zeppelin, airship, dirigible

Forskere knækkede koden til Zeppelin Ransomware-nøgler

Ransomwarefirma knækker koden

Peter er it-chef for en teknologiproducent, der blev ramt af en russisk ransomware-stamme kaldet “Zeppelin” i maj 2020. Han havde været på jobbet i mindre end seks måneder, og på grund af den måde, hans forgænger designede tingene på, blev virksomhedens sikkerhedskopier af data også krypteret af Zeppelin. Efter to uger med at standse deres afpressere var Peters chefer klar til at kapitulere og betale løsesumskravet. Så kom det usandsynlige opkald fra en FBI-agent. “Betal ikke,” sagde agenten. “Vi har fundet nogen, der kan knække krypteringen.”

Peter, der talte åbent om angrebet på betingelse af anonymitet, sagde, at FBI bad ham om at kontakte et cybersikkerhedskonsulentfirma i New Jersey kaldet UNIT221b, og specifikt dets grundlægger – Lance James. Zeppelin sprang ind på gerningsstedet i december 2019, men det varede ikke længe, før James opdagede flere sårbarheder i malwarens krypteringsrutiner, der gjorde det muligt for ham at brutalt tvinge dekrypteringsnøglerne i løbet af få timer ved hjælp af næsten 100 cloud-computerservere.

I et interview med KrebsOnSecurity sagde James, at Unit 221B var forsigtig med at reklamere for sin evne til at knække Zeppelin ransomware-nøgler, fordi den ikke ønskede at tippe hånden til Zeppelins skabere, som sandsynligvis ville ændre deres filkrypteringsmetode, hvis de opdagede, at den på en eller anden måde blev omgået.

Dette er ikke en tom bekymring. Der er flere eksempler på ransomware-grupper, der gør netop det, efter at sikkerhedsforskere har kæmpet for at finde sårbarheder i deres ransomware-kode.

“I det øjeblik du annoncerer, at du har en decryptor for noget ransomware, ændrer de koden,” sagde James.

Men han sagde, at Zeppelin-gruppen ser ud til at være stoppet med at sprede deres ransomware-kode gradvist i løbet af det sidste år, muligvis fordi Unit 221B’s henvisninger fra FBI lod dem stille og roligt hjælpe næsten to dusin offerorganisationer med at komme sig uden at betale deres afpressere.

I et blogindlæg, der blev offentliggjort i dag for at falde sammen med en Black Hat Dubai-tale om deres opdagelser, sagde James og medforfatter Joel Lathrop, at  de var motiverede til at knække Zeppelin, efter at ransomware-banden begyndte at angribe nonprofit- og velgørenhedsorganisationer.

“Det, der motiverede os mest under optakten til vores aktion, var målretningen mod hjemløse krisecentre, nonprofitorganisationer og velgørenhedsorganisationer,” skrev de to. “Disse meningsløse handlinger med at målrette dem, der ikke er i stand til at reagere, er motivationen for denne forskning, analyse, værktøjer og blogindlæg. En generel enhed 221B tommelfingerregel omkring vores kontorer er: Lad være med at [REDIGERE] med hjemløse eller syge! Det vil simpelthen udløse vores ADHD, og vi vil komme ind i den hyperfokustilstand, der er god, hvis du er en god fyr, men ikke så stor, hvis du er et *** hul.

Forskerne sagde, at deres pause kom, da de forstod, at mens Zeppelin brugte tre forskellige typer krypteringsnøgler til at kryptere filer, kunne de fortryde hele ordningen ved at factoring eller beregne kun en af dem: En flygtig RSA-512 offentlig nøgle, der genereres tilfældigt på hver maskine, den inficerer.

“Hvis vi kan gendanne RSA-512 Public Key fra registreringsdatabasen, kan vi knække den og få 256-bit AES-nøglen, der krypterer filerne!” skrev de. “Udfordringen var, at de sletter [offentlig nøgle], når filerne er fuldt krypteret. Hukommelsesanalyse gav os omkring 5 minutters vindue, efter at filer blev krypteret for at hente denne offentlige nøgle.”

