Decifrando o código – Pesquisadores “descriptografam” o Ransomware Hive

O que foi descoberto?

Um grupo de acadêmicos da Coreia do Sul identificou uma vulnerabilidade criptográfica no mecanismo pelo qual as chaves mestras são geradas e armazenadas pelo ransomware Hive. Para entender as vulnerabilidades, é importante entender o método de criptografia.

O mecanismo de criptografia do Hive ransomware

O ransomware criptografa apenas partes selecionadas do arquivo em vez de todo o conteúdo usando dois fluxos de chaves derivados da chave mestra. 

• Para cada criptografia de arquivo, são necessários dois fluxos de chave da chave mestra.
• Esses dois fluxos de chave são gerados usando dois deslocamentos aleatórios da chave mestra e extraindo 0x400 bytes (1KiB) e 0x100000 bytes (1MiB) do deslocamento selecionado.

A falha que recupera a chave mestra

• O keystream de criptografia , criado a partir de uma operação XOR dos dois keystreams, é submetido a um XOR usando dados em blocos alternativos para criar o arquivo criptografado.
• Os pesquisadores notaram que é possível adivinhar os fluxos de chaves e recuperar a chave mestra. Com isso, eles poderiam decodificar os arquivos criptografados sem exigir a chave privada de um invasor.

Taxa de sucesso

Os pesquisadores armaram a falha para recuperar 92 a 98% da chave mestra usada durante a criptografia. Mesmo com essa chave mestra incompleta, os pesquisadores conseguiram descriptografar cerca de 72 a 98% dos arquivos criptografados.

Conclusão

Este desenvolvimento recente é supostamente a primeira tentativa bem-sucedida de recuperar arquivos desse ransomware. O método pode ser usado para limitar os danos causados ​​pelo Hive ransomware. Isso permitirá que as vítimas recuperem arquivos gratuitamente e forneçam motivação na luta contra as ameaças mortais representadas pelo ransomware em todo o mundo.

Fonte: https://cyware.com/