O NuRR é um produto que pretende interceptar e capturar as chaves de criptografia no início do processo de criptografia de um ransomware. Com as chaves capturadas, qualquer criptografia bem-sucedida pode ser descriptografada rapidamente sem pagar resgate.
Essas alegações foram testadas nas instalações DreamPort da MISI em Columbia, MD. MISI é uma organização sem fins lucrativos cujo objetivo é impulsionar a descoberta, educação, colaboração e inovação em segurança cibernética. A instalação do DreamPort foi criada em parceria com o US Cyber Command (USCYBERCOM), mas não pertence nem é operada pelo governo. Um dos principais pilares da operação do MiSi é fornecer validação independente de reivindicações de produtos para o governo.
O NuRR (Nubeva Ransomware Reversal) foi desenvolvido pela Nubeva, com sede em San Jose, Califórnia. A tecnologia envolve um pequeno agente operando em segundo plano em cada endpoint. É ativado automaticamente pelos primeiros sinais de criptografia anômala ou em massa. Ele escuta o processo e captura e extrai as chaves de criptografia. Essas chaves podem ser usadas para descriptografar quaisquer arquivos criptografados com sucesso pelo ransomware.
Vale a pena notar que o NuRR não é um sistema de prevenção de ransomware. As empresas ainda exigem prevenção contra ransomware; mas o NuRR pode ser considerado uma solução à prova de falhas para quando a prevenção falha.
As alegações foram testadas no DreamPort durante um período de quatro semanas. Variantes populares de ransomware foram detonadas em endpoints do Windows com o NuRR instalado (99% do ransomware é executado em um sistema operacional Windows). A Nubeva não teve nenhuma relação ou ligação com a MiSi durante esse processo.
O objetivo principal do teste era analisar a capacidade do NuRR de capturar chaves criptográficas de ransomware e testar se os descriptografadores do Nubeva poderiam restaurar os dados criptografados. As variantes de ransomware usadas neste teste incluíram Lockbit 3, Blackcat/ALPHV, CL0P, PLAY, Black Basta, Ragnar Locker, Conti, REvil e outros, representando uma alta porcentagem de ataques reais no ano passado.
Os resultados dos testes foram disponibilizados em julho de 2023 (resumo). O NuRR teve sucesso em todos os 17 testes do MISI, com zero falhas. Demonstrou 100% de sucesso na captura de chaves. A MISI também observou que o produto é simples e seguro: é “trivial de implementar e usar para um engenheiro júnior” e “não apresentou instabilidades de sistema observadas durante o teste. O NURR não abre portas de rede ou introduz vulnerabilidades em um endpoint conforme medido pelo Nmap e BitDefender Total Security.”
O relatório da MISI conclui: “A MISI está entusiasmada com este produto e acredita que ele é uma promessa real. A descriptografia é indiscutivelmente um dos meios mais rápidos e com menor perda de dados para recuperar dados de um ataque de ransomware e, como tal, representa uma nova camada potencial de defesa. Dados os resultados desses testes e a simplicidade da solução de descriptografia do NuRR, sentimos que o NuRR representa uma rede de segurança potencial muito real a ser considerada pelas organizações.”
“Sabíamos que obter a validação de terceiros era crucial para provar a viabilidade de nossa tecnologia para um público mais amplo. Com essa validação, temos provas para apoiar nossas reivindicações”, disse Steve Perkins, CMO e chefe de produto da Nubeva. Cibersegurança Notícias. “Podemos ajudar as organizações. Podemos ajudar as pessoas. Podemos descriptografar o ransomware.”
: