Data Recovery Heroes.
Recovery Italia® può aiutarVi a risolvere con successo qualsiasi caso di perdita di dati.
preventivo immediatoCome recuperare le VHDX criptate da Ransomware Rhysida
27/05/2024
BASIC KNOWLEDGE
Il ransomware Rhysida ha avuto una importante diffusione e moltissime sono le aziende colpite dall'attacco.
Rhysida è una organizzazione criminale, che ha identificato come vittime di attacchi informatici universita, strutture sanitarie, aziende IT e molte altre ancora.
Ricercatori Sud Coreani hanno sviluppato un prototipo di guessing del seed utilizzato nella generazione delle chiavi casuali al fine di riprodurre la chiave di cifratura dopo il disassemble del codice del ransomware.
Sembra infatti che ci sia una debolezza nel codice del ransomware nella generazione delle chiavi casuali, e gli studi effettuati dal team di ricerca hanno dimostrato che identificando la finestra temporale in cui l'attacco è stato perfezionato risulta possibile riprodurre il seed di base per la generazione secure random PNRG.
Decifratura dei file criptati da Rhysida utilizzando il seed recovery
Gli sviluppatori della Korea Internet and Security Agency (KISA) hanno messo a disposizione un eseguibile per la decrittazione dei file disponibile al seguente indirizzo:
https://seed.kisa.or.kr/kisa/Board/166/detailView.do
Rhysida, Riscatto ed esfiltrazione dati
Una caratteristica dei ransomware moderni, eseguiti in un contesto di attacco distribuito che ha come obiettivo una grande organizzazione, è quella della esfiltrazione di dati.
Gli hacker non solo si limitano a danneggiare tutte le posizioni di backup e i dati contenuti in NAS e Server, ma estraggono informazioni sensibili, flussi di dati, anagrafiche e documenti per poi posizionarli su server sulla rete Tor.
Le organizzazioni criminali inoltre producono una analisi dei dati del cliente e realizzano un mini portale in cui pubblicano una descrizione dell'azienda colpita, il core business e la possibilità di visionare e scaricare un set di dati.
Tale tipo di estorsione è ancora più violenta e drammatica di quelle tradizionali in cui gli hackers si "limitano" a chiedere un riscatto in bitcoin per ottenere accesso ai dati bloccati perchè è evidente che oltre il danno per mancata operatività, l'immagine della azienda colpita viene severamente compromessa.
Analisi Forense dei file criptati da Rhysida
L'analisi su casi reali su file infettati da questo ransomware, ha dimostrato che il tipo di encryption applicata consente un recovery anche senza disporre delle chiavi di cifratura e senza il bisogno di calcolare il seed originale e produrre un flusso di chiavi possibili per decifrare i file corrotti dal virus.
Nel caso analizzato il ransomware è stato lanciato su Host Windows Server ed ha colpito diverse virtual machines HYPER-V.
Applicando gli algoritmi di ricostruzione euristica delle VM come nel caso CDS , e' possibile eseguire il recovery di Virtual Machine complete di Database perfettamente funzionanti.
Hai bisogno di aiuto o di maggiori informazioni ?
Contatta il nostro call center o inviaci una richiesta di assistenza a info@recoveryitalia.it. I nostri esperti sono a tua completa disposizione per una consulenza gratuita.
METRO A ANAGNINA