Le rançongiciel Zeppelin a laissé de nombreuses victimes impayées avec des données cryptées. Maintenant, il y a de l'espoir, car l'unité 221B a découvert une méthode pour déchiffrer la clé. Tout cela est un peu fastidieux, mais ça vaut le coup.
Pas plus tard qu'en août de cette année la CISA (Cybersecurity and Infrastructure Security Agency) américaine a émis un avertissement concernant le rançongiciel Zeppelin. Il a été expliqué que le Le rançongiciel Zeppelin est un dérivé de la famille de logiciels malveillants Vega basée sur Delphi et fonctionne comme un rançongiciel en tant que service (RaaS).
Zeppelin Ransomware en tant que service (RaaS)
De 2019 jusqu'en juin 2022 au moins, des acteurs ont utilisé ce logiciel malveillant pour cibler un large éventail d'entreprises et d'organisations dotées d'infrastructures critiques, notamment des sous-traitants de la défense, des établissements d'enseignement, des fabricants, des entreprises technologiques et en particulier des organisations des secteurs de la santé et de la médecine. Les acteurs de Zeppelin sont connus pour exiger des paiements de rançon en Bitcoin, avec des montants initiaux allant de plusieurs milliers de dollars à plus d'un million de dollars.
Le FBI dit aux victimes de ne pas payer
Selon un rapport de Brian Krebs une victime était sur le point de payer lorsqu'elle a reçu un tuyau du FBI selon lequel une entreprise avait trouvé un moyen de déchiffrer les données. Les chercheurs de l'unité 221B ont découvert et exploité une vulnérabilité dans le rançongiciel Zeppelin. Bien que Zeppelin utilise trois méthodes différentes pour chiffrer les fichiers, l'attaque commence toujours par une clé publique RSA-512 de courte durée qui déclenche tout.
L'astuce des chercheurs consiste à récupérer la clé RSA-512 du registre, à la craquer et à l'utiliser pour obtenir la clé AES 256 bits qui a finalement chiffré les fichiers. L'unité 221B a finalement construit un live CD Linux que les victimes pouvaient exécuter sur des systèmes infectés pour extraire la clé RSA-512.
800 CPU crackent la clé RSA
Ensuite, la clé a été chargée dans un cluster de 800 processeurs donnés par le géant de l'hébergement Digital Ocean. Le cluster a ensuite craqué la clé RSA. La société a également utilisé la même infrastructure donnée pour aider les victimes à déchiffrer leurs données avec les clés récupérées.
Une description technique de la façon dont l'unité 211B craque la clé peut être trouvée sur leur blog.
Plus sur Blog.Unit221B.com