Ótima notícia para Ransomware Hive vítimas – pesquisadores de segurança encontraram uma maneira de decifrar seu algoritmo de criptografia sem usar a chave mestra. Um grupo de acadêmicos da Universidade Kookmin da Coréia do Sul compartilhou suas curiosas descobertas em um relatório detalhado intitulado “Um método para descriptografar dados infectados com Hive Ransomware”. Pelo visto, os pesquisadores conseguiram “recuperar a chave mestra para gerar a chave de criptografia do arquivo sem a chave privada do invasor, usando uma vulnerabilidade criptográfica identificada por meio de análise.”
Criptografia do Hive Ransomware explicada
O Hive usa uma criptografia híbrida e sua própria cifra simétrica para criptografar os arquivos da vítima. Os pesquisadores conseguiram recuperar a chave mestra que gera a chave de criptografia do arquivo sem a chave privada de propriedade dos invasores. Isso foi possível devido a uma falha criptográfica que eles descobriram durante a análise. Como resultado de sua experiência, os arquivos criptografados foram descriptografados com sucesso usando a chave mestra recuperada, o relatório disse.
Como os pesquisadores derrotaram a criptografia do Hive?
"Para o melhor de nosso conhecimento, esta é a primeira tentativa bem-sucedida de descriptografar o ransomware Hive,” acrescentaram os acadêmicos.
Em um experimento, os pesquisadores demonstraram que mais de 95% das teclas usadas para criptografia by Hive pode ser recuperado usando o método específico que eles descobriram. Primeiro, eles descobriram como o ransomware gera e armazena a chave mestra gerando 10MiB de dados aleatórios que ele usa como chave mestra.
“Para cada arquivo a ser criptografado, 1MiB e 1KiB de dados são extraídos de um deslocamento específico da chave mestra e usados como um fluxo de chaves. O deslocamento usado neste momento é armazenado no nome de arquivo criptografado de cada arquivo. Usando o deslocamento do keystream armazenado no nome do arquivo, é possível extrair o fluxo de chaves usado para criptografia,”Disse o relatório.
além disso, o ransomware criptografa os dados fazendo XOR com um fluxo de chaves aleatório, exclusivo para cada arquivo, mas suficientemente fácil de adivinhar. Finalmente, os pesquisadores sugerem “um método para descriptografar arquivos criptografados sem a chave privada do invasor”. Isso é possível porque o hive não usa todos os bytes da chave mestra criptografada com a pública. Como um resultado, mais que 95% da chave mestra usada para gerar o fluxo de chaves de criptografia foi recuperada, significando que a maioria dos arquivos infectados pode ser recuperada usando a chave mestra recuperada.
Mais especificamente, “a chave mestra recuperada 92% conseguiu descriptografar aproximadamente 72% dos arquivos, a chave mestra restaurada 96% conseguiu descriptografar aproximadamente 82% dos arquivos, e a chave mestra restaurada 98% conseguiu descriptografar aproximadamente 98% dos arquivos,” De acordo com o relatório.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: