Un développeur casse en quelques heures le chiffrement du ransomware Akira avec des GPU cloud

Un programmeur indonésien a développé un outil pour déchiffrer les fichiers affectés par le ransomware Akira, en exploitant une approche mathématique novatrice. Son travail a transformé un problème complexe en une tâche plus accessible et il invite désormais les experts à optimiser sa solution.

Akira est un ransomware actif depuis 2023, proposé en ransomware-as-a-service pour les cybercriminels. Il a déjà ciblé plus de 250 organisations et rapporté environ 42 millions d’euros à ses développeurs.

Yohanes Nugroho, programmeur indonésien, a conçu un décrypteur pour Akira, en utilisant la puissance des GPU modernes pour tester des millions de combinaisons de clés rapidement. Il s’est intéressé au ransomware après qu’un ami lui ait demandé de l’aide sur une version Linux d’Akira.

Le ransomware génère ses clés de chiffrement en utilisant l’heure comme graine, avec une précision au nanoseconde, puis les hache à travers 1 500 tours de SHA-256 avant de les chiffrer avec RSA-4096. Cette méthode rend le décryptage extrêmement difficile.

Grâce aux fichiers journaux fournis par son ami, Nugroho a pu estimer l’heure d’exécution du ransomware, ce qui a permis d’affiner son approche. Il a d’abord testé une GeForce RTX 3060, qui ne pouvait traiter que 60 millions de combinaisons par seconde. Une RTX 3090 n’a pas apporté de gains significatifs, l’amenant à louer du temps de calcul GPU sur RunPod et Vast.ai.

Avec 16 RTX 4090 dans le cloud, il a pu compléter un benchmark en 10 heures. Il estime que la RTX 4090, grâce à ses nombreux cœurs CUDA et son coût de location réduit, est particulièrement adaptée à cette tâche.

Son code, désormais open source, est disponible pour d’autres chercheurs, avec un appel aux experts en GPU pour l’optimiser. Actuellement, son outil peut atteindre 1,5 milliard d’opérations par seconde sur une RTX 3090 pour l’algorithme KCipher2.