Zeppelin ransomware: Το τέλος μιας ρωσικής απειλής

Ερευνητές ασφαλείας κατάφεραν να βρουν ευάλωτα σημεία στον μηχανισμό κρυπτογράφησης του Zeppelin ransomware, έτσι ώστε να τα εκμεταλλευτούν και να δημιουργήσουν ένα “αντικλείδι” με σκοπό να βοηθήσουν τις εταιρείες-θύματα να ανακτήσουν τα αρχεία τους, δίχως να πληρώσουν τα ζητούμενα λύτρα.
Υπεύθυνη για το tool αποκρυπτογράφησης  είναι η εταιρεία συμβούλων cyber security, Unit221b, εταιρεία η οποία ασχολείται με την ψηφιακή εγκληματολογία τόσο ποινικής όσο και εθνικής ασφάλειας. Η Unit221b είχε έτοιμη μια έκθεση αναφοράς από τις αρχές του 2020, αλλά δε τη δημοσίευσαν κατευθείαν, για να κρατήσουν μυστικά τα ευρήματα τους από τους δημιουργούς του ransomware.

Δείτε επείσης : Hive ransomware: Απέσπασε πάνω από 100 εκατομμύρια

Το “σπάσιμο” του Zeppelin ransomware

Αυτό που έδωσε μεγαλύτερο κίνητρο στον James Lance, ιδρυτή της Unit221b, για να “σπάσει” το Zeppelin, ήταν ο στόχος των θυμάτων. Θύματα επιθέσεων ήταν φιλανθρωπικές οργανώσεις, ΜΚΟ, αλλά ακόμα και καταφύγια αστέγων. Η πρώτη αναγνώριση έγινε όταν η Unit221b, εντόπισε ένα πιθανό ευάλωτο σημείο στον κώδικα του Zeppelin, διαβάζοντας μια αναφορά της Blackberry Cylance από το 2019.

Οι ερευνητές παρατήρησαν ότι το Zeppelin χρησιμοποιούσε ένα προσωρινό RSA–512 κλειδί για να κρυπτογραφήσει το AES το οποίο μπλόκαρε τη πρόσβαση στα δεδομένα. Το AES κλειδί αποθηκευόταν στο footer κάθε κρυπτογραφημένου αρχείου, έτσι εάν κατάφερναν να “σπάσουν” το RSA, θα μπορούσαν στη συνέχεια να αποκρυπτογραφήσουν τα αρχεία χωρίς να χρειαστεί να πληρωθούν οι δράστες.

Η Unit221b, διαπίστωσε πως το κλειδί παρέμενε στο registry του συστήματος για περίπου 5 λεπτά αφότου η κρυπτογράφηση είχε ολοκληρωθεί. Για την ανάκτηση του χρειάστηκε να γίνει registry carving στο RAW file system, στο registry.exe και απευθείας στο NTUSER.Dat.
Τα αποτελέσματα εμφανίστηκαν με τη μορφή RC4 κρυπτογράφησης ενώ στη συνέχεια της διαδικασίας το μόνο που έμεινε ήταν ένα RSA-2048 encryption layer. Για να λυθεί αυτό το τελευταίο εμπόδιο η Unit221b χρησιμοποίησε 20 servers και 800 επεξεργαστές στο σύνολο. Έξι ώρες αργότερα οι αναλυτές μπορούσαν να επιστρέψουν και να ανακτήσουν το AES κλειδί.
Δείτε επείσης : Windows zero day εκμεταλλεύεται για να ρίξει λογισμικό Qbot

Διαθεσιμότητα κλειδιού
Ο ιδρυτής, James Lance, αποφάσισε να δημοσιοποιήσει όλες τις λεπτομέρειες που αφορούν το Zeppelin ransomware μιας και οι επιθέσεις είχαν μειωθεί αισθητά τους τελευταίους μήνες. Το κλειδί ανάφερε πως είναι διαθέσιμο κατόπιν αιτήματος των θυμάτων. Όσον αφορά τη διαθεσιμότητα του στο κοινό, οι αναλυτές αναφέρουν ότι το τεράστιο αυτό κόστος της υπολογιστικής ισχύς που χρειάζεται για να γίνει η ανάκτηση, δεν το καθιστά καλή επιλογή για ένα δωρεάν εργαλείο που θα μπορούσε να χρησιμοποιήσει μια εταιρεία.

SecNewsTV

23.6K subscribers

Περισσότερα... Subscribe!

Zeppelin ransomware: Το ιστορικό

To Zeppelin, γνωστό και ως “Buran” είναι ένα ransomware βασισμένο σε γλώσσα Deplhi, ρωσικής προέλευσης το οποίο πρωτοεμφανίστηκε στα τέλη του 2019 ως ένα σχετικά ιδιωτικό project που λειτουργούσε σε μικρό κύκλο συνεργασιών. Ο μέσος όρος χρημάτων που εκβίαζαν τα θύματα για να τους παρέχουν, ανερχόταν στα 50.000 δολάρια. Το 2021 ξανά εμφανίστηκαν στο προσκήνιο, έχοντας κάνει μια πολύ μεγάλη παύση, αλλά αυτή τη φορά επέστρεψαν με μια ανανεωμένη έκδοση η οποία πρόσφερε πολλά προνόμια στους συνεργάτες της.

Τέλος καλοκαιριού του ’22, το FBI δημοσίευσε μια ειδοποίηση σχετικά με το Zeppelin ransomware, προειδοποιώντας ότι οι χειριστές του, ακολουθούσαν πλέον την τακτική της πολλαπλής κρυπτογράφησης. Η περίεργη αυτή τακτική δημιουργούσε πολλαπλά αρχεία αναγνωριστικών, με ακόμα περισσότερα επίπεδα κρυπτογράφησης, απαιτώντας τόσα πολλά κλειδιά για την αποκρυπτογράφηση, με αποτέλεσμα να υπάρχουν πολλά σφάλματα ακόμα και μετά την πληρωμή των λύτρων.


Πηγή : bleepingcomputer.com