Rhysida fidye yazılımı çetesi, diğer şeylerin yanı sıra, Britanya Kütüphanesi'ne ve Kral Edward VII Hastanesi gibi hastanelere yaptığı saldırılarla tanınıyor. Ancak siber suçlular kendilerini göstermekten hoşlandıkları elit bilgisayar korsanları değiller. Güney Koreli araştırmacılar şifrelemenin uygulanmasında acemice bir hata keşfettiler. Buna dayanarak şifrelenmiş dosyaları kaydedebilecek bir şifre çözme aracı oluşturmayı başardılar.
Duyuru
Günümüzde şifreleme artık bozuk değil; Rhysida'nın da kullandığı AES ve RSA gibi temel yöntemler bunun için çok iyi test edilmiştir. Bunun yerine kullanılan anahtarlar, örneğin ortadaki adam saldırıları veya kullanılan yazılımdaki hatalar yoluyla elde ediliyor. Koreli güvenlik araştırmacıları Rhysida fidye yazılımında bir tane buldu. Bu, gerçek anlamda rastgele anahtarlar kullanmaz, ancak geçerli sistem saatiyle başlatılan sözde rastgele sayı üretecine (PRNG) dayanır.
Yeterli tesadüf yok
Böyle bir sözde rastgele sayı üreteci, kendi içinde rastgele görünen sayılar sağlar. Ancak aynı tohum değerini iki kez kullanırsanız, tam olarak aynı sayı dizisini iki kez elde edersiniz. Araştırmacılar, dosya sisteminde depolanan şifrelenmiş dosyanın oluşturulma süresini kullanarak, şifreleme sürecinin başladığı sistem zamanını kabaca tahmin edebildiler ve ardından basit deneme yanılma yoluyla doğru tohum değerini bulabildiler. Bundan, orijinal verileri geri yüklemek için kullanılabilecek, kullanılan AES anahtarını yeniden oluşturdular.
Rhysida fidye yazılımının şifreleme süreci
(Resim: Kim ve diğerleri, arxiv aracılığıyla)
Elbette bu özet biraz basitleştirilmiş; Araştırmacılar, kullanılan CSPRNG, 4096 bit RSA anahtarı ve aralıklı ve simetrik şifreleme için kullanılan CTR modu AES-256 şifresi arasındaki tam etkileşimi, Rhysida Ransomware ile Etkilenen Verilerin Şifresini Çözme Yöntemi adlı makalelerinde belgeliyorlar. İlgili taraflar için daha da önemli olan, bu temelde geliştirilen ve şifrelenmiş verilerin tamamen geri yüklenebildiği şifre çözme aracıdır. Kore İnternet ve Güvenlik Ajansı'nın (KISA) resmi sayfalarında barındırılmaktadır.
Daha fazla arka plan
Bağlam açısından, kriptografik anahtarlar oluşturmak için sözde rastgele sayı üretecinin kullanılması oldukça yaygındır çünkü bilgisayar gibi deterministik bir sistemde genellikle yeterli sayıda gerçekten rastgele sayı yoktur. PRNG'yi daha sonra yeniden oluşturulamayacak gerçekten rastgele bir değerle başlattığınızdan emin olursanız, bu mutlaka bir sorun teşkil etmez. Çoğu sistem bu amaç için özel işlevler sağlar; Bunun yerine, saniye cinsinden mevcut sistem zamanı gibi rastgele görünen bir sayı kullanmak, yeni başlayanların yaygın bir hatasıdır.
Sosyal medya platformu X'teki bir gönderiye göre, bu çaylak hatasını ilk fark eden Koreliler de olmadı. Sonuç olarak, birçok araştırmacı zaten benzer şifre çözme araçları geliştirdi ve aylardır kurbanların verilerini kurtarmasına yardımcı oluyor. Bu arada: Fidye yazılımı çetelerinin yöntemleri hakkında daha fazla bilgi edinmek ve onların saldırılarına karşı kendinizi silahlandırmak istiyorsanız, 21 ve 22 Şubat'taki hızlandırılmış fidye yazılımı kursumuzu öneririz.
(Evet)
Haberin Sonu
Duyuru
Günümüzde şifreleme artık bozuk değil; Rhysida'nın da kullandığı AES ve RSA gibi temel yöntemler bunun için çok iyi test edilmiştir. Bunun yerine kullanılan anahtarlar, örneğin ortadaki adam saldırıları veya kullanılan yazılımdaki hatalar yoluyla elde ediliyor. Koreli güvenlik araştırmacıları Rhysida fidye yazılımında bir tane buldu. Bu, gerçek anlamda rastgele anahtarlar kullanmaz, ancak geçerli sistem saatiyle başlatılan sözde rastgele sayı üretecine (PRNG) dayanır.
Yeterli tesadüf yok
Böyle bir sözde rastgele sayı üreteci, kendi içinde rastgele görünen sayılar sağlar. Ancak aynı tohum değerini iki kez kullanırsanız, tam olarak aynı sayı dizisini iki kez elde edersiniz. Araştırmacılar, dosya sisteminde depolanan şifrelenmiş dosyanın oluşturulma süresini kullanarak, şifreleme sürecinin başladığı sistem zamanını kabaca tahmin edebildiler ve ardından basit deneme yanılma yoluyla doğru tohum değerini bulabildiler. Bundan, orijinal verileri geri yüklemek için kullanılabilecek, kullanılan AES anahtarını yeniden oluşturdular.
Rhysida fidye yazılımının şifreleme süreci
(Resim: Kim ve diğerleri, arxiv aracılığıyla)
Elbette bu özet biraz basitleştirilmiş; Araştırmacılar, kullanılan CSPRNG, 4096 bit RSA anahtarı ve aralıklı ve simetrik şifreleme için kullanılan CTR modu AES-256 şifresi arasındaki tam etkileşimi, Rhysida Ransomware ile Etkilenen Verilerin Şifresini Çözme Yöntemi adlı makalelerinde belgeliyorlar. İlgili taraflar için daha da önemli olan, bu temelde geliştirilen ve şifrelenmiş verilerin tamamen geri yüklenebildiği şifre çözme aracıdır. Kore İnternet ve Güvenlik Ajansı'nın (KISA) resmi sayfalarında barındırılmaktadır.
Daha fazla arka plan
Bağlam açısından, kriptografik anahtarlar oluşturmak için sözde rastgele sayı üretecinin kullanılması oldukça yaygındır çünkü bilgisayar gibi deterministik bir sistemde genellikle yeterli sayıda gerçekten rastgele sayı yoktur. PRNG'yi daha sonra yeniden oluşturulamayacak gerçekten rastgele bir değerle başlattığınızdan emin olursanız, bu mutlaka bir sorun teşkil etmez. Çoğu sistem bu amaç için özel işlevler sağlar; Bunun yerine, saniye cinsinden mevcut sistem zamanı gibi rastgele görünen bir sayı kullanmak, yeni başlayanların yaygın bir hatasıdır.
Sosyal medya platformu X'teki bir gönderiye göre, bu çaylak hatasını ilk fark eden Koreliler de olmadı. Sonuç olarak, birçok araştırmacı zaten benzer şifre çözme araçları geliştirdi ve aylardır kurbanların verilerini kurtarmasına yardımcı oluyor. Bu arada: Fidye yazılımı çetelerinin yöntemleri hakkında daha fazla bilgi edinmek ve onların saldırılarına karşı kendinizi silahlandırmak istiyorsanız, 21 ve 22 Şubat'taki hızlandırılmış fidye yazılımı kursumuzu öneririz.
(Evet)
Haberin Sonu