El ransomware Zeppelin dejó a muchas víctimas sin pagar con datos encriptados. Ahora hay esperanza, porque la Unidad 221B ha descubierto un método para descifrar la clave. Es todo un poco tedioso, pero vale la pena.
Recién en agosto de este año la CISA estadounidense (Agencia de Seguridad de Infraestructura y Ciberseguridad) emitió una advertencia sobre el ransomware Zeppelin. Se explicó que el El ransomware Zeppelin es un derivado de la familia de malware Vega basada en Delphi y funciona como ransomware como servicio (RaaS).
Zeppelin Ransomware como servicio (RaaS)
Desde 2019 hasta al menos junio de 2022, los actores utilizaron este malware para atacar a una amplia gama de empresas y organizaciones con infraestructura crítica, incluidos contratistas de defensa, instituciones educativas, fabricantes, empresas de tecnología y, en especial, organizaciones de la industria médica y de la salud. Se sabe que los actores de Zeppelin exigen pagos de rescate en Bitcoin, con cantidades iniciales que van desde varios miles de dólares hasta más de un millón de dólares.
El FBI les dice a las víctimas que no paguen
Según un informe de Brian Krebs una víctima estaba a punto de pagar cuando recibió un aviso del FBI de que una empresa había encontrado una manera de descifrar los datos. Los investigadores de la Unidad 221B han encontrado y explotado una vulnerabilidad en el ransomware Zeppelin. Aunque Zeppelin utiliza tres formas diferentes de cifrar archivos, el ataque siempre comienza con una clave pública RSA-512 de corta duración que inicia todo.
El truco de los investigadores es recuperar la clave RSA-512 del registro, descifrarla y usarla para obtener la clave AES de 256 bits que en última instancia cifró los archivos. La unidad 221B finalmente construyó un CD en vivo de Linux que las víctimas podían ejecutar en sistemas infectados para extraer la clave RSA-512.
800 CPU descifran la clave RSA
Luego, la clave se cargó en un grupo de 800 CPU donadas por el gigante de alojamiento Digital Ocean. Luego, el clúster descifró la clave RSA. La empresa también utilizó la misma infraestructura donada para ayudar a las víctimas a descifrar sus datos con las claves recuperadas.
Puede encontrar una descripción técnica de cómo la Unidad 211B descifra la clave en su blog.
Más en Blog.Unit221B.com