Attacchi Ransomware: trovata la soluzione ai problemi causati da Rhysida

Nell’articolo dedicato ai problemi patiti da diverse sedi dell’Azienda Sanitaria della Regione Basilicata avevamo parlato dell’ipotesi della colpevolezza del gruppo hacker chiamato Rhysida, anche per la somiglianza con gli attacchi che nell’ottobre del 2023 avevano bloccato l’Ospedale di Verona. Il collettivo, secondo gli analisti, si autodefinirebbe come di educazione alla cybersicurezza poiché mettendo a nudo le vulnerabilità delle vittime le inviterebbe a coprire al meglio le falle di sistema. Ovviamente questa è una visione bonaria che nulla toglie alla pericolosità delle azioni di Rhysida, ammantandole di buone intenzioni, quando la verità è che dietro alla vendita di un ransomware a vari gruppi ed alla richiesta di riscatto per il rilascio di dati c’è sempre poca etica.

La buona notizia però sembrerebbe provenire dalla Corea del Sud, dove un gruppo di ricercatori avrebbe scoperto un modo per decriptare i file presi in ostaggio creando in seguito anche un apposito software. La particolarità di Rhysida è che una volta che si inseriscono nei sistemi iniziano generare una chiave di cifratura dei dati utilizzando serie di numeri casuali. I ricercatori della Korea Internet and Security Agency (KISA) avrebbero quindi capito, analizzando il sistema che criptava i file, che quest’ultimo presentava delle vulnerabilità capaci di comprendere a fondo il suo funzionamento e riuscire quindi a “liberare” i file senza corrispondere alcuna cifra agli hacker. Tale strumento è adesso disponibile sul sito di KISA a titolo gratuito insieme ad un manuale d’uso.

Le cattive notizie tuttavia permangono e sono sostanzialmente due. La prima è che altri ricercatori avevano scoperto tali falle nel funzionamento dell’encryptor di Rhysida ma avevano deciso di tenersele per loro per sfruttarle per il loro tornaconto. La seconda invece riguarda le versioni del ransomware sulle quali poter utilizzare il decryptor, ovvero quelle per Windows PE, mentre ancora non è stata trovata una soluzione per i payload ESXi e PowerShell. Nei prossimi mesi si potrà vedere se questa battaglia verrà vinta definitivamente o se il gruppo si riorganizzerà e ritornerà a diffondere il suo ransomware aggiornandolo in modo efficace.

 

Fonte: 1