Grandi notizie per Hive ransomware vittime – i ricercatori di sicurezza hanno trovato un modo per decifrare il suo algoritmo di crittografia senza utilizzare la chiave principale. Un gruppo di accademici della Kookmin University della Corea del Sud ha condiviso le loro curiose scoperte in un rapporto dettagliato intitolato "Un metodo per decifrare i dati infettati da Hive Ransomware". Apparentemente, i ricercatori sono stati in grado di “recuperare la chiave principale per generare la chiave di crittografia dei file senza la chiave privata dell'attaccante, utilizzando una vulnerabilità crittografica identificata attraverso l'analisi.
Spiegazione della crittografia del ransomware Hive
Hive utilizza una crittografia ibrida e il proprio codice simmetrico per crittografare i file della vittima. I ricercatori sono stati in grado di recuperare la chiave principale che genera la chiave di crittografia dei file senza la chiave privata di proprietà degli aggressori. Ciò è stato possibile a causa di un difetto crittografico scoperto durante l'analisi. Come risultato della loro esperienza, i file crittografati sono stati decrittografati con successo utilizzando la chiave master recuperata, il rapporto disse.
In che modo i ricercatori hanno sconfitto la crittografia di Hive?
"Al meglio delle nostre conoscenze, questo è il primo tentativo riuscito di decifrare il ransomware Hive,” hanno aggiunto gli accademici.
In un esperimento, i ricercatori hanno dimostrato che più di 95% delle chiavi utilizzate per crittografia di Hive potrebbero essere recuperati utilizzando il metodo specifico che hanno scoperto. Primo, hanno scoperto come il ransomware genera e archivia la chiave principale generando 10 MiB di dati casuali che utilizza come chiave principale.
“Per ogni file da crittografare, 1MiB e 1 KiB di dati vengono estratti da uno specifico offset della chiave master e utilizzati come keystream. L'offset utilizzato in questo momento viene memorizzato nel nome file crittografato di ciascun file. Utilizzando l'offset del keystream memorizzato nel nome del file, è possibile estrarre il keystream utilizzato per la crittografia,”Dice il rapporto.
Inoltre, il ransomware crittografa i dati XORing con un keystream casuale, univoco per ogni file, ma sufficientemente facile da indovinare. Infine, i ricercatori suggeriscono "un metodo per decrittografare i file crittografati senza la chiave privata dell'attaccante". Questo è possibile perché hive non utilizza tutti i byte della chiave master crittografati con quella pubblica. Di conseguenza, più di 95% della chiave master utilizzata per generare il keystream di crittografia è stata recuperata, il che significa che la maggior parte dei file infetti potrebbe essere recuperata utilizzando la chiave principale recuperata.
Più specificamente, “la chiave maestra è stata recuperata 92% riuscito a decifrare approssimativamente 72% dei file, la chiave maestra ripristinata 96% riuscito a decifrare approssimativamente 82% dei file, e la chiave maestra ripristinata 98% riuscito a decifrare approssimativamente 98% dei file,” secondo il rapporto.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: