Надія на жертв: дешифратор програм-вимагачів Zeppelin

20. Листопад 2022
| Без коментарів
Надія на жертв: дешифратор програм-вимагачів Zeppelin

Поділіться публікацією

Програмне забезпечення-вимагач Zeppelin залишило багато неоплачених жертв із зашифрованими даними. Тепер є надія, тому що Unit 221B знайшов спосіб зламати ключ. Це все трохи нудно, але воно того варте.    

Ще в серпні цього року Американське агентство CISA (Cybersecurity and Infrastructure Security Agency) попередило про програму-вимагач Zeppelin.. Пояснили, що в Програмне забезпечення-вимагач Zeppelin є похідним від сімейства зловмисних програм Vega на базі Delphi та працює як програмне забезпечення-вимагач як послуга (RaaS).

цепелін Програмне забезпечення-вимагач як послуга (RaaS)

З 2019 року принаймні до червня 2022 року зловмисники використовували це зловмисне програмне забезпечення для націлювання на широкий спектр підприємств і організацій з критичною інфраструктурою, включаючи оборонних підрядників, навчальні заклади, виробників, технологічні компанії та особливо організації в галузі охорони здоров’я та медицині. Відомо, що актори Zeppelin вимагали викуп у біткойнах, початкові суми коливалися від кількох тисяч до понад мільйона доларів.

ФБР каже жертвам не платити

Згідно з повідомленням Брайан Кребс жертва збиралася заплатити, коли вони отримали підказку від ФБР, що компанія знайшла спосіб розшифрувати дані. Дослідники підрозділу 221B знайшли та використали вразливість у програмі-вимагачі Zeppelin. Хоча Zeppelin використовує три різні способи шифрування файлів, атака завжди починається з короткочасного публічного ключа RSA-512, який ініціює все.

Хитрість дослідників полягає в тому, щоб відновити ключ RSA-512 з реєстру, зламати його та використати для отримання 256-бітного ключа AES, який остаточно зашифрував файли. Unit 221B зрештою створив живий компакт-диск Linux, який жертви могли запускати на заражених системах для вилучення ключа RSA-512.

800 ЦП зламують ключ RSA

Потім ключ було завантажено в кластер із 800 процесорів, наданих хостингом-гігантом Digital Ocean. Потім кластер зламав ключ RSA. Компанія також використовувала ту саму подаровану інфраструктуру, щоб допомогти жертвам розшифрувати свої дані за допомогою відновлених ключів.

Технічний опис того, як Unit 211B зламує ключ, можна знайти в їх блозі.

Більше на Blog.Unit221B.com

 

Статті по темі

Платформа кібербезпеки із захистом середовищ 5G

Спеціаліст з кібербезпеки Trend Micro представляє свій платформний підхід до захисту постійно розширюваної поверхні атак організацій, включаючи безпеку ➡ Читати далі

Маніпулювання даними, недооцінена небезпека

Щороку Всесвітній день резервного копіювання 31 березня є нагадуванням про важливість актуальних і легкодоступних резервних копій. ➡ Читати далі

Принтери як загроза безпеці

Корпоративні парки принтерів дедалі більше стають сліпою плямою та створюють величезні проблеми для їх ефективності та безпеки. ➡ Читати далі

ІТ-безпека: основу для LockBit 4.0 знешкоджено

Trend Micro, працюючи з Національним агентством зі злочинності Великобританії (NCA), проаналізували неопубліковану версію, яка перебувала в розробці. ➡ Читати далі

Закон про штучний інтелект та його наслідки для захисту даних

Завдяки Закону про штучний інтелект, перший закон про штучний інтелект був затверджений і дає виробникам програм ШІ від шести місяців до ➡ Читати далі

MDR та XDR через Google Workspace

У кафе, терміналі аеропорту чи домашньому офісі – співробітники працюють у багатьох місцях. Однак цей розвиток також несе проблеми ➡ Читати далі

Операційні системи Windows: під загрозою майже два мільйони комп’ютерів

Оновлень для операційних систем Windows 7 і 8 більше немає. Це означає відкриті прогалини в безпеці і, отже, варто звернути увагу ➡ Читати далі

AI на Enterprise Storage бореться з програмами-вимагачами в реальному часі

NetApp є однією з перших, хто інтегрував штучний інтелект (AI) і машинне навчання (ML) безпосередньо в основне сховище для боротьби з програмами-вимагачами. ➡ Читати далі

PR-повідомлення
, , , , ,