Un investigador de seguridad, Yohanes Nugroho, ha desarrollado un desencriptador para la variante Linux del ransomware Akira que aprovecha el poder de las GPUs para romper las claves de cifrado y recuperar los archivos de forma gratuita.
Este avance es significativo porque el método de cifrado de Akira inicialmente se consideraba difícil de romper debido al uso de marcas de tiempo precisas y técnicas de cifrado complejas.
¿Cómo Funciona el Ransomware Akira?
El ransomware Akira genera claves de cifrado únicas para cada archivo utilizando marcas de tiempo con precisión en nanosegundos como semilla. La semilla influye en la creación de la clave de cifrado y el ransomware aplica 1,500 rondas de SHA-256 para cada archivo.
Luego, el cifrado está protegido por RSA-4096, lo que hace que la desencriptación sea difícil sin la clave privada correspondiente.
Desafíos para Romper el Cifrado de Akira
El ransomware utiliza marcas de tiempo con precisión en nanosegundos, lo que genera más de mil millones de valores posibles por segundo, lo que hace que el proceso de fuerza bruta sea extremadamente difícil.
Akira cifra múltiples archivos a la vez utilizando multihilos, lo que complica aún más el proceso de desencriptación, ya que las marcas de tiempo difieren para cada archivo.
Inicialmente, los intentos de romper la clave de cifrado fueron lentos, con una GPU RTX 3060 alcanzando solo 60 millones de pruebas de cifrado por segundo. Incluso la mejora a una RTX 3090 no mostró una mejora significativa.
La Solución: Usar GPUs para Romper las Claves
El avance de Nugroho llegó al centrarse en los recursos de GPU para realizar una fuerza bruta en las claves de cifrado. Acotó las posibles marcas de tiempo analizando los archivos de registro compartidos por una víctima y estimando los tiempos de finalización del cifrado.
Utilizando servicios de GPU en la nube, Nugroho pudo emplear dieciséis GPUs RTX 4090, lo que le permitió romper la clave de cifrado en aproximadamente 10 horas.
Aunque dependiendo de la cantidad de archivos cifrados, el proceso podría tardar un par de días.
Puntos Clave
- Poder de GPU: Nugroho utilizó servicios de GPU en la nube como RunPod y Vast.ai, que ofrecieron los recursos necesarios a un precio razonable, permitiendo que el proceso de desencriptación se completara de manera eficiente.
- Desencriptador Disponible: Nugroho ha puesto su desencriptador disponible públicamente en GitHub, junto con las instrucciones para los usuarios que necesiten recuperar sus archivos cifrados por Akira.
-
Precaución con las Copias de Seguridad: Se recomienda a los usuarios hacer una copia de seguridad de sus archivos cifrados antes de intentar la desencriptación, ya que usar la clave incorrecta podría resultar en archivos corruptos.
Conclusiones
Este desarrollo resalta el potencial de usar recursos de GPU para la investigación criptográfica y tareas de desencriptación. Si bien el desencriptador es una herramienta poderosa, también subraya los desafíos de lidiar con ransomware avanzado y la naturaleza en constante evolución de las amenazas cibernéticas.
Si has sido víctima del ransomware Akira, este desencriptador ofrece una posible solución, siempre y cuando tengas los recursos necesarios para ejecutar el proceso de fuerza bruta.
Artículos Relacionados
Descubre más desde CIBERED
Suscríbete y recibe las últimas entradas en tu correo electrónico.