Mục lục
Ransomware Akira là một mối đe dọa nguy hiểm, hoạt động đa nền tảng và đã xuất hiện từ năm 2023. Được cung cấp dưới dạng dịch vụ ransomware-as-a-service, Akira đã tấn công hơn 250 tổ chức và mang lại khoản tiền lên đến 42 triệu USD cho các nhà phát triển ẩn danh. Tuy nhiên, mới đây, một lập trình viên người Indonesia đã tìm ra cách phá mã hóa ransomware Akira, mở ra hy vọng cho nhiều nạn nhân bị tấn công bởi mã độc này.
Cách lập trình viên phá mã hóa ransomware Akira
Yohanes Nugroho, một lập trình viên Indonesia chuyên nghiên cứu dự án cá nhân, đã phát triển một công cụ giải mã Akira bằng cách khai thác sức mạnh xử lý song song của GPU hiện đại. Công cụ này giúp thử nghiệm hàng triệu tổ hợp khóa mã trong thời gian cực kỳ ngắn, từ đó tìm ra cách giải mã dữ liệu bị khóa bởi ransomware.
Nugroho đã bắt đầu nghiên cứu mã độc Akira sau khi một người bạn nhờ giúp đỡ. Khi phân tích mã nguồn, anh phát hiện rằng ransomware này sử dụng thời gian hiện tại làm nguồn tạo khóa mã hóa, tạo ra các khóa mã độc nhất cho mỗi tệp bằng cách sử dụng bốn dấu thời gian khác nhau với độ chính xác đến từng nano-giây. Những khóa này sau đó trải qua 1.500 vòng băm bằng thuật toán SHA-256 trước khi được mã hóa bằng RSA-4096 và đính kèm vào mỗi tệp bị mã hóa.
Do sự chính xác cực cao trong thuật toán mã hóa của Akira, việc giải mã các tệp bị tấn công trở nên vô cùng khó khăn. Tuy nhiên, nhờ vào các tệp nhật ký mà người bạn cung cấp, Nugroho có thể xác định thời điểm ransomware được thực thi, giúp anh thiết lập các thử nghiệm mã hóa để ước tính thời gian cần thiết để giải mã dữ liệu.
Sử dụng GPU đám mây để tăng tốc giải mã
Ban đầu, Nugroho thử nghiệm tấn công brute-force trên một GPU GeForce RTX 3060, nhưng hiệu suất chỉ đạt khoảng 60 triệu tổ hợp mỗi giây, quá chậm để giải mã dữ liệu trong thời gian hợp lý. Ngay cả khi nâng cấp lên RTX 3090, tốc độ vẫn không đủ nhanh. Để khắc phục vấn đề này, anh quyết định thuê GPU đám mây thông qua RunPod và Vast.ai, sử dụng 16 GPU RTX 4090 để tăng tốc quá trình tính toán.
Với sức mạnh xử lý song song của 16 GPU RTX 4090, Nugroho có thể hoàn tất quá trình thử nghiệm chỉ trong hơn 10 giờ, một bước tiến đột phá trong việc phá mã hóa ransomware Akira. Nhờ lượng lớn lõi CUDA và giá thuê tương đối thấp, RTX 4090 trở thành lựa chọn tối ưu cho việc giải mã dữ liệu bị mã hóa bởi ransomware Akira.
Ngoài ra, công cụ giải mã của Nugroho có thể đạt đến 1,5 tỷ phép mã hóa mỗi giây với thuật toán KCipher2 trên RTX 3090. Điều này giúp giảm đáng kể thời gian cần thiết để phá mã các tập tin bị mã hóa, mang lại hy vọng cho những tổ chức và cá nhân bị ransomware Akira tấn công.
Ý nghĩa của phát hiện này đối với an ninh mạng
Khả năng phá mã hóa ransomware Akira của Nugroho không chỉ là một thành tựu cá nhân mà còn có ý nghĩa quan trọng đối với ngành an ninh mạng. Các tổ chức và cá nhân bị tấn công bởi ransomware có thể tận dụng công cụ này để khôi phục dữ liệu thay vì trả tiền chuộc cho tội phạm mạng. Đồng thời, phát hiện này cũng làm nổi bật tầm quan trọng của GPU trong lĩnh vực bảo mật và mã hóa, đặc biệt là trong việc xử lý các bài toán phức tạp với tốc độ cao.
Nugroho đã công khai mã nguồn của công cụ giải mã dưới dạng mã nguồn mở, khuyến khích các chuyên gia GPU khác tham gia tối ưu hóa. Nếu được phát triển thêm, công nghệ này có thể trở thành một phương pháp tiêu chuẩn để đối phó với ransomware, giúp hạn chế thiệt hại do các cuộc tấn công mã hóa gây ra.
Tác động và triển vọng trong cuộc chiến chống ransomware
Việc phá mã hóa ransomware Akira trong thời gian ngắn nhờ vào GPU đám mây là một bước đột phá quan trọng trong lĩnh vực an ninh mạng. Không chỉ giúp phục hồi dữ liệu bị mã hóa mà không cần trả tiền chuộc, phát hiện của Nugroho còn đặt ra câu hỏi về cách thức thiết kế thuật toán bảo mật trong tương lai. Khi GPU ngày càng mạnh mẽ, các phương pháp mã hóa dữ liệu cũng cần phải cải tiến để đảm bảo tính an toàn. Công cụ giải mã Akira không chỉ mang lại hy vọng cho các nạn nhân của ransomware mà còn đánh dấu một xu hướng mới trong việc sử dụng công nghệ để đối phó với các mối đe dọa an ninh mạng.