Блогер Tinyhack обнаружил новый эксплойт для взлома шифроватора и, как сообщается, уже использовал его для восстановления данных одной из атакованных компаний. Akira, известный шифроватор, теперь может стать доступной для пострадавших компаний благодаря контр-атаке с применением брутфорса на базе GPU.
Используя RTX 4090, Tinyhack обнаружил, что может взломать зашифрованные файлы вымогателя за семь дней, а при использовании 16 GPU этот процесс займет чуть больше десяти часов. Akira - это шифроватор, нацеленная на высокопоставленные цели, впервые обнаруженная в 2023 году и известная смехотворно высокими запросами выкупа (иногда достигающими десятков миллионов долларов).
В 2023 году команда исследования угроз Avast обнаружила метод, с помощью которого Akira шифрует файлы жертв, и опубликовала бесплатный инструмент для взлома шифрования, чтобы избавить компьютеры от страшной атаки. Затем Akira исправила этот громкий взлом, добавив несколько специальных деталей к своим первоначально общедоступным методам шифрования.
По крайней мере, один из вариантов Akira использует метод шифрования, который может быть расшифрован с помощью нового метода перебора на базе GPU в течение нескольких дней или недель. Атака Akira использует методы шифрования chacha8 и Kcipher2 для генерации ключей шифрования каждого файла, используя в качестве семян четыре различные временные метки в наносекундах.
Эти временные метки могут быть вычислены с точностью до 5 миллионов наносекунд (0,005 секунды), а затем точно найдены с помощью брутфорса, что требует использования топовых графических процессоров, таких как Nvidia RTX 3090 или 4090. Тем, кто надеется воспользоваться методом расшифровки, необходимо выполнить несколько условий. Зашифрованные файлы должны быть нетронуты после шифрования, чтобы можно было найти временную метку последнего обращения к файлу и использовать ее для брутфорса. Использование NFS (в отличие от файлов, находящихся на локальных дисках сети) также может усложнить процесс расшифровки, так как из-за задержки сервера будет сложнее определить истинные временные метки, используемые при шифровании.
При использовании RTX 4090 расшифровка одного файла путем перебора всех возможных наносекунд в среднем диапазоне из 4,5 миллиона наносекунд, поиска правильных четырех временных меток и генерации соответствующих ключей расшифровки занимает около 7 дней. Пострадавшим организациям рекомендуется арендовать серверы через такие сервисы, как runpod или vast.ai, используя несколько GPU-серверов, чтобы сократить время. Клиенту Tinyhack потребовалось около 3 недель, чтобы успешно расшифровать полный набор файлов виртуальной машины.
Атаки Ransomware чаще всего невозможно расшифровать без уплаты выкупа, поэтому найти метод обхода атаки - большая победа для исследований в области кибербезопасности. Хотя те, кто стоит за Akira, скорее всего, быстро исправят этот метод для будущих атак, как они сделали это после выпуска расшифровки Avast, те, кто уже пострадал от Akira, смогут освободить зараженные системы с помощью этого метода.
В блоге Tinyhack описан весь процесс обнаружения уязвимости и полные инструкции по ее расшифровке, так что загляните туда, чтобы получить исчерпывающее представление о брутфорсе Akira. Ransomware прошли долгий путь с момента своего появления на дискетах, отправленных по почте, и сегодня мы отмечаем еще одну победу над ними.
Оригинал
Уникальность
