Nel mondo della cybersicurezza, il termine “attacco a forza bruta” evoca solitamente scenari negativi legati ad hacker malintenzionati. Tuttavia, questa tecnica, che consiste nel bombardare un sistema con innumerevoli combinazioni alla ricerca di quella corretta, può talvolta trasformarsi in un’arma a favore delle vittime. È quanto accaduto recentemente con Akira, un temuto ransomware che è stato decifrato in soli sette giorni grazie all’utilizzo di una singola scheda grafica RTX 4090. Un risultato sorprendente che dimostra come le stesse tecnologie utilizzate per attacchi informatici possano essere reimpiegate per neutralizzarli.
Un hacker solitario contro il ransomware di ultima generazione
La storia è stata riportata da e riguarda il lavoro di un esperto informatico noto come Tinyhack. Quest’ultimo ha documentato dettagliatamente il processo attraverso cui ha aiutato un’azienda a recuperare i propri dati dopo essere stata vittima di un attacco ransomware, senza cedere al ricatto economico degli aggressori. L’aspetto più sorprendente della vicenda è che questa operazione di decriptazione è stata realizzata utilizzando hardware consumer, seppur di fascia alta, come la NVIDIA RTX 4090.
Il nome “Akira” identifica in realtà una famiglia di ransomware, e già nel 2023 il team di ricerca di Avast aveva individuato vulnerabilità in alcune varianti, rilasciando anche uno strumento gratuito per contrastarle. Naturalmente, gli sviluppatori del malware hanno successivamente aggiornato il loro codice, ma le conoscenze acquisite nella lotta contro le precedenti versioni si sono rivelate comunque preziose.
La variante di Akira affrontata da Tinyhack utilizza i metodi di crittografia chacha8 e Kcipher2, algoritmi noti che generano chiavi di crittografia uniche per ogni file. Per rendere questi file virtualmente impossibili da decifrare senza pagare il riscatto, il ransomware utilizza quattro timestamp distinti, misurati in nanosecondi, come semi per generare le chiavi.
L’utilizzo dei timestamp rappresenta sia un punto di forza che una debolezza per la crittografia di Akira. Da un lato, questo approccio rende la decrittazione possibile solo se i file non sono stati modificati e mantengono ancora i loro timestamp originali. Dall’altro, questa dipendenza temporale crea una vulnerabilità sfruttabile: pur non potendo determinare con precisione assoluta il timestamp, è possibile avvicinarsi sufficientemente (in media entro 5 milioni di nanosecondi) per poi affidare il compito finale a una macchina capace di eseguire l’attacco a forza bruta.
Una soluzione tecnologica alla portata delle vittime
L’aspetto più entusiasmante dell’exploit realizzato da Tinyhack è che l’intera operazione è stata completata con una singola RTX 4090 in appena sette giorni per ottenere le chiavi. Sono state necessarie ulteriori tre settimane perché il cliente potesse recuperare completamente la propria macchina virtuale, ma senza dover pagare alcun riscatto.
Secondo le stime, l’impiego di più GPU potrebbe ridurre drasticamente i tempi: con 16 schede grafiche di questo tipo, il processo richiederebbe solamente 10 ore. Le implicazioni per il futuro sono particolarmente interessanti, soprattutto considerando l’arrivo delle nuove RTX serie 50, che possono offrire prestazioni ancora superiori per questo tipo di operazioni.
I limiti della soluzione e le prospettive future
, Tinyhack fornisce una dettagliata spiegazione di come sia riuscito in questo straordinario recupero, includendo link al codice completo su GitHub e a hash noti del ransomware Akira. Tuttavia, è fondamentale sottolineare che questa soluzione non è universalmente applicabile e richiede una buona dose di fortuna per funzionare.
Come evidenziato dallo stesso Tinyhack nella sua conclusione: “Probabilmente nel 99,9% dei casi in cui si subisce un attacco ransomware, non sarà possibile recuperare i dati senza la chiave. Ma se si è fortunati, a volte è possibile trovare una soluzione“. Queste parole ricordano che, nonostante i progressi nella lotta contro i ransomware, rimane sempre la strategia più efficace per proteggere i propri dati sensibili.