Des chercheurs ont détaillé ce qu’ils appellent la « première tentative réussie » de décryptage de données infectées par le ransomware Hive sans s’appuyer sur la clé privée utilisée pour verrouiller l’accès au contenu.
« Nous avons pu récupérer la clé maîtresse pour générer la clé de chiffrement des fichiers sans la clé privée de l’attaquant, en utilisant une vulnérabilité cryptographique identifiée par l’analyse », a déclaré un groupe d’universitaires de l’Université Kookmin de Corée du Sud dans un nouveau document analysant son processus de chiffrement.
La vulnérabilité cryptographique identifiée par les chercheurs concerne le mécanisme par lequel les clés maîtresses sont générées et stockées, la souche du ransomware ne chiffrant que certaines parties du fichier, et non l’intégralité du contenu, à l’aide de deux flux de clés dérivés de la clé maîtresse.
« Pour chaque processus de cryptage de fichier, deux flux de données provenant de la clé principale sont nécessaires », expliquent les chercheurs.
« Deux flux de clés sont créés en sélectionnant deux décalages aléatoires de la clé maître et en extrayant respectivement 0x100000 octets et 0x400 octets du décalage sélectionné. »
« La clé maîtresse récupérée 92% a réussi à décrypter environ 72% des fichiers, la clé maîtresse restaurée 96% a réussi à décrypter environ 82% des fichiers, et la clé maîtresse restaurée 98% a réussi à décrypter environ 98% des fichiers », ont déclaré les chercheurs.