Developer σπάει την κρυπτογράφηση του ransomware Akira μέσα σε λίγες ώρες χρησιμοποιώντας cloud GPUs

[nnn]

Το Akira είναι μια επικίνδυνη, πολυπλατφορμική απειλή ransomware που είναι ενεργή από το 2023. Διαθέσιμο ως προϊόν ransomware-as-a-service σε script kiddies και κυβερνοεγκληματίες, το κακόβουλο λογισμικό έχει στοχεύσει πάνω από 250 οργανισμούς και έχει αποφέρει έως και 42 εκατομμύρια δολάρια στους άγνωστους προγραμματιστές του.

Ο Yohanes Nugroho, ένας Ινδονήσιος προγραμματιστής που ασχολείται με προσωπικά έργα προγραμματισμού στον ελεύθερο χρόνο του, ανέπτυξε έναν « decryptor » για το Akira ransomware. Το εργαλείο χρησιμοποιεί μια νέα προσέγγιση για την επίλυση ενός πολύπλοκου μαθηματικού προβλήματος, εκμεταλλευόμενο τον υψηλό παραλληλισμό των σύγχρονων GPU για να δοκιμάσει εκατομμύρια συνδυασμούς κλειδιών σε πολύ σύντομο χρονικό διάστημα.

Ο Nugroho κατέγραψε το ταξίδι του μέσα από τον κώδικα κρυπτογράφησης αρχείων του Akira στον προσωπικό του ιστότοπο. Ασχολήθηκε με μια παραλλαγή του Akira για Linux, αφού ένας φίλος του ζήτησε βοήθεια. Αναλύοντας τον κώδικα, ο Nugroho ανακάλυψε ότι το ransomware χρησιμοποιεί την τρέχουσα ώρα ως πυρήνα για τη δημιουργία κρυπτογραφικά ισχυρών κλειδιών κρυπτογράφησης.

Η διαδικασία κρυπτογράφησης δημιουργεί δυναμικά μοναδικά κλειδιά για κάθε αρχείο, χρησιμοποιώντας τέσσερις διαφορετικούς πυρήνες χρονοσήμανσης με «ακρίβεια νανοδευτερολέπτου». Αυτά τα κλειδιά στη συνέχεια αναλύονται μέσω 1.500 κύκλων της συνάρτησης SHA-256. Τέλος, τα κλειδιά κρυπτογραφούνται χρησιμοποιώντας τον αλγόριθμο RSA-4096 και προσαρτώνται στο τέλος κάθε κρυπτογραφημένου αρχείου.

Η εξαιρετική ακρίβεια της κρυπτογράφησης του Akira καθιστά την αποκρυπτογράφηση πολύπλοκη και κουραστική, καθώς το κακόβουλο λογισμικό μπορεί να παράγει περισσότερες από ένα δισεκατομμύριο πιθανές τιμές ανά δευτερόλεπτο. Ωστόσο, το έργο του Nugroho έγινε ευκολότερο χάρη στα αρχεία καταγραφής που παρείχε ο φίλος του. Με αυτά τα δεδομένα, μπόρεσε να προσδιορίσει πότε εκτελέστηκε το ransomware, επιτρέποντάς του να ετοιμάσει συγκριτικά στοιχεία κρυπτογράφησης για να εκτιμήσει πόσο χρόνο θα χρειαζόταν ο αποκρυπτογράφος.

Ο Nugroho προσπάθησε αρχικά να εκτελέσει μια επίθεση brute-force σε μια GeForce RTX 3060, αλλά η GPU ήταν πολύ αργή, καθώς επεξεργαζόταν μόνο 60 εκατομμύρια συνδυασμούς ανά δευτερόλεπτο. Η αναβάθμιση σε GPU υψηλότερης κατηγορίας (RTX 3090) δεν βελτίωσε σημαντικά την ταχύτητα, οπότε αποφάσισε να νοικιάσει χρόνο GPU μέσω των υπηρεσιών cloud RunPod και Vast.ai. Χρησιμοποιώντας 16 GPU RTX 4090 στο cloud, ο Nugroho κατάφερε να ολοκληρώσει τη διαδικασία benchmark σε λίγο περισσότερο από 10 ώρες.

Ο Nugroho σημειώνει ότι η GeForce RTX 4090 θα ήταν μια εξαιρετική επιλογή για την αποκρυπτογράφηση αρχείων που έχουν παραβιαστεί από το ransomware Akira, χάρη στον υψηλό αριθμό πυρήνων CUDA και τη σχετικά χαμηλή τιμή ενοικίασης. Ο προγραμματιστής έχει διαθέσει τον κώδικά του με άδεια ανοικτού κώδικα, ενθαρρύνοντας τους «ειδικούς GPU» να διερευνήσουν περαιτέρω δυνατότητες βελτιστοποίησης. Στην τρέχουσα μορφή του, ο αποκρυπτογράφος Akira μπορεί να επιτύχει περίπου 1,5 δισεκατομμύρια κρυπτογραφήσεις ανά δευτερόλεπτο για το KCipher2 σε μια GeForce RTX 3090.

