韓国研究チーム、Rhysidaランサムウェア解除ツールを無料公開！

Last Updated on 2024-02-13 12:10 by

韓国の研究チームがRhysidaランサムウェアに対する無料の復号ツールを開発し、公開しました。このランサムウェアは、教育、医療、製造、情報技術、政府機関をターゲットにしており、最も注目された攻撃の一つはイギリスのブリティッシュライブラリーに対するものでした。この犯罪グループはVice Societyと関連があると考えられています。

研究チームは、ランサムウェアがデータを暗号化する際に使用する乱数生成器に実装上の脆弱性を発見しました。この脆弱性を利用して、感染時の乱数生成器の内部状態を再生成し、データを復号することが可能になりました。この復号ツールは、韓国インターネットセキュリティ機関（KISA）によって配布されています。

Rhysidaランサムウェアは、LibTomCryptのChaCha20ベースの暗号学的に安全な擬似乱数生成器（CSPRNG）を使用して、各ファイルの暗号化キーを生成します。この乱数は、ランサムウェアの実行時刻に基づいており、研究者たちはこの方法が各暗号化キーの可能な組み合わせを制限することに気づきました。ランサムウェアは文書を完全にではなく部分的に暗号化することで、ネットワーク上で検出される前に多くの文書を破壊することが可能になります。

この研究により、ランサムウェアによってデータが取り返しのつかないものになるという一般的な信念に反して、被害者のファイルを解除することが可能になりました。米国政府は、次のRhysida被害者にならないようにするための技術的詳細を含むセキュリティアドバイザリーを11月に発行しました。

【ニュース解説】

韓国の研究チームが、Rhysidaランサムウェアによって暗号化された文書を復号できる無料のツールを開発し、公開したことが話題となっています。Rhysidaランサムウェアは、教育、医療、製造、情報技術、政府機関などをターゲットにしたサイバー攻撃で知られ、特にイギリスのブリティッシュライブラリーへの攻撃で注目を集めました。このランサムウェアは、Vice Societyという犯罪グループと関連があるとされ、マルウェアやインフラをアフィリエイトにリースすることで収益を上げています。

研究チームは、ランサムウェアが使用する乱数生成器に実装上の脆弱性を発見しました。この脆弱性を突くことで、感染時の乱数生成器の内部状態を再生成し、暗号化されたデータを復号することが可能になります。この発見により、韓国インターネットセキュリティ機関（KISA）がこの復号ツールを配布することになりました。

Rhysidaランサムウェアは、ChaCha20ベースの暗号学的に安全な擬似乱数生成器（CSPRNG）を利用して、各ファイルの暗号化キーを生成します。この乱数はランサムウェアの実行時刻に基づいており、研究者たちはこの方法が暗号化キーの可能な組み合わせを制限することに気づきました。また、ランサムウェアは文書を完全にではなく部分的に暗号化することで、ネットワーク上で検出される前に多くの文書を破壊することが可能になります。

この研究の成果は、ランサムウェアによってデータが取り返しのつかないものになるという一般的な信念に反して、被害者のファイルを解除することが可能であることを示しています。このような研究は、ランサムウェア攻撃の被害を軽減し、将来的には防止するための重要な一歩となります。また、米国政府が技術的詳細を含むセキュリティアドバイザリーを発行するなど、国際的な協力も進んでいます。

この技術の発展は、ランサムウェア攻撃に対する防御策の進化を示しており、被害者が身代金を支払うことなくデータを回復できる可能性を広げています。しかし、ランサムウェア攻撃の手法も進化しているため、セキュリティ対策の継続的な更新と教育が重要です。また、このような復号ツールの開発と配布は、ランサムウェア攻撃のインセンティブを減少させ、最終的にはその発生率を下げることにも繋がる可能性があります。

from Korean eggheads crack Rhysida ransomware and release free decryptor tool.