¡Grandes noticias para las organizaciones afectadas por el ransomware Rhysida!
Un equipo de investigadores de seguridad surcoreanos ha dado con una grieta en el famoso ransomware. Este fallo permite desencriptar los archivos bloqueados.
Los investigadores de la Universidad Kookmin explican cómo aprovecharon una falla en la implementación del código de Rhysida para regenerar su clave de encriptación, documentando sus hallazgos en un informe técnico.
“El ransomware Rhysida utilizó un generador de números aleatorios sólido para crear su clave de encriptación y luego bloquear los datos. Sin embargo, encontramos una vulnerabilidad en la implementación que nos permitió recrear el estado interno del generador de números aleatorios en el momento de la infección. Logramos descifrar los datos con éxito utilizando esta recreación. Hasta donde sabemos, es el primer descifrado exitoso del ransomware Rhysida.”
Posteriormente, se desarrolló una herramienta de recuperación para el ransomware Rhysida y ahora está disponible para el público en general a través de la Agencia de Seguridad e Internet de Corea (KISA).
Además, se han proporcionado instrucciones en inglés sobre cómo utilizar esta herramienta de desencriptación.
Para aquellos que no entienden coreano, se han facilitado instrucciones en inglés sobre el uso de esta herramienta de desencriptación.
Lamentablemente, la revelación de una herramienta de recuperación de ransomware tiene su costo. El lanzamiento de la herramienta y la divulgación de los hallazgos por parte de los investigadores alertarán inevitablemente a los hackers malintencionados detrás de Rhysida sobre su falla, lo que probablemente resultará en su corrección.
Los investigadores de ransomware están entre la espada y la pared. Si descubren una falla en un ransomware que les permite desencriptar los datos de las víctimas, deben sopesar cuidadosamente si hacerlo público o no.
Divulgar la existencia de una falla y un método de recuperación puede ayudar a las organizaciones afectadas a saber que existe una forma de recuperar sus datos sin pagar un rescate. La publicidad puede ayudar a difundir la noticia de que hay una solución.
Sin embargo, la existencia de una herramienta de recuperación también puede alertar a los ciberdelincuentes para que corrijan su código, dejando a las víctimas sin una posible solución. Entonces, ¿es mejor no anunciar la existencia de una herramienta de recuperación?
No hay una respuesta fácil a esta pregunta.
El descifrador Rhysida es solo el último de una serie de herramientas de recuperación de ransomware que han surgido en los últimos años, incluidas utilidades para ayudar a víctimas de empresas como Yanlouwang, MegaCortex, Akira, REvil y una versión de Conti.
fuente: tripwire