I ricercatori affermano di aver decifrato il codice di crittografia del ransomware Hive. Hanno individuato una vulnerabilità crittografica durante l’analisi, che ha portato alla scoperta della chiave maestra utilizzata per sbloccare i file.
Aggiornamento: da una segnalazione fattami su Twitter apprendo che da una revisione della ricerca sotto riportata, fatta dal ricercatore di sicurezza e ransomware hunter Michael Gillespie, emerge che questi risultati vadano presi con le pinze in quanto per avere davvero successo si riferiscono a una vecchia versione di Hive e alla necessità di un grande numero di coppie files encrypt/originali. Invitiamo pertanto a leggere anche il suo thread menzionato.
In allegato il testo integrale della ricerca.
Cosa è stato scoperto?
Un gruppo di researchers della Corea del Sud ha identificato una vulnerabilità crittografica nel meccanismo mediante il quale le chiavi principali vengono generate e archiviate dal ransomware Hive. Per comprendere le vulnerabilità, è importante comprendere il metodo di crittografia.
Il meccanismo di crittografia di Hive ransomware
Il ransomware crittografa solo porzioni selezionate del file anziché tutto il contenuto utilizzando due flussi di chiavi derivati dalla chiave principale.
- Per ogni crittografia dei file, sono necessari due flussi di chiavi dalla chiave master.
- Questi due flussi di chiavi vengono generati utilizzando due offset casuali dalla chiave master ed estraendo 0x400 byte (1KiB) e 0x100000 byte (1MiB) dall’offset selezionato.
Il difetto che espone la chiave master
- Il keystream di crittografia, creato da un’operazione XOR dei due keystream, viene sottoposto a XOR utilizzando i dati in blocchi alternativi per creare il file crittografato.
- I ricercatori hanno notato che è possibile indovinare i flussi di chiavi e recuperare la chiave principale. Con ciò, potrebbero decodificare i file crittografati senza richiedere la chiave privata all’utente malintenzionato.
Tasso di successo
Nella stessa ricerca hanno testato il difetto con un tasso di risultato del 92-98% della chiave principale utilizzata durante la crittografia. Anche con questa chiave master incompleta, i ricercatori sono stati in grado di decrittografare circa il 72–98% dei file crittografati.
Conclusione
Questo recente sviluppo è presumibilmente il primo tentativo riuscito di recuperare file da questo ransomware. Il metodo può essere utilizzato per limitare i danni causati dal ransomware Hive. Ciò consentirà alle vittime di recuperare i file gratuitamente e fornirà motivazione nella lotta contro le minacce mortali poste dal ransomware in tutto il mondo. Anche se di sicuro non fermerà il gruppo, visto che non tutte le vittime sono in grado di effettuare operazioni di questo genere, almeno allo stato attuale.