Los investigadores surcoreanos han hecho pública una importante revelación en el ámbito de la ciberseguridad al descubrir una vulnerabilidad en el descifrador del ransomware Rhysida.
Esta falla en el esquema de cifrado ha permitido el desarrollo de un descifrador para sistemas Windows, ofreciendo a las víctimas la posibilidad de recuperar sus archivos de forma gratuita.
Detalles de Rhysida Ransomware
Rhysida se dio a conocer en el panorama de la ciberseguridad a mediados de 2023, caracterizándose por su impacto en organizaciones de atención médica. Su modus operandi incluye la interrupción de operaciones vitales y la posterior venta de datos confidenciales de pacientes.
Las advertencias emitidas por el FBI y CISA en noviembre de 2023 alertaron sobre la actividad de este grupo, que ha dirigido ataques oportunistas a diversos sectores, desde la salud hasta lo militar y energético.
Falla de Cifrado Descubierta
El equipo de investigadores surcoreanos, entre ellos miembros de la Agencia Coreana de Seguridad e Internet (KISA), ha identificado una vulnerabilidad en el generador de números aleatorios (CSPRNG) utilizado por Rhysida para la generación de claves privadas durante sus ataques.
Al explotar esta falla, han logrado recuperar el estado interno del CSPRNG, lo que les permite generar una clave válida para revertir el proceso de cifrado y recuperar los archivos bloqueados.
Método de Descifrado Empleado
El cifrado intermitente utilizado por Rhysida, que consiste en encriptar solo partes de los archivos, ha sido clave para el desarrollo del método de descifrado. Los investigadores han tenido que comprender el patrón de cifrado y aplicar la clave correcta selectivamente a las secciones afectadas de los archivos.
Además, han descubierto que el sistema de generación de valores de Rhysida basado en la derivación de un valor inicial a partir del tiempo del sistema, carece de entropía suficiente para garantizar la imprevisibilidad, lo que lo hace vulnerable a la predicción y por ende, a la explotación.
Herramienta de Descifrado Automatizada
Como resultado de este descubrimiento, se ha desarrollado una herramienta de descifrado automatizada para sistemas Windows, disponible en el sitio web de KISA junto con un documento técnico que detalla su funcionamiento.
Aunque esta herramienta ofrece a las víctimas la posibilidad de intentar recuperar sus archivos sin costo, se advierte que su seguridad y eficacia no pueden garantizarse.
Relacionado
5 Pasos para Mejorar la Seguridad en Microsoft Teams En un mundo donde la comunicación digital es fundamental para la productividad empresarial, las aplicaciones de chat SaaS como Microsoft Teams, se han convertido en una herramienta indispensable. Sin embargo, con esta dependencia creciente también vienen riesgos significativos de seguridad cibernética que a menudo son subestimados. En un reciente ataque que tuvo lugar en Microsoft Teams, los atacantes aprovecharon la plataforma para enviar más de 1.000 ¡SEGUIR LEYENDO!
Ataque Cibernético al Hospital Infantil Lurie: Conoce el Impacto de las Operaciones El Hospital Infantil Lurie, una destacada instalación de atención pediátrica con sede en Chicago, enfrentó un grave revés al convertirse en víctima de un ciberataque. Este incidente imprevisto obligó al hospital a desconectar sus sistemas de TI, perturbando las operaciones habituales y causando retrasos en la atención médica para algunos pacientes. El Incidente de Ciberseguridad El hospital, conocido por su papel significativo en la atención pediátrica, ¡SEGUIR LEYENDO!
Ataque KeyTrap tiene Acceso a Internet Interrumpido con un Paquete DNS Una vulnerabilidad grave denominada KeyTrap en la función Extensiones de seguridad del sistema de nombres de dominio (DNSSEC) podría explotarse para denegar el acceso a Internet a las aplicaciones durante un período prolongado. Registrado como CVE-2023-50387, KeyTrap es un problema de diseño en DNSSEC y afecta a todas las implementaciones o servicios populares del sistema de nombres de dominio (DNS). Permite a un atacante remoto provocar ¡SEGUIR LEYENDO!
Ataque de ransomware corta la Comunicación con tierra de 1.000 barcos Una empresa noruega de gestión de riesgos marítimos está aprendiendo una lección en esa misma área, después de que un ataque de ransomware forzase la desconexión de su software ShipManager. El problema de desconexión dejó a más de 1000 barcos sin conexión con los servidores en tierra. El ataque ocurrió el 7 de Enero e involucró a un ataque ransomware, pero los barcos afectados no corren ¡SEGUIR LEYENDO!
¿Cómo reducir el riesgo de ransomware? Mantener los datos seguros de los ataques de ransomware requiere una atención dedicada a los riesgos en constante evolución. La seguridad Zero Trust es uno de los muchos peldaños en la escalera de los equipos de TI hacia el paraíso de la seguridad de los activos de datos. Pero hay otros pasos que se pueden dar, entre ellos hacer que la recuperación de datos este asegurada ¡SEGUIR LEYENDO!
Controladores de Windows firmados por Microsoft fueron usados en Ataques de Ransomware Microsoft ha revocado varias cuentas de desarrolladores de hardware de Microsoft después de que los controladores firmados a través de sus perfiles se usaran en ataques cibernéticos, incluidos incidentes de ransomware. https://ciberninjas.com/ransomware-trigona/ La noticia llega en una divulgación coordinada entre Microsoft , Mandiant , Sophos y SentinelOne. Los investigadores explican que los piratas informáticos estaban utilizando controladores de hardware maliciosos en modo kernel cuya confianza se ¡SEGUIR LEYENDO!