Desenvolvedor quebra criptografia do ransomware Akira em horas usando GPUs na nuvem
Akira é uma ameaça perigosa de ransomware multiplataforma que está ativa desde 2023. Disponível como um produto de ransomware como serviço para hackers iniciantes e cibercriminosos, o malware já atacou mais de 250 organizações e gerou até $42 milhões para seus desenvolvedores desconhecidos.
Yohanes Nugroho, um programador indonésio que trabalha em projetos de codificação pessoais em seu tempo livre, desenvolveu um “descriptografador” para o ransomware Akira. A ferramenta emprega uma abordagem inovadora para resolver um problema matemático complexo, explorando o alto paralelismo das GPUs modernas para testar milhões de combinações de chaves em um curto período de tempo.
Nugroho documentou sua jornada analisando o código de criptografia de arquivos do Akira em seu site pessoal. Ele se envolveu com uma variante do Akira para Linux depois que um amigo pediu ajuda. Ao examinar o código, Nugroho descobriu que o ransomware usa o horário atual como semente para gerar chaves criptográficas seguras.
O processo de criptografia gera dinamicamente chaves únicas para cada arquivo, utilizando quatro valores de tempo distintos com “precisão de nanossegundos”. Essas chaves são então submetidas a 1.500 rodadas da função de hash SHA-256. Por fim, as chaves são criptografadas usando o algoritmo RSA-4096 e anexadas ao final de cada arquivo criptografado.
A extrema precisão da criptografia do Akira torna o processo de descriptografia complexo e demorado, pois o malware pode gerar mais de um bilhão de valores possíveis por segundo. No entanto, o trabalho de Nugroho foi facilitado graças aos arquivos de log fornecidos por seu amigo. Com esses dados, ele conseguiu determinar quando o ransomware foi executado, permitindo que ele preparasse benchmarks de criptografia para estimar quanto tempo o descriptografador levaria.
Inicialmente, Nugroho tentou executar um ataque de força bruta em uma GeForce RTX 3060, mas a GPU era muito lenta, processando apenas 60 milhões de combinações por segundo. Atualizar para uma GPU mais potente (RTX 3090) não trouxe uma melhora significativa na velocidade, então ele decidiu alugar tempo de GPU por meio dos serviços de nuvem RunPod e Vast.ai. Utilizando 16 GPUs RTX 4090 na nuvem, Nugroho conseguiu concluir o processo de benchmark em pouco mais de 10 horas.
Nugroho observa que a GeForce RTX 4090 seria uma excelente escolha para descriptografar arquivos comprometidos pelo ransomware Akira, devido ao seu alto número de núcleos CUDA e ao custo relativamente baixo de aluguel. O desenvolvedor disponibilizou seu código sob uma licença de código aberto, incentivando “especialistas em GPU” a explorar mais oportunidades de otimização. Na sua forma atual, o descriptografador do Akira pode atingir cerca de 1,5 bilhão de criptografias por segundo para KCipher2 em uma GeForce RTX 3090.
