Getty Images
Ransomware Rhysida : des chercheurs sud-coréens grillent à nouveau un déchiffreur
Cinq chercheurs de Corée du Sud ont publié une méthode de décryptage des fichiers chiffrés par le ransomware Rhysida, dévoilant ainsi publiquement une faille déjà connue et exploitée discrètement. Trois d’entre eux l’avaient déjà fait pour Hive.
Mauvaise nouvelle pour les victimes du ransomware Rhysida : ses auteurs vont pouvoir rapidement le mettre à jour et combler une faille qui permettait de décrypter les fichiers chiffrés avec lui.
Cinq chercheurs coréens – Giyoon Kim, Soojin Kang, Seungjun Baek, Kimoon Kim, et Jongsung Kim – viennent de publier les fruits de leurs travaux : « une méthode pour déchiffrer les données infectées [sic] avec le ransomware Rhysida ».
Les chercheurs indiquent que « le ransomware Rhysida utilise un générateur de nombres aléatoires sécurisé pour générer la clé de chiffrement et ensuite chiffrer les données. Cependant, une faille dans la mise en œuvre nous a permis de régénérer l’état interne du générateur de nombres aléatoires au moment de l’infection ». Ainsi, ils ont « réussi à décrypter les données en utilisant le générateur de nombres aléatoires régénéré ».
Les chercheurs indiquent en outre qu’à leur connaissance, il s’agit de la « première tentative réussie pour déchiffrer le ransomware Rhysida ». Cette phrase, trois d’entre eux l’avaient déjà écrite, avec un quatrième chercheur, en février 2022, au sujet du ransomware Hive. Et déjà, elle s’avérait erronée.
Sur la base de nos sources, nous pouvions alors affirmer que d’autres chercheurs avaient identifié des défauts d’implémentation du chiffrement dans Hive depuis plus d’un mois, et partagé les informations correspondantes afin que puissent être aidées d’éventuelles victimes de Hive.
La situation est identique aujourd’hui pour Rhysida. Selon plusieurs sources concordantes, un outil de déchiffrement était déjà disponible depuis quelques mois et utilisé, confidentiellement, par de nombreuses équipes de réponse à incident.
Sur X, Fabian Wosar, d’Emsisoft, est très clair, au sujet de la faille de Rhysida : « Avast l’a découverte en octobre de l’année dernière, le CERT français a rédigé et publié un document privé à ce sujet en juin, et j’ai trouvé la vulnérabilité en mai de l’année dernière. Je ne connais pas les données d’Avast et du CERT, mais nous avons décrypté des centaines de systèmes depuis lors ».