Akira Ransomware rachou com RTX 4090-Novo Exploração para o ataque de criptografia de força bruta
O temido ataque de ransomware de Akira teve outro buraco explodido no casco. Blogueiro Tinyhack descobriu uma nova exploração para a força bruta da criptografia do vírus e já o usou para restaurar os dados de uma empresa atacada. Akira, um conhecido ataque cibernético de ransomware, pode agora ser escapável por empresas afetadas, graças a um contra-ataque de força bruta baseada em GPU. Com um RTX 4090, o Tinyhack descobriu que poderia quebrar os arquivos de ransomware criptografados em sete dias e, com 16 GPUs, o processo levaria pouco mais de dez horas.
Akira é um ataque de ransomware destinado a alvos de alto perfil, descobertos pela primeira vez em 2023 e conhecidos por solicitações de resgate ridiculamente altas (às vezes atingindo dezenas de milhões de dólares). Em 2023, a equipe de pesquisa de ameaças do Avast descobriu o método que Akira costumava criptografar os arquivos da vítima e publicou um ferramenta de disjuntor de criptografia livre para livrar computadores do temido ataque. Akira então corrige essa rachadura de alto perfil, adicionando alguns detalhes sob medida aos seus métodos de criptografia originalmente disponível ao público.
Pelo menos uma variante Akira usa um método de criptografia que pode ser descriptografado através do novo método de força bruta baseada em GPU por um período de dias ou semanas. O ataque de Akira usa os métodos de criptografia Chacha8 e Kcipher2 para gerar teclas de criptografia por arquivo, usando quatro registros de data e hora distintos, em nanossegundos, como sementes. Esses registros de data e hora podem ser deduzidos a uma faixa rígida de 5 milhões de nanossegundos (0,005 segundos) e, em seguida, encontrados com precisão com força bruta, um processo que requer o uso de GPUs de ponta como o RTX 3090 ou 4090 da NVIDIA.
Várias coisas devem dar certo para aqueles que esperam executar o método de descriptografia. Os arquivos criptografados devem ser intocados seguindo a criptografia para que o registro de data e hora em que o arquivo foi acessado pela última vez possa ser encontrado e usado para a força bruta. O uso de um NFS (em oposição a arquivos que vive apenas nos discos locais da rede) também pode complicar a descriptografia, pois o atraso do servidor dificultará a determinação dos verdadeiros registros de data e hora usados pela criptografia.
Usando um RTX 4090, descriptografando um único arquivo executando todos os nanossegundos possíveis na faixa média de 4,5 milhões de nanossegundos, encontrando os quatro registros de data e hora corretos e gerando as chaves de descriptografia apropriadas leva cerca de 7 dias. As organizações afetadas são recomendadas para alugar servidores por meio de serviços como Runpod ou Vast.ai, usando vários servidores GPU para reduzir o tempo. O cliente da Tinyhack levou cerca de 3 semanas para descriptografar com sucesso um conjunto completo de arquivos VM.
Os ataques de ransomware geralmente são impossíveis de descriptografar sem pagar resgate, portanto, encontrar um método para contornar o ataque é uma grande vitória para a pesquisa em segurança cibernética. Embora os por trás dos Akira provavelmente corrigam rapidamente esse método para ataques futuros, como fizeram após a liberação de descriptografia do Avast, os já atingidos por Akira podem ser capazes de libertar sistemas infectados com esse método.
Tinyhack’s Postagem do blog Executa todo o processo de descobrir a vulnerabilidade e as instruções completas para descriptografar com ele; portanto, vá para lá para dar uma olhada exaustiva de forçar um caminho para a Akira. O ransomware percorreu um longo caminho desde o início em um disco de disquete enviado por correio, e hoje marca outra vitória contra ele.
