonunun hatayı muhtemelen birkaç gün içinde çözeceği ve fidye talebi ödemeden dosyaların kurtarılmasını imkansız hale getireceği konusunda uyarıyor.