Des chercheurs ont décrit ce qu’ils appellent la « première tentative réussie » de décryptage de données infectées par le ransomware Hive sans s’appuyer sur la clé privée utilisée pour verrouiller l’accès au contenu.
« Nous avons pu récupérer la clé principale permettant de générer la clé de cryptage du fichier sans la clé privée de l’attaquant, en utilisant une vulnérabilité cryptographique identifiée par analyse », a déclaré un groupe d’universitaires de l’université Kookmin de Corée du Sud dans un nouveau document analysant son processus de cryptage.
La vulnérabilité cryptographique identifiée par les chercheurs concerne le mécanisme par lequel les clés maîtresses sont générées et stockées, la souche du ransomware ne chiffrant que certaines parties du fichier au lieu de l’intégralité du contenu à l’aide de deux flux de clés dérivés de la clé maîtresse.
« Pour chaque processus de cryptage de fichier, deux flux de clés de la clé principale sont nécessaires », expliquent les chercheurs.
« Deux flux de clés sont créés en sélectionnant deux décalages aléatoires de la clé principale et en extrayant respectivement 0x100000 octets et 0x400 octets du décalage sélectionné ».
« La clé principale récupérée 92 % a permis de décrypter environ 72 % des fichiers, la clé principale restaurée 96 % a permis de décrypter environ 82 % des fichiers et la clé principale restaurée 98 % a permis de décrypter environ 98 % des fichiers », ont déclaré les chercheurs.