Excellente nouvelle pour Ransomware Hive victimes – des chercheurs en sécurité ont trouvé un moyen de déchiffrer son algorithme de chiffrement sans utiliser la clé principale. Un groupe d'universitaires de l'Université Kookmin de Corée du Sud a partagé ses curieuses découvertes dans un rapport détaillé intitulé "Une méthode de décryptage des données infectées par Hive Ransomware".. Apparemment, les chercheurs ont pu "récupérer la clé principale pour générer la clé de chiffrement du fichier sans la clé privée de l'attaquant, en utilisant une vulnérabilité cryptographique identifiée par analyse.
Le chiffrement Hive Ransomware expliqué
Hive utilise un chiffrement hybride et son propre chiffrement symétrique pour chiffrer les fichiers de la victime. Les chercheurs ont pu récupérer la clé principale qui génère la clé de chiffrement du fichier sans la clé privée détenue par les attaquants. Cela a été possible grâce à une faille cryptographique qu'ils ont découverte lors de l'analyse. Grâce à leur expérience, les fichiers cryptés ont été décryptés avec succès à l'aide de la clé principale récupérée, le rapport dit.
Comment les chercheurs ont-ils vaincu le cryptage de Hive?
« A notre connaissance, il s'agit de la première tentative réussie de décryptage du rançongiciel Hive,» ajoutent les universitaires.
Dans une expérience, les chercheurs ont démontré que plus de 95% des clés utilisées pour chiffrement par Hive pourrait être récupéré en utilisant la méthode spécifique qu'ils ont découverte. Première, ils ont découvert comment le ransomware génère et stocke la clé principale en générant 10 Mo de données aléatoires qu'il utilise comme clé principale.
"Pour chaque fichier à chiffrer, 1MiB et 1KiB de données sont extraits d'un décalage spécifique de la clé principale et utilisés comme flux de clé. Le décalage utilisé à ce moment est stocké dans le nom de fichier chiffré de chaque fichier. Utilisation du décalage du flux de clés stocké dans le nom de fichier, il est possible d'extraire le flux de clé utilisé pour le chiffrement,» Le rapport.
En outre, le ransomware crypte les données en les XORant avec un flux de clés aléatoire, unique à chaque fichier, mais suffisamment facile à deviner. Enfin, les chercheurs suggèrent "une méthode pour décrypter les fichiers cryptés sans la clé privée de l'attaquant". Cela est possible car hive n'utilise pas tous les octets de la clé principale chiffrée avec la clé publique. Par conséquent, plus que 95% de la clé principale utilisée pour générer le flux de clé de chiffrement a été récupérée, ce qui signifie que la plupart des fichiers infectés pourraient être récupérés en utilisant la clé principale récupérée.
Plus précisement, "le passe-partout récupéré 92% réussi à déchiffrer environ 72% des fichiers, la clé principale restaurée 96% réussi à déchiffrer environ 82% des fichiers, et la clé principale restaurée 98% réussi à déchiffrer environ 98% des fichiers,” selon le rapport.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: