Los investigadores surcoreanos han hecho pública una importante revelación en el ámbito de la ciberseguridad al descubrir una vulnerabilidad en el descifrador del ransomware Rhysida.
Esta falla en el esquema de cifrado ha permitido el desarrollo de un descifrador para sistemas Windows, ofreciendo a las víctimas la posibilidad de recuperar sus archivos de forma gratuita.
Detalles de Rhysida Ransomware
Rhysida se dio a conocer en el panorama de la ciberseguridad a mediados de 2023, caracterizándose por su impacto en organizaciones de atención médica. Su modus operandi incluye la interrupción de operaciones vitales y la posterior venta de datos confidenciales de pacientes.
Las advertencias emitidas por el FBI y CISA en noviembre de 2023 alertaron sobre la actividad de este grupo, que ha dirigido ataques oportunistas a diversos sectores, desde la salud hasta lo militar y energético.
Falla de Cifrado Descubierta
El equipo de investigadores surcoreanos, entre ellos miembros de la Agencia Coreana de Seguridad e Internet (KISA), ha identificado una vulnerabilidad en el generador de números aleatorios (CSPRNG) utilizado por Rhysida para la generación de claves privadas durante sus ataques.
Al explotar esta falla, han logrado recuperar el estado interno del CSPRNG, lo que les permite generar una clave válida para revertir el proceso de cifrado y recuperar los archivos bloqueados.
Método de Descifrado Empleado
El cifrado intermitente utilizado por Rhysida, que consiste en encriptar solo partes de los archivos, ha sido clave para el desarrollo del método de descifrado. Los investigadores han tenido que comprender el patrón de cifrado y aplicar la clave correcta selectivamente a las secciones afectadas de los archivos.
Además, han descubierto que el sistema de generación de valores de Rhysida basado en la derivación de un valor inicial a partir del tiempo del sistema, carece de entropía suficiente para garantizar la imprevisibilidad, lo que lo hace vulnerable a la predicción y por ende, a la explotación.
Herramienta de Descifrado Automatizada
Como resultado de este descubrimiento, se ha desarrollado una herramienta de descifrado automatizada para sistemas Windows, disponible en el sitio web de KISA junto con un documento técnico que detalla su funcionamiento.
Aunque esta herramienta ofrece a las víctimas la posibilidad de intentar recuperar sus archivos sin costo, se advierte que su seguridad y eficacia no pueden garantizarse.