Dos investigadores franceses han descubierto una vulnerabilidad grave en una nueva pieza de ransomware, la que ha permitido que se rompan las claves utilizadas por el malware para cifrar los archivos de las víctimas.

CryptoLocker es conocido como el suceso de 2013. Mientras que abundan las historias sobre sistemas criptográficos vulnerados, hasta ahora nadie ha sido capaz de encontrar una seria debilidad en esta pieza de ransomware. Las víctimas de CryptoLocker que no tienen una copia de seguridad se ven obligados, ya sea a pagar el rescate o a considerar sus archivos perdidos para siempre.

Como era de esperarse, el éxito de CryptoLocker ha sido observado por otros delincuentes y otras piezas de ransomware están tratando de utilizar el mismo método para obtener dinero de sus víctimas. Afortunadamente, no todos ellos tienen las habilidades criptográficas de los desarrolladores de CryptoLocker.

Fabien Perigaud y Cedric Pernet, dos investigadores que trabajan para Airbus en Francia, encontraron la computadora de un amigo infectado con 'BitCrypt', un nuevo tipo de ransomware. Éste cifraba todos los archivos importantes en el equipo mientras aparecía un mensaje que apunta a un sitio web donde la "aplicación de recuperación" podría ser comprada por 0.4 Bitcoins (BTC). Cuando se accede a la página a través de un dominio .onion, el precio aumentará a 0.5BTC.

Al examinar la muestra de malware, los investigadores encontraron el uso de cifrado RSA de 1024 bits. Mientras este tipo de cifrado puede ser manipulable por las agencias como la NSA,sigue estando más allá de las capacidades de los investigadores ordinarios. En cualquier caso, el costo de romper la llave de cifrado excedería el rescate exigido por el malware.

Sin embargo, resulta que los autores de malware no prestaron atención durante las clases de criptografía. Si bien la intención de utilizar una clave de 128 bytes (o 1024 bits), en realidad utilizan una clave de 128 dígitos decimales, equivalente a 426 bits aproximadamente. Claves de esta longitud fueron rotas por primera vez hace 20 años; en estos días se pueden romper con una PC estándar en un día.

Como resultado, los investigadores fueron capaces de restaurar todos los archivos cifrados. Pueden encontrar más detalles en el blog de Cassidian seguridad cibernética, donde también se publicó un script Python disponible para romper claves BitCrypt.

Por supuesto, no hay que esperar que todos los autores de ransomware tengan este escaso conocimiento sobre cirptografía, es mejor mantenerse alerta ante ataques informáticos de cualquier tipo.