Ajedrez con algoritmos: cómo el RTX 4090 resuelve cifrados de ransomware

El investigador de ciberseguridad Yohanes Nugroho desarrolló una herramienta para descifrar archivos cifrados por la versión para Linux del ransomware Akira. Esta herramienta utiliza la potencia de los procesadores gráficos para encontrar claves y recuperar datos de forma gratuita.

Nugroho comenzó a trabajar en el descifrador después de recibir una solicitud de ayuda de un amigo. Creyó que podría recuperar los archivos en una semana, ya que el algoritmo de Akira genera claves basadas en marcas de tiempo. Sin embargo, el proceso resultó ser más complicado de lo esperado y tomó tres semanas. En total, el investigador gastó $1200 en el alquiler de procesadores gráficos antes de lograr el éxito.

A diferencia de las herramientas de descifrado clásicas, donde el usuario debe ingresar una clave, el programa de Nugroho utiliza un método de fuerza bruta. Akira crea una clave única para cada archivo utilizando la marca de tiempo actual en nanosegundos. Este parámetro se convierte en la base para generar la clave, que luego se somete a 1500 iteraciones de hashing con SHA-256.

Dado que Akira aplica cuatro marcas de tiempo diferentes con alta precisión, la cantidad de combinaciones posibles es enorme, lo que hace que el ataque de fuerza bruta sea una tarea difícil. Además, el proceso de cifrado utiliza multiprocesamiento, lo que dificulta determinar el tiempo exacto en que un archivo fue cifrado.

Para reducir el rango de búsqueda, Nugroho analizó los registros del sistema proporcionados por su amigo. El análisis de los metadatos de los archivos y las marcas de tiempo permitió crear perfiles predecibles de cifrado. Las primeras pruebas con una tarjeta gráfica RTX 3060 mostraron un rendimiento insuficiente, alcanzando solo 60 millones de intentos de descifrado por segundo. La actualización a una RTX 3090 tampoco proporcionó una mejora significativa.

Finalmente, el problema se resolvió mediante los servicios en la nube de RunPod y Vast.ai, que proporcionaron la potencia computacional necesaria. Para lograr descifrar la clave con éxito, el investigador utilizó dieciséis tarjetas gráficas RTX 4090, completando la búsqueda de la clave en aproximadamente 10 horas. Sin embargo, cuando hay un gran número de archivos cifrados, este proceso puede tardar varios días.

Según Nugroho, su código aún puede optimizarse y los especialistas en GPU probablemente podrán lograr una mayor eficiencia. El código fuente del descifrador se encuentra disponible en GitHub con instrucciones detalladas para la recuperación de datos.

Se recomienda crear copias de seguridad de los archivos cifrados antes de usar la herramienta, ya que los intentos de descifrado con claves incorrectas pueden provocar daños en los archivos.