Un outil de déchiffrement est disponible pour le ransomware Rhysida !
Des chercheurs en sécurité sont parvenus à identifier une vulnérabilité dans le fonctionnement du ransomware Rhysida ! Grâce à elle, ils ont pu mettre au point un outil de déchiffrement qui va permettre aux victimes de récupérer leurs données gratuitement !
Le ransomware Rhysida
C'est la première fois qu'un outil de déchiffrement est disponible pour le ransomware Rhysida. D'ailleurs, il est plutôt récent puisqu'il a été repéré pour la première fois en mai 2023. Ce gang de ransomware applique le principe de la double extorsion, comme beaucoup d'autres gangs, afin de mettre un maximum de pression sur les victimes.
En novembre 2023, aux Etats-Unis, ce gang de ransomware qualifié d'opportuniste, avait fait l'objet d'une alerte de sécurité émise conjointement par le FBI et la CISA.
Une vulnérabilité dans le processus de chiffrement
La semaine dernière, un outil de déchiffrement pour le ransomware Rhysida a été publié par un groupe de chercheurs de l'université Kookmin, située en Corée du Sud, en collaboration avec la KISA, à savoir l'agence coréenne spécialisée dans Internet et la sécurité.
Pour parvenir à mettre au point cet outil, les chercheurs en sécurité ont découvert une vulnérabilité dans le schéma de chiffrement du ransomware, et ils ont pu restaurer l'état du générateur de nombres pseudo-aléatoires cryptographiquement sécurisé (CSPRNG) pour obtenir une clé de déchiffrement.
En fait, ils expliquent que ce ransomware effectue un chiffrement partiel des données, comme d'autres ransomwares, et il s'appuie à un moment donné sur l'heure du système pour obtenir une valeur afin de générer la clé de chiffrement. Cette valeur n'est pas suffisamment sécurisée (entropie trop faible) et elle est prédictible, notamment en identifiant l'heure de l'infection.
Les chercheurs ont mis au point un outil capable de tester plusieurs valeurs. Une fois la bonne valeur trouvée, tous les nombres aléatoires utilisés par le ransomware pour chiffrer les données peuvent être prédits, ce qui permet de restaurer les données sans réellement avoir connaissance de la clé privée. Ainsi, l'opération de chiffrement est inversée.
La bonne nouvelle, c'est qu'il y a un outil de déchiffrement prêt à l'emploi, pour Windows, qui est disponible sur le site de l'agence KISA. En principe, vous pouvez utiliser cet outil pour restaurer les données chiffrées par le ransomware Rhysida.
Il s'avère que cette vulnérabilité dans le processus de chiffrement du ransomware Rhysida était déjà connue depuis plusieurs mois par des entreprises spécialisées dans la cybersécurité, ainsi que des entités gouvernementales, comme le CERT-FR. Elle a pu être utilisée en privé, sans qu'elle soit divulguée comme c'est le cas ici. Ainsi, de nombreuses entreprises n'ont jamais eu à payer la rançon pour récupérer leurs données. Un joli coup !
