Akira Ransomware Lộ Điểm Yếu Mới, Khôi Phục Dữ Liệu Bằng GPU!

Tin vui cho các công ty đang "khóc ròng" vì Akira ransomware! Một blogger tên tinyhack vừa phát hiện ra lỗ hổng mới, cho phép dùng sức mạnh của GPU để "phá khóa" mã hóa và khôi phục dữ liệu. Akira, "ông kẹ" trong giới ransomware, nổi tiếng với những đòi hỏi tiền chuộc "trên trời" đến hàng chục triệu đô, giờ đây có thể bị "vượt mặt" nhờ phương pháp brute-force dựa trên GPU.
Tinyhack chứng minh rằng, chỉ cần một card đồ họa RTX 4090, họ có thể giải mã các tập tin bị mã hóa trong khoảng 7 ngày. Nếu sử dụng 16 GPU, thời gian này sẽ rút ngắn xuống chỉ hơn 10 tiếng!
Akira sử dụng các thuật toán mã hóa ChaCha8 và Kcipher2, tạo ra các khóa mã hóa riêng cho từng tập tin, dựa trên 4 dấu thời gian (timestamp) ở độ phân giải nanosecond. Tinyhack đã tìm ra cách thu hẹp phạm vi các dấu thời gian này xuống chỉ còn khoảng 5 triệu nanosecond (tức 0.005 giây), sau đó dùng brute-force để tìm ra chính xác. Quá trình này đòi hỏi sức mạnh tính toán lớn, từ các GPU hàng đầu như RTX 3090 hoặc 4090.
Tuy nhiên, việc giải mã thành công đòi hỏi một số điều kiện. Các tập tin bị mã hóa phải còn nguyên vẹn sau khi bị tấn công, để có thể lấy được dấu thời gian truy cập cuối cùng. Ngoài ra, việc sử dụng NFS (thay vì lưu trữ tập tin trên ổ cứng cục bộ) cũng có thể gây khó khăn, do độ trễ của máy chủ có thể làm sai lệch dấu thời gian.
Tinyhack khuyến nghị các tổ chức bị ảnh hưởng nên thuê máy chủ có nhiều GPU thông qua các dịch vụ như Runpod hoặc Vast.ai để tăng tốc quá trình giải mã. Khách hàng của tinyhack đã mất khoảng 3 tuần để giải mã toàn bộ các tập tin máy ảo.
Trong khi những kẻ đứng sau Akira có thể sẽ nhanh chóng vá lỗ hổng này, những ai đã bị tấn công có thể tận dụng phương pháp này để giải cứu hệ thống của mình. Blog của tinyhack cung cấp hướng dẫn chi tiết về cách khai thác lỗ hổng và giải mã dữ liệu. Đây là một chiến thắng lớn trong cuộc chiến chống lại ransomware, cho thấy sự tiến bộ của các chuyên gia an ninh mạng.