Hive ransomware: KISA diffonde un decryptor

L’autorità koreana per la sicurezza informatica lancia un eseguibile in gradi di aiutare le vittime di ransomware Hive, a ripristinare quanto perduto nei propri PC

La Korea Internet & Security Agency (KISA) sta distribuendo lo strumento di ripristino integrato per il ransomware Hive.

Il nuovo decryptor per le vittime di Hive

La notizia è stata data pochi giorni fa (il 28 giugno) direttamente sul sito ufficiale dell’ente garante della cyber sicurezza koreano. Il tool contenente l’eseguibile, distribuito direttamente per il download, viene accompagnato da un dettagliato manuale d’uso per l’utente di 12 pagine, in cui si spiegano i passaggi da affrontare per un’operazione di ripristino, post attacco ransomware dal gruppo Hive.

Il manuale del decryptor

KISA aggiunge che “questo strumento di recupero può ripristinare Hive ransomware dalla versione 1 alla versione 4”.

Prima era un paper universitario

La vicenda sembra ricollegarsi alla scoperta, del tutto teorica e accademica, di un gruppo di ricercatori della Corea del Sud che esposero a febbraio scorso un metodo per decrittografare Hive, liberando i file presi in ostaggio dal software ransomware.

All’epoca però il paper era considerato un lavoro del tutto accademico e poco applicabile nella reale pratica dello sviluppo di un decryptor, lasciando aperte una serie di perplessità oggettive.

Per decrittografare i file è richiesta almeno una delle due condizioni seguenti:  

  • Sono disponibili alcuni file originali corrispondenti ai file crittografati  
  • Molti file con firme note (.pdf, .xlsx, .hwp) devono essere parte dell’insieme dei file crittografati  

La precedente assenza, sui maggiori canali internazionali di sicurezza (es. NoMoreRansom), di un tool specifico per questo ransomware e il recente studio accademico, fanno pensare che si possa esser riusciti a sfruttare questi studi per sviluppare un decryptor funzionante in grado di aiutare le vittime che, evidentemente hanno bisogno del recupero in quanto sprovviste di backup utilizzabile.

Bisogna ricordare che uno strumento come questo aiuta a recuperare i files danneggiati dal ransomware, ma non è in grado in nessun modo di evitare la seconda fase estorsiva, ormai routine: la pubblicazione di quanto rubato, online.