Il ransomware Zeppelin ha lasciato molte vittime non pagate con dati crittografati. Ora c'è speranza, perché l'Unità 221B ha scoperto un metodo per decifrare la chiave. È tutto un po' noioso, ma ne vale la pena.
Non più tardi di agosto di quest'anno l'americana CISA (Cybersecurity and Infrastructure Security Agency) ha emesso un avviso sul ransomware Zeppelin. È stato spiegato che il Zeppelin ransomware è un derivato della famiglia di malware Vega basata su Delphi e opera come ransomware come servizio (RaaS).
Zeppelin Ransomware come servizio (RaaS)
Dal 2019 fino almeno a giugno 2022, gli attori hanno utilizzato questo malware per prendere di mira un'ampia gamma di aziende e organizzazioni con infrastrutture critiche, inclusi appaltatori della difesa, istituti scolastici, produttori, società tecnologiche e in particolare organizzazioni del settore sanitario e medico. È noto che gli attori di Zeppelin richiedono pagamenti di riscatto in Bitcoin, con importi iniziali che vanno da diverse migliaia di dollari a oltre un milione di dollari.
L'FBI dice alle vittime di non pagare
Secondo un rapporto di Brian Krebs una vittima stava per pagare quando ha ricevuto una soffiata dall'FBI secondo cui un'azienda aveva trovato un modo per decrittografare i dati. I ricercatori dell'Unità 221B hanno scoperto e sfruttato una vulnerabilità nel ransomware Zeppelin. Sebbene Zeppelin utilizzi tre modi diversi per crittografare i file, l'attacco inizia sempre con una chiave pubblica RSA-512 di breve durata che avvia tutto.
Il trucco dei ricercatori è recuperare la chiave RSA-512 dal registro, decifrarla e utilizzarla per ottenere la chiave AES a 256 bit che alla fine ha crittografato i file. L'unità 221B alla fine ha creato un CD live di Linux che le vittime potevano eseguire su sistemi infetti per estrarre la chiave RSA-512.
800 CPU craccano la chiave RSA
Quindi la chiave è stata caricata in un cluster di 800 CPU donate dal gigante di hosting Digital Ocean. Il cluster ha quindi violato la chiave RSA. La società ha anche utilizzato la stessa infrastruttura donata per aiutare le vittime a decrittografare i propri dati con le chiavi recuperate.
Una descrizione tecnica di come l'Unità 211B decifra la chiave può essere trovata sul loro blog.
Altro su Blog.Unit221B.com