Hoffnung für Opfer: Entschlüsseler für Zeppelin-Ransomware

Hoffnung für Opfer: Entschlüsseler für Zeppelin-Ransomware

Beitrag teilen

Die Zeppelin-Ransomware hat viele Opfer die nicht gezahlt haben mit verschlüsselten Daten zurückgelassen. Nun gibt es Hoffnung, denn Unit 221B hat eine Methode zum Knacken des Schlüssel entdeckt. Das Ganze ist zwar etwas aufwendig, aber es lohnt sich.    

Noch im August dieses Jahres gab die amerikanische CISA (Cybersecurity and Infrastructure Security Agency) eine Warnung zur Zeppelin Ransomware heraus. Man erklärte, dass die Zeppelin-Ransomware ein Derivat der Delphi-basierten Vega-Malware-Familie ist und als Ransomware as a Service (RaaS) fungiert.

Anzeige

Zeppelin Ransomware as a Service (RaaS)

Von 2019 bis mindestens Juni 2022 haben Akteure diese Malware verwendet, um ein breites Spektrum von Unternehmen und Organisationen mit kritischer Infrastruktur anzugreifen, darunter Rüstungsunternehmen, Bildungseinrichtungen, Hersteller, Technologieunternehmen und insbesondere Organisationen in der Gesundheits- und Medizinbranche. Es ist bekannt, dass Zeppelin-Akteure Lösegeldzahlungen in Bitcoin verlangen, wobei die anfänglichen Beträge zwischen mehreren tausend Dollar und über einer Million Dollar liegen.

FBI informiert Opfer nicht zu zahlen

Laut einem Bericht von Brian Krebs wollte ein Opfer gerade bezahlen, als es einen Hinweis vom FBI erhielt, dass ein Unternehmen eine Möglichkeit zur Entschlüsselung der Daten gefunden hat. Die Forscher von Unit 221B haben eine Schwachstelle in der Zeppelin Ransomware gefunden und nutzen diese aus. Zeppelin nutze zwar drei verschiedene Arten zum Verschlüsseln von Dateien, aber am Anfang der Attacke steht immer ein kurzlebiger öffentlicher RSA-512-Schlüssel der alles einleitet.

Der Trick der Forscher besteht nun darin den RSA-512-Schlüssel aus der Registrierung wiederherzustellen, diesen zu knacken und damit dann  den 256-Bit-AES-Schlüssel zu erhalten, der letztendlich die Dateien verschlüsselt hat. Unit 221B baute schließlich eine Live-CD mit Linux, die Opfer auf infizierten Systemen ausführen konnten, um den RSA-512-Schlüssel zu extrahieren.

800 CPUs knacken den RSA-Schlüssel

Dann wurde der Schlüssel in einen Cluster von 800 CPUs geladen, der vom Hosting-Riesen Digital Ocean gespendet wurde. Der Cluster knackte dann den RSA-Schlüssel. Das Unternehmen nutzte dieselbe gespendete Infrastruktur auch, um den Opfern zu helfen, ihre Daten mit den wiederhergestellten Schlüsseln zu entschlüsseln.

Eine technische Darstellung, wie Unit 211B den Schlüssel knackt, findet sich auf deren Blog.

Mehr bei Blog.Unit221B.com

 

Passende Artikel zum Thema

Report: Vertrauenswürdige Windows Anwendungen missbraucht

In seinem neuen Active Adversary Report 2024 belegt Sophos den Wolf im Schafspelz: Cyberkriminelle setzten vermehrt auf vertrauenswürdige Windows-Anwendungen für ➡ Weiterlesen

XDR: Schutz von Daten in Atlassian-Cloud-Applikationen

Mit einer neuen XDR-Erweiterung kann Bitdefender nun auch Daten in Atlassian-Cloud-Applikationen schützen. Somit ist das Überwachen, Erkennen und eine Reaktion auf ➡ Weiterlesen

Ausblick 2025: Lösungen für veränderte Angriffsflächen durch KI, IoT & Co

Die Angriffsfläche von Unternehmen wird sich im Jahr 2025 unweigerlich weiter vergrößern. Die datengetriebene Beschleunigung, einschließlich der zunehmenden Integration von ➡ Weiterlesen

Cloud Rewind für Wiederaufbau nach einer Cyberattacke

Eine neue Lösung für Cyber Recovery und zum Rebuild cloudzentrierter IT-Infrastrukturen. Commvault Cloud Rewind mit neuen Funktionen zum Auffinden von ➡ Weiterlesen

Medusa-Ransomware-Gruppe betreibt offenen Opfer-Blog im Web

Auch Cyberkriminelle pflegen neben der direkten Kommunikation mit dem Opfer ihre Außendarstellung. Denn Reputation ist ein wichtiger Erfolgsfaktor für Ransomware-as-a-Service-Unternehmen. Der ➡ Weiterlesen

Lokale Backups: Rückkehr zum sicheren Hafen

Warum Unternehmen lokale Backup-Strategien wiederentdecken: In den letzten Jahren haben sich Unternehmen zunehmend in die Abhängigkeit von Cloud-Lösungen manövriert - ➡ Weiterlesen

Ransomware Helldown nutzt Schwachstellen in Zyxel Firewalls aus

Wie das BSI meldet, gab es vermehrt Angriffe mit der Ransomware Helldown auf Unternehmensnetzwerke über eine Schwachstelle in Zyxel Firewalls. ➡ Weiterlesen

Gefährliche Lücken: Studie zu ICS und OT Cybersecurity

Das SANS Institute hat die Ergebnisse seiner Studie 2024 State of ICS/OT Cybersecurity veröffentlicht. Sie zeigt erhebliche Fortschritte bei der ➡ Weiterlesen