El Descifrador Gratuito de Ransomware Rhysida para Windows explota la Falla de RNG

Los investigadores surcoreanos han hecho pública una importante revelación en el ámbito de la ciberseguridad al descubrir una vulnerabilidad en el descifrador del ransomware Rhysida.

Esta falla en el esquema de cifrado ha permitido el desarrollo de un descifrador para sistemas Windows, ofreciendo a las víctimas la posibilidad de recuperar sus archivos de forma gratuita.

Detalles de Rhysida Ransomware

Rhysida se dio a conocer en el panorama de la ciberseguridad a mediados de 2023, caracterizándose por su impacto en organizaciones de atención médica. Su modus operandi incluye la interrupción de operaciones vitales y la posterior venta de datos confidenciales de pacientes.

Las advertencias emitidas por el FBI y CISA en noviembre de 2023 alertaron sobre la actividad de este grupo, que ha dirigido ataques oportunistas a diversos sectores, desde la salud hasta lo militar y energético.

Falla de Cifrado Descubierta

El equipo de investigadores surcoreanos, entre ellos miembros de la Agencia Coreana de Seguridad e Internet (KISA), ha identificado una vulnerabilidad en el generador de números aleatorios (CSPRNG) utilizado por Rhysida para la generación de claves privadas durante sus ataques.

Al explotar esta falla, han logrado recuperar el estado interno del CSPRNG, lo que les permite generar una clave válida para revertir el proceso de cifrado y recuperar los archivos bloqueados.

Método de Descifrado Empleado

El cifrado intermitente utilizado por Rhysida, que consiste en encriptar solo partes de los archivos, ha sido clave para el desarrollo del método de descifrado. Los investigadores han tenido que comprender el patrón de cifrado y aplicar la clave correcta selectivamente a las secciones afectadas de los archivos.

Además, han descubierto que el sistema de generación de valores de Rhysida basado en la derivación de un valor inicial a partir del tiempo del sistema, carece de entropía suficiente para garantizar la imprevisibilidad, lo que lo hace vulnerable a la predicción y por ende, a la explotación.

Herramienta de Descifrado Automatizada

Como resultado de este descubrimiento, se ha desarrollado una herramienta de descifrado automatizada para sistemas Windows, disponible en el sitio web de KISA junto con un documento técnico que detalla su funcionamiento.

Aunque esta herramienta ofrece a las víctimas la posibilidad de intentar recuperar sus archivos sin costo, se advierte que su seguridad y eficacia no pueden garantizarse.

Relacionado

Zoom corrige Falla Crítica de Elevación de Privilegios en Aplicaciones de Windows

Los clientes VDI y de escritorio de Zoom y el SDK de Meeting para Windows son vulnerables a una falla de validación de entrada incorrecta que podría permitir que un atacante no autenticado lleve a cabo una escalada de privilegios en el sistema de destino a través de la red. Zoom es un popular servicio de videoconferencia basado en la nube para reuniones corporativas, lecciones educativas, ¡SEGUIR LEYENDO!

White Phoenix un Nuevo Descifrador de Ransomware Online

CyberArk ha dado un paso significativo en la lucha contra el ransomware al lanzar una versión en línea de 'White Phoenix', un descifrador de ransomware de código abierto diseñado para combatir operaciones que utilizan encriptación intermitente. A pesar de que la herramienta está disponible de forma gratuita en GitHub como un proyecto en Python, CyberArk reconoció la necesidad de una versión en línea para atender a ¡SEGUIR LEYENDO!

VMware insta a los Administradores a eliminar este Complemento de Autenticación

VMware instó hoy a los administradores a eliminar un complemento de autenticación descontinuado expuesto a ataques de retransmisión de autenticación y secuestro de sesión en entornos de dominio de Windows a través de dos vulnerabilidades de seguridad que no se han parcheado. El vulnerable complemento de autenticación mejorada (EAP) de VMware permite un inicio de sesión fluido en las interfaces de administración de vSphere a través ¡SEGUIR LEYENDO!

Subdominios Secuestrados de Marcas Importantes utilizados en Campaña Masiva de Spam

Una campaña masiva de fraude publicitario llamada "SubdoMailing" utiliza más de 8.000 dominios de Internet legítimos y 13.000 subdominios para enviar hasta cinco millones de correos electrónicos por día para generar ingresos a través de estafas y publicidad maliciosa. La campaña se llama "SubdoMailing", ya que los actores de amenazas secuestran subdominios abandonados y dominios que pertenecen a empresas conocidas para enviar sus correos electrónicos maliciosos. ¡SEGUIR LEYENDO!

Sony sigue sin Confirmar si han sido Hackeados

Sony ha iniciado una investigación en respuesta a las afirmaciones de un grupo de ransomware, Ransomed.vc, que alega haber comprometido los sistemas de la compañía japonesa. El grupo amenaza con vender datos supuestamente robados de Sony y ha declarado que no los rescatará debido a que Sony se niega a pagar un rescate. Aunque estas afirmaciones aún no se han verificado, Ransomed.vc ha acumulado varias víctimas ¡SEGUIR LEYENDO!