Forscher nach sich ziehen Zeppelin-Ransomware-Schlüssel leise geknackt – Krebs on Security
[ad_1]
Peter ist IT-Manager im Kontext einem Technologiehersteller, jener von einem russischen Ransomware-Stamm namens „Zeppelin” im Mai 2020. Er war weniger denn sechs Monate im Job, und aufgrund jener Baustil seines Vorgängers wurden sogar die Datensicherungen des Unternehmens von Zeppelin verschlüsselt. Nachdem sie ihre Erpresser zwei Wochen weit hingehalten hatten, waren Peters Chefs in petto, zu kapitulieren und die Lösegeldforderung zu bezahlen. Dann kam jener unwahrscheinliche Telefongespräch eines FBI-Agenten. „Zahlen Sie nicht“, sagte jener Vertretung. „Wir nach sich ziehen jemanden gefunden, jener die Verschlüsselung knacken kann.“
Peter, jener ungeschützt reichlich den Überfall unter jener Fallunterscheidung jener Anonymität sprach, sagte, dies FBI habe ihm gesagt, er solle sich an eine Beratungsfirma zum Besten von Cybersicherheit in New Jersey namens Unit 221B wenden, insbesondere an deren Gründer – Lanze James. Zeppelin trat im Monat der Wintersonnenwende 2019 in die Crimeware-Szene ein, jedoch es dauerte nicht tief, solange bis James mehrere Schwachstellen in den Verschlüsselungsroutinen jener Schadsoftware entdeckte, die es ihm ermöglichten, die Entschlüsselungsschlüssel intrinsisch weniger Zahlungsfrist aufschieben mit sozusagen 100 Cloud-Computerservern zu erzwingen.
In einem Interview mit KrebsOnSecurity sagte James, Unit 221B sei vorsichtig damit, zum Besten von ihre Fähigkeit zu werben, Zeppelin-Ransomware-Schlüssel zu knacken, weil sie den Entwicklern von Zeppelin nicht die Hand verschenken wollte, die wahrscheinlich ihren Dateiverschlüsselungsansatz ändern würden, wenn sie feststellen würden, dass dies irgendwie jener Kern ist umgangen wird.
Dies ist keine leere Sorge. Es gibt mehrere Beispiele zum Besten von Ransomware-Gruppen, die genau dies tun, nachdem Sicherheitsforscher darüber gejubelt nach sich ziehen, Schwachstellen in ihrem Ransomware-Quelltext gefunden zu nach sich ziehen.
„In dem Moment, in dem Sie namhaft verschenken, dass Sie zusammensetzen Entschlüsseler zum Besten von eine Ransomware nach sich ziehen, ändern sie den Quelltext“, sagte James.
Freilich er sagte, die Zeppelin-Posten habe im vergangenen Jahr womöglich aufgehört, ihren Ransomware-Quelltext in kleinen Schritten zu verteilen, notfalls weil die Empfehlungen von Unit 221B vom FBI es ihnen ermöglichten, sozusagen zwei zwölf Stück Opferorganisationen zu helfen, sich zu rekonvaleszieren, ohne ihre Erpresser zu bezahlen.
In einem Blogbeitrag, jener heute zeitgleich mit einem Black Hat-Gespräch reichlich ihre Entdeckungen veröffentlicht wird, sprechen James und sein Cobalt-Dramatiker Joel Lathrop sagten, sie seien motiviert gewesen, Zeppelin zu knacken, nachdem die Ransomware-Begrenzung begonnen habe, gemeinnützige und Wohltätigkeitsorganisationen anzugreifen.
„Welches uns im Vorfeld unserer Operation am meisten motiviert hat, war die Ausrichtung hinaus Obdachlosenunterkünfte, gemeinnützige Organisationen und Wohltätigkeitsorganisationen“, schrieben die beiden. „Sie sinnlosen Angriffe hinaus diejenigen, die nicht reagieren können, sind die Motivation zum Besten von ebendiese Wissenschaft, Begutachtung, Tools und diesen Blogbeitrag. Eine allgemeine Faustregel jener Maß 221B in unseren Büros lautet: Tu es nicht [REDACTED] mit Obdachlosen oder Kranken! Es wird reibungslos unser ADHS verursachen und wir werden in diesen Hyper-Kern-Modus geraten, jener gut ist, wenn du ein guter Kerl bist, jedoch nicht so toll, wenn du ein Arschloch bist.“
Die Forscher sagten, ihr Perforation kam, denn sie verstanden, dass Zeppelin zwar drei verschiedene Arten von Verschlüsselungsschlüsseln zum Verschlüsseln von Dateien verwendete, sie dies gesamte Schema jedoch rückgängig zeugen konnten, während sie nur zusammensetzen von ihnen faktorisierten oder berechneten: zusammensetzen kurzlebigen öffentlichen RSA-512-Schlüssel, jener zufällig generiert wird jede Maschine, die es infiziert.
„Wenn wir den öffentlichen RSA-512-Schlüssel aus jener Registrierung zurückführen können, können wir ihn knacken und den 256-Bit-AES-Schlüssel erhalten, jener die Dateien verschlüsselt!“ Sie schrieben. „Die Herausforderung war, dass sie die löschen [public key] sowie die Dateien vollwertig verschlüsselt sind. Die Speicheranalyse gab uns etwa ein 5-Minuten-Fenster, nachdem die Dateien verschlüsselt wurden, um diesen öffentlichen Schlüssel abzurufen.“
Maß 221B baute schließlich eine „Live-CD“-Version von Linux, die Todesopfer hinaus infizierten Systemen erklären konnten, um diesen RSA-512-Schlüssel zu extrahieren. Von dort würden sie die Schlüssel in zusammensetzen Cluster von 800 CPUs laden, die vom Hosting-Giganten gespendet wurden Digitaler Ozean dies würde dann einführen, sie zu knacken. Dasjenige Unternehmen nutzte dieselbe gespendete Unterbau sogar, um den Opfern zu helfen, ihre Statistik mit den wiederhergestellten Schlüsseln zu entschlüsseln.
Eine typische Zeppelin-Ransomware-Notiz.
Jon ist ein weiteres dankbares Zeppelin-Ransomware-Todesopfer, dem die Entschlüsselungsbemühungen von Unit 221B geholfen nach sich ziehen. Wie Peter hat Jon drum gebeten, dass sein Nachname und jener seines Arbeitgebers aus jener Historie weggelassen werden, jedoch er ist zum Besten von die IT eines mittelständischen Managed Tafelgeschirr Providers zuständig, jener im Juli 2020 von Zeppelin getroffen wurde.
Den Angreifern, die Jons Unternehmen heimsuchten, gelang es, Anmeldeinformationen und ein Multi-Koeffizient-Authentifizierungstoken zum Besten von wenige Tools zu phishing, die dies Unternehmen zur Unterstützung von Kunden verwendete, und in kurzer Zeit hatten sie die Prüfung reichlich die Server und Backups zum Besten von zusammensetzen Kunden eines Gesundheitsdienstleisters erlangt.
Jon sagte, sein Unternehmen zögere, teilweise ein Lösegeld zu zahlen, weil aus den Forderungen jener Hacker nicht lukulent sei, ob jener von ihnen geforderte Lösegeldbetrag zusammensetzen Schlüssel zum Entsperren aller Systeme liefern würde, und dass dies sicher geschehen würde.
„Sie wollen, dass Sie Ihre Statistik mit ihrer Software entsperren, jedoch dem können Sie nicht vertrauen“, sagte Jon. „Sie möchten Ihre eigene Software oder eine andere Person verwenden, jener Sie vertrauen.“
Im August 2022 gaben dies FBI und die Cybersecurity & Infrastructure Security Agency (CISA) eine gemeinsame Warnung an Zeppelin hervor, in jener sie sagten, dies FBI habe „Fälle beobachtet, in denen Zeppelin-Akteure ihre Schadsoftware mehrmals im Netzwerk eines Opfers umgesetzt nach sich ziehen, welches zur Erstellung verschiedener IDs führte oder Dateierweiterungen zum Besten von jeden Kern eines Angriffs; dies führt dazu, dass dies Todesopfer mehrere eindeutige Entschlüsselungsschlüssel gewünscht.“
Dasjenige Gutachten besagt, dass Zeppelin „eine Warteschlange von Unternehmen und Organisationen mit kritischer Unterbau angegriffen hat, darunter Rüstungsunternehmen, Bildungseinrichtungen, Hersteller, Technologieunternehmen und insbesondere Organisationen in jener Gesundheits- und Medizinbranche. Es ist namhaft, dass Zeppelin-Akteure Lösegeldzahlungen in Bitcoin verlangen, wodurch die anfänglichen Beträge zwischen mehreren tausend Dollar und reichlich einer Million Dollar liegen.“
Dasjenige FBI und die CISA sagen, dass die Zeppelin-Akteure Zugang zu Opfernetzwerken erhalten, während sie schwache Remote Desktop Protocol (RDP)-Anmeldeinformationen ausnutzen, SonicWall-Firewall-Schwachstellen ausnutzen und Phishing-Kampagnen realisieren. Vor dem Pfand von Zeppelin-Ransomware verleben die Akteure ein solange bis zwei Wochen damit, dies Opfernetzwerk zu mappen oder aufzuzählen, um Datenenklaven zu identifizieren, einschließlich Cloud-Speicher und Netzwerk-Backups, heißt es in jener Warnung.
Jon sagte, er fühle sich so glücklich, nachdem er sich mit James verbunden und von ihrer Entschlüsselungsarbeit gehört habe, dass er mit dem Gedanken gespielt habe, an diesem Tag zusammensetzen Lottoschein zu kaufen.
„Dasjenige passiert normalerweise nicht“, sagte Jon. „Dasjenige ist zu 100 v. H. wie ein Sechser im Lotto.“
Denn Jons Firma dazu kam, ihre Statistik zu entschlüsseln, wurde sie von den Aufsichtsbehörden gezwungen, nachzuweisen, dass keine Patientendaten aus ihren Systemen exfiltriert worden waren. Insgesamt brauchte sein Unternehmensinhaber zwei Monate, um sich vollwertig von dem Überfall zu rekonvaleszieren.
„Selbst habe ein für alle Mal dies Gefühl, dass ich hinaus diesen Überfall schlecht vorbereitet war“, sagte Jon. „Eines jener Gedöns, die ich daraus gelernt habe, ist, wie wichtig es ist, ein Kernteam zu darstellen und Volk zu nach sich ziehen, die ihre Schlingern und Verantwortlichkeiten im Vorne Kontakt haben. Außerdem ist es sehr schwierig, neue Provider zu prüfen, die Sie noch nie zuvor getroffen nach sich ziehen, und Vertrauensbeziehungen zu ihnen aufzubauen, wenn Sie Kunden nach sich ziehen, die jetzt rigide darunter sind, und sie darauf warten, dass Sie ihnen helfen, wieder aufzustehen.“
Eine lieber technische Darstellung jener Entdeckungen von Maß 221B (mit dem frechen Titel „0XDEAD ZEPPELIN“) ist hier verfügbar.