Πηγή : Techspot

[BlueChris]

Αυτό δεν σημαίνει πως το εργαλείο μπορεί να χρησιμοποιηθεί και οπουδήποτε για σπάσιμο κρυπτογραφήσεων?

[x_undefined]

Αυτό δεν σημαίνει πως το εργαλείο μπορεί να χρησιμοποιηθεί και οπουδήποτε για σπάσιμο κρυπτογραφήσεων?

Ναι, αν χρησιμοποιούν και αυτες την τρέχουσα ώρα για seed.

Nugroho discovered that the ransomware uses the current time as a seed to generate cryptographically strong encryption keys

[tsigarid]

Εξαιρετικά νέα, άντε να αρχίσει να εκλείπει σιγά σιγά ο καρκίνος των ransomware. Ότι κλειδώνει ξεκλειδώνει, και προς τις δύο κατευθύνσεις.

[netblues]

Ειχε κανει κακη επιλογη seed o ransom actor, και απλα o αλλος το μαντεψε, περιορισε το ευρος και μετα εκανε brute force, προφανως με gpu.
Αν μπορουμε να σπασουμε τα rsa κλπ, για να κανουμε decrypt τα αρχεια με brute force, ΤΟΤΕ εχουμε πολυ πιο σοβαρα θεματα να λυσουμε συνολικα

[macro]

Ειναι μεχρι να τον αρχισει στο κραξιμο ο δικος μας ο jim, για κατι που δε θα εχει κανει καλα.

[MitsakosGR]

Όλη η ιστορία περιορίζεται στο ακόλουθο:

The extreme precision of Akira's encryption makes decryption work complex and tedious, as the malware can generate more than a billion possible values per second. However, Nugroho's task was made easier thanks to the log files provided by his friend. With this data, he was able to determine when the ransomware was executed, allowing him to prepare encryption benchmarks to estimate how much time the decryptor would take.

Το μόνο που έκανε ήταν να περιορίσει πάρα πολύ το χρονικό εύρος εκτέλεσης, οπότε να ψάξει κάποια λεπτά ή ώρες, αντί μέρες/μήνες! BruteForce είναι και πάλι, απλά είχε πληροφορίες για να περιορίσει το εύρος. Δεν σημαίνει απαραίτητα ότι θα δουλέψει για όλους!

[BlueChris]

Ειχε κανει κακη επιλογη seed o ransom actor, και απλα o αλλος το μαντεψε, περιορισε το ευρος και μετα εκανε brute force, προφανως με gpu.
Αν μπορουμε να σπασουμε τα rsa κλπ, για να κανουμε decrypt τα αρχεια με brute force, ΤΟΤΕ εχουμε πολυ πιο σοβαρα θεματα να λυσουμε συνολικα

Αυτό εννοούσα και εγώ πριν... αλλά από ότι φαίνεται είχε βοήθεια λίγο στο πότε έπρεπε να το κάνει το brute force.

[deniSun]

Ο Nugroho προσπάθησε αρχικά να εκτελέσει μια επίθεση brute-force σε μια GeForce RTX 3060, αλλά η GPU ήταν πολύ αργή, καθώς επεξεργαζόταν μόνο 60 εκατομμύρια συνδυασμούς ανά δευτερόλεπτο.

Χρησιμοποιώντας 16 GPU RTX 4090 στο cloud, ο Nugroho κατάφερε να ολοκληρώσει τη διαδικασία benchmark σε λίγο περισσότερο από 10 ώρες.

Στην τρέχουσα μορφή του, ο αποκρυπτογράφος Akira μπορεί να επιτύχει περίπου 1,5 δισεκατομμύρια κρυπτογραφήσεις ανά δευτερόλεπτο για το KCipher2 σε μια GeForce RTX 3090.

Μου αρέσουν κάτι τέτοιες αναφορές.

[jim_p]

Ειναι μεχρι να τον αρχισει στο κραξιμο ο δικος μας ο jim, για κατι που δε θα εχει κανει καλα.

Απο σχολιο στο αντιστοιχο θεμα στο r/linux

Because malware devs are often bottom of the barrel skids who copypaste snippets from some decade old malware snippets that have shit like

Κώδικας:

srand(time(NULL));

for their state of the art rng seeding.

https://old.reddit.com/r/linux/comme...ra_ransomware/

[netblues]

srand(time(NULL));

Τι,δεν ειναι αυτο αρκετα random???

[jim_p]

Αυτο ειναι random!
https://xkcd.com/221/

Δεν βρηκα το κομικ με το... οχι και τοσο random ssl key στο debian.

[xaris2335]

ωραίος το πρωί προγραμματιστής και τα βράδι χακάροντας χάκερς