O ransomware Zeppelin deixou muitas vítimas não pagas com dados criptografados. Agora há esperança, porque a Unidade 221B descobriu um método para quebrar a chave. É tudo um pouco trabalhoso, mas vale a pena.
Ainda em agosto deste ano a americana CISA (Cybersecurity and Infrastructure Security Agency) emitiu um alerta sobre o ransomware Zeppelin. Foi explicado que o Zeppelin ransomware é um derivado da família de malware Vega baseada em Delphi e opera como ransomware como serviço (RaaS).
Zeppelin Ransomware como serviço (RaaS)
De 2019 até pelo menos junho de 2022, os atores usaram esse malware para atingir uma ampla gama de empresas e organizações com infraestrutura crítica, incluindo empreiteiros de defesa, instituições educacionais, fabricantes, empresas de tecnologia e especialmente organizações nos setores médico e de saúde. Os atores do Zeppelin são conhecidos por exigir pagamentos de resgate em Bitcoin, com valores iniciais variando de vários milhares de dólares a mais de um milhão de dólares.
FBI diz às vítimas para não pagarem
De acordo com um relatório de Brian Krebs uma vítima estava prestes a pagar quando recebeu uma dica do FBI de que uma empresa havia encontrado uma maneira de descriptografar os dados. Os pesquisadores da Unidade 221B encontraram e exploraram uma vulnerabilidade no ransomware Zeppelin. Embora o Zeppelin use três maneiras diferentes de criptografar arquivos, o ataque sempre começa com uma chave RSA-512 pública de curta duração que inicia tudo.
O truque dos pesquisadores é recuperar a chave RSA-512 do registro, quebrá-la e usá-la para obter a chave AES de 256 bits que acabou criptografando os arquivos. A Unidade 221B acabou criando um CD ao vivo do Linux que as vítimas poderiam executar em sistemas infectados para extrair a chave RSA-512.
800 CPUs quebram a chave RSA
Em seguida, a chave foi carregada em um cluster de 800 CPUs doado pela hospedagem da gigante Digital Ocean. O cluster então quebrou a chave RSA. A empresa também usou a mesma infraestrutura doada para ajudar as vítimas a descriptografar seus dados com as chaves recuperadas.
Uma descrição técnica de como a Unidade 211B quebra a chave pode ser encontrada em seu blog.
Mais em Blog.Unit221B.com