Gran noticia para Ransomware colmena víctimas – los investigadores de seguridad encontraron una manera de descifrar su algoritmo de encriptación sin usar la clave maestra. Un grupo de académicos de la Universidad Kookmin de Corea del Sur compartió sus curiosos hallazgos en un informe detallado titulado "Un método para descifrar datos infectados con Hive Ransomware".. Al parecer,, los investigadores pudieron "recuperar la clave maestra para generar la clave de cifrado de archivos sin la clave privada del atacante, mediante el uso de una vulnerabilidad criptográfica identificada a través del análisis”.
Explicación del cifrado de Hive Ransomware
Hive utiliza un cifrado híbrido y su propio cifrado simétrico para cifrar los archivos de la víctima.. Los investigadores pudieron recuperar la clave maestra que genera la clave de cifrado de archivos sin la clave privada propiedad de los atacantes.. Esto fue posible debido a una falla criptográfica que descubrieron durante el análisis.. Como resultado de su experiencia., los archivos cifrados se descifraron con éxito utilizando la clave maestra recuperada, el informe dijo.
¿Cómo derrotaron los investigadores el cifrado de Hive??
"A lo mejor de nuestro conocimiento, este es el primer intento exitoso de descifrar el ransomware Hive,agregaron los académicos.
en un experimento, los investigadores demostraron que más de 95% de las llaves utilizadas para cifrado por Hive podría recuperarse usando el método específico que descubrieron. Primero, descubrieron cómo el ransomware genera y almacena la clave maestra generando 10MiB de datos aleatorios que utiliza como clave maestra.
“Para cada archivo a cifrar, 1MiB y 1 KiB de datos se extraen de un desplazamiento específico de la clave maestra y se utilizan como flujo de claves. El desplazamiento utilizado en este momento se almacena en el nombre de archivo cifrado de cada archivo. Usando el desplazamiento del flujo de claves almacenado en el nombre de archivo, es posible extraer el flujo de claves utilizado para el cifrado,”Según el informe.
Además, el ransomware cifra los datos mediante XORing con un flujo de claves aleatorio, único para cada archivo, pero lo suficientemente fácil de adivinar. Finalmente, los investigadores sugieren "un método para descifrar archivos cifrados sin la clave privada del atacante". Esto es posible porque Hive no utiliza todos los bytes de la clave maestra cifrada con la pública.. Como resultado, más que 95% de la clave maestra utilizada para generar el flujo de claves de cifrado se recuperó, lo que significa que la mayoría de los archivos infectados podrían recuperarse utilizando la clave maestra recuperada.
Más específicamente, “la llave maestra recuperada 92% logró descifrar aproximadamente 72% de los archivos, la llave maestra restaurada 96% logró descifrar aproximadamente 82% de los archivos, y la llave maestra restaurada 98% logró descifrar aproximadamente 98% de los archivos,” según el informe.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: