Przełom w walce z ransomware. Złamał szyfrowanie korzystając z potęgi GPU w chmurze

Od 2023 roku w świecie cyberbezpieczeństwa jednym z najbardziej niebezpiecznych zagrożeń jest Akira – wieloplatformowe oprogramowanie ransomware, które w szybkim tempie stało się koszmarem dla setek organizacji na całym świecie. Dostępne jako produkt typu ransomware-as-a-service (RaaS), złośliwe oprogramowanie umożliwia nawet mniej doświadczonym cyberprzestępcom przeprowadzanie skutecznych ataków.

Choć dotychczas ofiary ransomware Akira były zmuszone płacić okup lub tracić dostęp do swoich danych, pojawiła się nowa nadzieja na ich odzyskanie. Indonezyjski programista Yohanes Nugroho, który na co dzień zajmuje się prywatnymi projektami kodowania, stworzył skuteczny deszyfrator, wykorzystujący nowoczesne technologie obliczeniowe do złamania skomplikowanego szyfrowania stosowanego przez Akirę.

Szacuje się, że Akira zaszyfrowała dane ponad 250 organizacji, a jej anonimowi twórcy wzbogacili się o kwotę sięgającą 42 milionów dolarów.

Narzędzie opracowane przez Nugroho opiera się na innowacyjnym podejściu – używa wysokiego poziomu równoległości nowoczesnych procesorów graficznych (GPU), co pozwala na testowanie milionów kombinacji kluczy w ułamku sekundy. Dzięki temu możliwe jest skuteczne odzyskiwanie plików zaszyfrowanych przez Akirę bez konieczności płacenia okupu przestępcom.

Jak udało się złamać szyfrowanie Akiry?

Historia sukcesu Nugroho rozpoczęła się, gdy jeden z jego znajomych padł ofiarą Akiry i poprosił go o pomoc. Analizując kod ransomware, programista odkrył, że złośliwe oprogramowanie wykorzystuje bieżący czas do generowania kluczy szyfrujących. Proces ten opiera się na dynamicznym generowaniu unikalnych kluczy dla każdego pliku, bazując na czterech różnych znacznikach czasu o precyzji nanosekundowej. Klucze te następnie przechodzą przez 1500 rund funkcji skrótu SHA-256, a na końcu są szyfrowane algorytmem RSA-4096 i dołączane do zaszyfrowanych plików.

Złożoność algorytmu sprawiała, że próba złamania szyfrowania metodą brute force była bardzo wymagająca – malware generował ponad miliard możliwych wartości kluczy na sekundę. Kluczowym przełomem w badaniach Nugroho okazały się jednak pliki dziennika udostępnione przez jego znajomego. Pozwoliły one na precyzyjne określenie momentu uruchomienia ransomware, co umożliwiło zawężenie liczby możliwych kombinacji.

Superkomputery w chmurze – klucz do sukcesu

Początkowe próby złamania szyfrowania odbywały się na karcie graficznej GeForce RTX 3060, która była jednak zbyt wolna, przetwarzając zaledwie 60 milionów kombinacji na sekundę. Przejście na mocniejszą kartę RTX 3090 nie przyniosło wystarczającej poprawy wydajności, dlatego Nugroho zdecydował się skorzystać z mocy obliczeniowej dostępnej w chmurze. Wynajął 16 jednostek GPU RTX 4090 za pośrednictwem platform RunPod i Vast.ai, co pozwoliło na przeprowadzenie testów w zaledwie 10 godzin.

Open-source’owe rozwiązanie dla ekspertów od GPU

Nugroho postanowił podzielić się swoim narzędziem, publikując kod deszyfratora na licencji open source. Zachęca specjalistów od technologii GPU do dalszego rozwijania narzędzia i optymalizacji jego działania. Obecnie deszyfrator Akiry jest w stanie osiągnąć wydajność na poziomie 1,5 miliarda szyfrowań na sekundę dla algorytmu KCipher2 na GPU GeForce RTX 3090.

Złamanie szyfrowania Akiry stanowi ogromny przełom w walce z cyberprzestępczością, jednak nie oznacza końca zagrożenia. Twórcy ransomware prawdopodobnie podejmą kroki w celu wzmocnienia swoich zabezpieczeń i utrudnienia procesu odszyfrowywania plików. Niemniej jednak praca Nugroho daje nadzieję na skuteczniejszą obronę przed tego typu atakami w przyszłości.

Eksperci od cyberbezpieczeństwa podkreślają, że najlepszą ochroną przed ransomware pozostaje regularne wykonywanie kopii zapasowych, stosowanie wielopoziomowej ochrony systemów oraz edukacja użytkowników na temat zagrożeń płynących z cyberprzestępczości.