Программа-вымогатель Akira взломана с помощью RTX 3090

Ужасная атака программы-вымогателя Akira проделала еще одну дыру в своем корпусе. Блогер Tinyhack обнаружил новый эксплойт для взлома шифрования вируса методом подбора и, как сообщается, уже использовал его для восстановления данных атакованной компании. Akira, известная кибератака программы-вымогателя, теперь может быть избежана пострадавшими компаниями благодаря контратаке методом подбора на основе графического процессора. С помощью RTX 4090 Tinyhack обнаружил, что они могут взломать зашифрованные файлы программы-вымогателя за семь дней, а с 16 графическими процессорами этот процесс займет чуть более десяти часов.

Akira — это атака вируса-вымогателя, нацеленная на высокопоставленные цели, впервые обнаруженная в 2023 году и известная смехотворно высокими требованиями выкупа (иногда достигающими десятков миллионов долларов). В 2023 году группа по исследованию угроз Avast обнаружила метод, который Akira использовал для шифрования файлов жертв, и опубликовала бесплатный инструмент для взлома шифрования, чтобы освободить компьютеры от этой ужасной атаки. Затем Akira исправила эту высокопоставленную уязвимость, добавив некоторые индивидуальные детали к своим изначально общедоступным методам шифрования.

По крайней мере один вариант Akira использует метод шифрования, который может быть расшифрован с помощью нового метода грубой силы на основе GPU в течение нескольких дней или недель. Атака Akira использует методы шифрования chacha8 и Kcipher2 для генерации ключей шифрования для каждого файла, используя четыре различных временных метки в наносекундах в качестве семян. Эти временные метки могут быть выведены в узком диапазоне в среднем 5 миллионов наносекунд (0,005 секунды), а затем точно найдены с помощью грубой силы, процесса, который требует использования топовых GPU, таких как RTX 3090 или 4090 от Nvidia.

Несколько вещей должны быть выполнены правильно для тех, кто надеется выполнить метод расшифровки. Зашифрованные файлы должны быть нетронутыми после шифрования, чтобы можно было найти временную метку последнего доступа к файлу и использовать ее для перебора. Использование NFS (в отличие от файлов, просто находящихся на локальных дисках сети) также может усложнить расшифровку, поскольку задержка сервера затруднит определение истинных временных меток, используемых при шифровании.

Используя RTX 4090, расшифровка одного файла путем прохождения каждой возможной наносекунды в среднем диапазоне 4,5 миллиона наносекунд, нахождения правильных четырех временных меток и генерации соответствующих ключей расшифровки занимает около 7 дней. Пострадавшим организациям рекомендуется арендовать серверы через такие сервисы, как runpod или vast.ai, используя несколько серверов GPU, чтобы сократить время. Клиенту Tinyhack потребовалось около 3 недель, чтобы успешно расшифровать полный набор файлов виртуальной машины.

Атаки программ-вымогателей чаще всего невозможно расшифровать без уплаты выкупа, поэтому поиск метода обхода атаки — это большая победа для исследований в области кибербезопасности. Хотя те, кто стоит за Akira, скорее всего, быстро исправят этот метод для будущих атак, как они сделали после выпуска дешифратора Avast, те, кто уже пострадал от Akira, могут освободить зараженные системы с помощью этого метода.

В блоге Tinyhack's описывается весь процесс обнаружения уязвимости и полные инструкции по ее расшифровке, поэтому, пожалуйста, зайдите туда, чтобы получить исчерпывающий обзор брутфорсинга в Akira. Программа-вымогатель прошла долгий путь с момента своего появления на дискете, отправленной по почте, и сегодня мы одержали еще одну победу над ней.

Источник: Tomshardware.com