Ransomware Akira có thể bị nứt với mười sáu GPU RTX 4090 trong khoảng mười giờ - mã hóa phá vỡ phản công mới
Cuộc tấn công ransomware Akira đã bị phát hiện một lỗ hổng mới. Blogger Tinyhack đã tìm ra cách khai thác để bẻ khóa mã hóa của virus và đã khôi phục dữ liệu cho một công ty bị tấn công. Nhờ vào một cuộc phản công sử dụng GPU, các công ty bị ảnh hưởng có thể thoát khỏi Akira. Với một chiếc RTX 4090, Tinyhack có thể giải mã các tệp bị mã hóa trong bảy ngày, và với 16 GPU, quá trình này chỉ mất hơn mười giờ.
Akira là một cuộc tấn công ransomware nhằm vào các mục tiêu cao cấp, được phát hiện lần đầu vào năm 2023 với yêu cầu tiền chuộc cực kỳ cao, có thể lên tới hàng chục triệu đô la. Trong năm 2023, Nhóm Nghiên cứu Mối đe dọa của Avast đã tìm ra phương pháp mà Akira sử dụng để mã hóa tệp của nạn nhân và công bố công cụ phá mã miễn phí để giải cứu máy tính khỏi cuộc tấn công này. Sau đó, Akira đã vá lỗ hổng này, bổ sung một số chi tiết tùy chỉnh vào các phương pháp mã hóa vốn có.
Ít nhất một biến thể của Akira sử dụng phương pháp mã hóa có thể được giải mã bằng cách brute-force dựa trên GPU trong vài ngày hoặc vài tuần. Cuộc tấn công Akira sử dụng các phương pháp mã hóa chacha8 và Kcipher2 để tạo ra khóa mã hóa cho từng tệp, sử dụng bốn dấu thời gian khác nhau tính bằng nan giây làm hạt giống. Những dấu thời gian này có thể được suy ra trong khoảng thời gian trung bình là 5 triệu nan giây (0.005 giây) và sau đó được xác định chính xác bằng brute-force, quá trình này yêu cầu sử dụng GPU cao cấp như Nvidias RTX 3090 hoặc 4090.
Để thực hiện phương pháp giải mã, cần có nhiều yếu tố thuận lợi. Các tệp mã hóa phải không bị thay đổi sau khi mã hóa để có thể tìm và sử dụng thời gian truy cập cuối cùng cho phương pháp brute-force. Sử dụng NFS thay vì lưu trữ trên đĩa cục bộ cũng có thể làm phức tạp quá trình giải mã, vì độ trễ của máy chủ sẽ khiến việc xác định thời gian thực của mã hóa trở nên khó khăn hơn.
Sử dụng RTX 4090, quá trình giải mã một tệp bằng cách chạy qua mọi nanosecond trong khoảng 4.5 triệu nanosecond, tìm bốn dấu thời gian đúng và tạo khóa giải mã mất khoảng 7 ngày. Các tổ chức bị ảnh hưởng được khuyến nghị thuê máy chủ qua các dịch vụ như runpod hoặc vast.ai, sử dụng nhiều máy chủ GPU để rút ngắn thời gian. Khách hàng của Tinyhacks mất khoảng 3 tuần để giải mã thành công toàn bộ bộ tệp VM.
Các cuộc tấn công ransomware thường rất khó khăn để giải mã mà không trả tiền chuộc, vì vậy việc tìm ra phương pháp vượt qua cuộc tấn công là một thành công lớn cho nghiên cứu an ninh mạng. Mặc dù những người đứng sau Akira có thể nhanh chóng vá lỗ hổng này cho các cuộc tấn công sau, như họ đã làm sau khi phát hành công cụ giải mã của Avast, nhưng những hệ thống đã bị tấn công bởi Akira có thể được khôi phục bằng phương pháp này. Bài viết trên blog Tinyhacks trình bày toàn bộ quy trình phát hiện lỗ hổng và hướng dẫn chi tiết để giải mã, vì vậy hãy truy cập để tìm hiểu rõ về cách tiếp cận Akira.
Ransomware đã phát triển nhiều từ những ngày đầu trên đĩa mềm gửi qua bưu điện, và hôm nay đánh dấu một chiến thắng mới trong cuộc chiến chống lại nó.
Nguồn: www.tomshardware.com/tech-industry/cyber-security/akira-ransomware-cracked-with-rtx-4090-new-exploit-to-brute-force-encryption-attack