Zeppelin ランサムウェアは、多くの無報酬の被害者に暗号化されたデータを残しました。 221B号機が鍵を解読する方法を発見したので、今は希望があります. 少し面倒ですが、それだけの価値はあります。
つい最近、今年のXNUMX月 アメリカの CISA (Cybersecurity and Infrastructure Security Agency) は、Zeppelin ランサムウェアについて警告を発しました. 説明されたのは、 Zeppelin ランサムウェアは、Delphi ベースの Vega マルウェア ファミリの派生物であり、サービスとしてのランサムウェア (RaaS) として動作します。
Zeppelin サービスとしてのランサムウェア(RaaS)
2019 年から少なくとも 2022 年 XNUMX 月まで、攻撃者はこのマルウェアを使用して、防衛請負業者、教育機関、製造業者、テクノロジー企業、特にヘルスケアおよび医療業界の組織など、重要なインフラストラクチャを持つ幅広い企業や組織を標的にしていました。 Zeppelin の攻撃者は、Bitcoin での身代金の支払いを要求することが知られており、最初の金額は数千ドルから XNUMX 万ドル以上に及びます。
FBIは被害者に支払いをしないように言います
の報告によると、 ブライアンクレブス ある企業がデータを解読する方法を見つけたという情報を FBI から受け取ったとき、被害者は支払いをしようとしていました。 Unit 221B の研究者は、Zeppelin ランサムウェアの脆弱性を発見して悪用しました。 Zeppelin はファイルを暗号化するために 512 つの異なる方法を使用しますが、攻撃は常に、すべてを開始する短命の公開 RSA-XNUMX キーから始まります。
研究者のトリックは、レジストリから RSA-512 キーを復元し、それをクラックして、最終的にファイルを暗号化する 256 ビット AES キーを取得するために使用することです。 Unit 221B は最終的に、被害者が感染したシステムで実行して RSA-512 キーを抽出できる Linux ライブ CD を作成しました。
800 個の CPU が RSA キーをクラックします
次に、巨大な Digital Ocean をホストしている 800 個の CPU のクラスターにキーが読み込まれました。 その後、クラスタは RSA キーをクラックしました。 同社はまた、寄付された同じインフラストラクチャを使用して、被害者が回復したキーでデータを復号化できるようにしました。
Unit 211B がどのように鍵を解読するかについての技術的な説明は、彼らのブログで見つけることができます。
詳しくは Blog.Unit221B.com をご覧ください