Enhed 221B byggede i sidste ende en “Live CD” -version af Linux, som ofre kunne køre på inficerede systemer for at udtrække den RSA-512-nøgle. Derfra ville de indlæse nøglerne i en klynge på 800 CPU’er doneret af hostinggiganten Digital Ocean , som derefter ville begynde at knække dem. Virksomheden brugte også den samme donerede infrastruktur til at hjælpe ofre med at dekryptere deres data ved hjælp af de gendannede nøgler.

En typisk Zeppelin ransomware note:

billede-1-40

Jon er et andet taknemmeligt Zeppelin ransomware-offer, der blev hjulpet af Unit 221B’s dekrypteringsindsats. Ligesom Peter bad Jon om, at hans efternavn og hans arbejdsgivers navn blev udeladt fra historien, men han er ansvarlig for it for en mellemstor administreret tjenesteudbyder, der blev ramt af Zeppelin i juli 2020.

Angriberne, der savaged Jons firma, formåede at phishe legitimationsoplysninger og et multifaktorautentificeringstoken for nogle værktøjer, som virksomheden brugte til at støtte kunder, og kort efter havde de taget kontrol over serverne og sikkerhedskopierne til en sundhedsudbyderkunde.

Jon sagde, at hans firma var tilbageholdende med at betale en løsesum til dels, fordi det ikke var klart fra hackernes krav, om det løsesumbeløb, de krævede, ville give en nøgle til at låse op for alle systemer, og at det ville gøre det sikkert.

“De vil have dig til at låse dine data op med deres software, men du kan ikke stole på det,” sagde Jon. “Du vil bruge din egen software eller en anden, der har tillid til at gøre det.”

I august 2022 udsendte FBI og Cybersecurity & Infrastructure Security Agency (CISA) en fælles advarsel om Zeppelin og sagde, at FBI havde “observeret tilfælde, hvor Zeppelin-aktører udførte deres malware flere gange inden for et offers netværk, hvilket resulterede i oprettelsen af forskellige id’er eller filtypenavne for hvert tilfælde af et angreb; Dette resulterer i, at offeret har brug for flere unikke dekrypteringsnøgler.”

Rådgivningen siger, at Zeppelin har angrebet “en række virksomheder og kritiske infrastrukturorganisationer, herunder forsvarsentreprenører, uddannelsesinstitutioner, producenter, teknologivirksomheder og især organisationer inden for sundheds- og medicinalindustrien. Zeppelin-skuespillere har været kendt for at anmode om løsepengebetalinger i Bitcoin med indledende beløb fra flere tusinde dollars til over en million dollars.

FBI og CISA siger, at Zeppelin-aktørerne får adgang til offernetværk ved at udnytte svage RDP-legitimationsoplysninger (Remote Desktop Protocol), udnytte SonicWall firewall-sårbarheder og phishing-kampagner. Før implementering af Zeppelin ransomware, aktører bruger en til to uger på at kortlægge eller opregne offernetværket for at identificere dataenklaver, herunder cloud storage og netværksbackups, bemærker advarslen.

Jon sagde, at han følte sig så heldig efter at have oprettet forbindelse til James og hørt om deres dekrypteringsarbejde, at han legede med tanken om at købe en lotteriseddel den dag.

“Det plejer bare ikke at ske,” sagde Jon.

“Det er 100 procent som at vinde i lotteriet.”

Da Jons firma kom rundt for at dekryptere deres data, blev de tvunget af regulatorer til at bevise, at ingen patientdata var blevet exfiltreret fra deres systemer. Alt i alt tog det hans arbejdsgiver to måneder at komme sig helt over angrebet.

“Jeg føler helt sikkert, at jeg var dårligt forberedt på dette angreb,” sagde Jon. “En af de ting, jeg har lært af dette, er vigtigheden af at danne dit kerneteam og have de mennesker, der ved, hvad deres roller og ansvar er på forhånd. Det er også meget svært at prøve at undersøge nye leverandører, du aldrig har mødt før, og opbygge tillidsforhold til dem, når du har kunder hårdt nede nu, og de venter på, at du hjælper dem med at komme op igen.

Kilde: KrebsOnSecurity
Fotokredit: Pizabay

Om forfatteren

Scroll to Top