Se ha descubierto una nueva vulnerabilidad que permite a los investigadores forzar la fuerza bruta de la encriptación utilizada por el ransomware Akira, lo que potencialmente permite a las víctimas recuperar sus datos sin pagar el rescate. El ransomware Akira, conocido por atacar a organizaciones de alto perfil y exigir grandes sumas de dinero, utilizaba anteriormente métodos de encriptación que fueron descifrados y parcheados, pero una variante reciente ha demostrado ser vulnerable a un contraataque basado en GPU.
Se ha logrado un avance significativo contra el ransomware Akira, un ciberataque notorio conocido por atacar a entidades de alto perfil con exorbitantes demandas de rescate. Un bloguero conocido como Tinyhack ha descubierto y utilizado un nuevo exploit que aprovecha métodos de fuerza bruta con la ayuda de potentes GPU para descifrar archivos cifrados por una variante específica de Akira. Este desarrollo ofrece un posible salvavidas para las organizaciones ya impactadas por esta cepa particular del ransomware.
La vulnerabilidad reside en el método de cifrado empleado por esta variante de Akira. A diferencia del cifrado moderno más sofisticado, utiliza técnicas más antiguas, específicamente chacha8 y Kcipher2, para generar claves de cifrado por archivo. Crucialmente, estas claves se basan en cuatro marcas de tiempo distintas, medidas en nanosegundos. La investigación de Tinyhack reveló que estas marcas de tiempo, aunque inicialmente parecen aleatorias, pueden reducirse a un rango relativamente estrecho, con un promedio de alrededor de 5 millones de nanosegundos (equivalente a 0,005 segundos). Este rango limitado hace que el cifrado sea susceptible a ataques de fuerza bruta, donde un potente sistema informático intenta sistemáticamente cada combinación posible dentro de ese rango para identificar las marcas de tiempo correctas y, posteriormente, generar las claves de descifrado.
Sin embargo, la ejecución exitosa de este método de descifrado no está exenta de requisitos previos y desafíos. Para que el ataque de fuerza bruta sea efectivo, los archivos cifrados deben permanecer intactos después del proceso de cifrado. Esto es fundamental porque el método se basa en poder determinar la marca de tiempo del último acceso al archivo, que sirve como una pieza crucial de información para reducir el rango potencial de las marcas de tiempo de cifrado originales. Además, el uso de Sistemas de Archivos de Red (NFS) puede introducir complicaciones. El retraso del servidor inherente a los entornos NFS puede dificultar la determinación precisa de las verdaderas marcas de tiempo utilizadas durante el proceso de cifrado, lo que podría ampliar el espacio de búsqueda para el ataque de fuerza bruta y aumentar el tiempo necesario para el descifrado.
La potencia computacional requerida para este descifrado de fuerza bruta es sustancial. Las pruebas de Tinyhack demostraron que, utilizando una sola GPU Nvidia RTX 4090, una tarjeta gráfica de primer nivel conocida por su potencia de procesamiento, descifrar un solo archivo iterando a través del rango promedio de 4,5 millones de nanosegundos para encontrar las cuatro marcas de tiempo correctas y generar las claves de descifrado lleva aproximadamente siete días. Para reducir significativamente este tiempo de descifrado, es necesario el uso de múltiples GPU de alta gama. El artículo destaca que con dieciséis GPU RTX 4090, el proceso podría completarse en poco más de diez horas. Esto subraya la necesidad de importantes recursos computacionales, y se aconseja a las organizaciones afectadas que consideren alquilar servidores equipados con múltiples GPU a través de servicios como Runpod o Vast.ai para acelerar el proceso de descifrado. La propia experiencia de Tinyhack con un cliente implicó descifrar un conjunto completo de archivos de VM, lo que llevó alrededor de tres semanas utilizando este método, lo que ilustra que incluso con recursos significativos, el proceso aún puede llevar mucho tiempo dependiendo del volumen de datos.
El descubrimiento de un método de descifrado viable para una variante de ransomware es una victoria significativa en la batalla en curso contra el cibercrimen. Los ataques de ransomware son notoriamente difíciles de recuperar sin pagar el rescate, lo que convierte cualquier método que evite esto en una herramienta valiosa para los investigadores de ciberseguridad y las organizaciones afectadas. Si bien es muy probable que los perpetradores detrás de Akira parcheen rápidamente esta vulnerabilidad en futuras iteraciones de su ransomware, tal como lo hicieron después de que se lanzara la herramienta de descifrado anterior de Avast, este nuevo método ofrece una ventana de oportunidad para aquellos que ya han sido impactados por esta variante específica para potencialmente recuperar sus datos sin sucumbir a las demandas de los atacantes.
La publicación detallada del blog de Tinyhack proporciona una descripción completa del descubrimiento de esta vulnerabilidad y ofrece instrucciones completas para implementar el método de descifrado de fuerza bruta basado en GPU. Este nivel de transparencia es crucial para permitir que las partes afectadas y los profesionales de la ciberseguridad comprendan y potencialmente utilicen este contraataque. La evolución del ransomware, desde los simples ataques basados en disquetes hasta las amenazas sofisticadas y de alto perfil como Akira, destaca el panorama siempre cambiante del cibercrimen. Sin embargo, desarrollos como el exploit de Tinyhack demuestran que con investigación persistente y enfoques innovadores, las victorias contra estas amenazas son posibles, lo que marca otro paso positivo en la lucha contra el ransomware.
Un nuevo exploit permite descifrar el ransomware Akira utilizando 16 GPUs RTX 4090 en aproximadamente 10 horas, aprovechando una vulnerabilidad en sus métodos de cifrado chacha8 y Kcipher2. Si bien es una victoria significativa contra el ransomware, este método requiere archivos cifrados intactos y no es una solución infalible, ya que los atacantes probablemente se adaptarán. El incidente resalta la continua carrera armamentística en ciberseguridad y la importancia de copias de seguridad de datos sólidas e historial de versiones.
Leave a Reply