研究人員悄悄破解 Zeppelin 勒索軟件密鑰
彼得是一家技術制造商的IT經理,該制造商在2020年5月受到了一種名為“Zeppelin”的勒索病毒的攻擊。他上任不到六個月,由于他的前任的設計方式,公司的數據備份也被 Zeppelin 加密了。
在拖延勒索者兩周之后,彼得的老板們準備投降并支付贖金。接著,一名聯邦調查局特工打來了一個不太可能的電話:不要付錢,我們已經找到了能破解加密的人。彼得在匿名的情況下坦率地談到了這次攻擊,他說聯邦調查局讓他聯系新澤西州一家名為 Unit 221B 的網絡安全咨詢公司,特別是它的創始人蘭斯·詹姆斯。
Zeppelin 于2019年12月進入犯罪軟件領域,但沒過多久,詹姆斯就發現了該惡意軟件加密例程中的多個漏洞,這些漏洞使他能夠在幾個小時內使用近100臺云計算機服務器暴力破解解密密鑰。
在接受采訪時,詹姆斯表示,Unit 221B 對宣傳其破解Zeppelin勒索軟件密鑰的能力持謹慎態度,因為它不想向 Zeppelin 的創建者透露消息,如果他們發現文件加密方法被繞過,他們可能會修改文件加密方法。
這不是一個無足輕重的問題。在安全研究人員吹噓在他們的勒索軟件代碼中發現漏洞后,有多個勒索軟件集團這樣做的例子。
“當你宣布你已經得到了一些勒索軟件的解密器時,他們就改變了代碼。”但他表示,在過去一年里,Zeppelin 似乎已經逐漸停止傳播他們的勒索代碼,可能是因為Unit 221B 從聯邦調查局獲得的推薦,讓他們悄悄地幫助近24個受害者組織恢復,而無需向勒索者支付費用。
在發表的一篇博客文章中,詹姆斯和合著者喬爾·拉斯羅普表示,在勒索軟件團伙開始攻擊非營利和慈善組織后,他們有動力破解 Zeppelin 勒索軟件。
在我們行動之前,最激勵我們的是針對無家可歸者收容所、非營利組織和慈善組織。這些針對那些無法回應的人的愚蠢行為是這項研究、分析、工具和博客帖子的動機。研究人員表示,當他們了解到 Zeppelin 使用三種不同類型的加密密鑰來加密文件時,他們可以通過分解或計算其中一種來撤銷整個方案:一種短暫的RSA-512公鑰,它是在它感染的每臺機器上隨機生成的。
如果我們可以從注冊表中恢復RSA-512公鑰,我們就可以破解它并獲得加密文件的256位AES密鑰!
挑戰在于,一旦文件完全加密,他們就要刪除[公鑰]。在文件加密后,內存分析給了我們大約5分鐘的時間來檢索這個公鑰。Unit 221B最終構建了一個Linux的“Live CD”版本,受害者可以在受感染的系統上運行該版本來提取RSA-512密鑰。
從那里,他們將把密鑰加載到由主機 Digital Ocean 捐贈的800個CPU的集群中,然后開始破解它們。該公司還使用相同的捐贈基礎設施來幫助受害者使用恢復的密鑰解密他們的數據。
典型的Zeppelin勒索說明
喬恩是另一位感激 Zeppelin 勒索軟件的受害者,他得到了 221B 解密工作的幫助。與彼得一樣,喬恩要求在報道中省略他的姓氏和雇主的姓氏,但他負責一家中型托管服務提供商的 IT,該提供商在 2020 年 7 月受到 Zeppelin 的攻擊。
攻擊喬恩公司的攻擊者設法竊取了該公司用于支持客戶的一些工具的憑據和多因素身份驗證令牌,并且很快就控制了一家醫療保健提供商客戶的服務器和備份。
喬恩表示他的公司不愿意支付贖金,部分原因是從勒索者的要求來看,不清楚他們要求的贖金數額是否能提供一把解鎖所有系統的鑰匙,而且會安全地這樣做。
他們希望你用他們的軟件解鎖你的數據,但你不能相信。我們只想用自己的軟件或者其他值得信賴的人來做這件事。
2022年8月,聯邦調查局和網絡安全與基礎設施安全局(CISA)對 Zeppelin 發出聯合警告,稱聯邦調查局“觀察到 Zeppelin 在受害者的網絡中多次執行他們的惡意軟件,導致為每次攻擊創建不同的ID或文件擴展名;這導致受害者需要幾個唯一的解密密鑰。”
通報稱,Zeppelin 已經攻擊了“一系列企業和關鍵基礎設施組織,包括國防承包商、教育機構、制造商、技術公司,尤其是醫療保健和醫療行業的組織。眾所周知,Zeppelin 的勒索者要求用比特幣支付贖金,最初金額從幾千美元到一百多萬美元不等。
美國聯邦調查局和CISA表示,Zeppelin 勒索軟件通過利用薄弱的遠程桌面協議(RDP)證書,利用 SonicWall 防火墻漏洞和網絡釣魚活動獲得了對受害者網絡的訪問權。警報指出,在部署 Zeppelin 勒索軟件之前,勒索者會花一到兩周時間繪制或枚舉受害者網絡,以識別數據情況,包括云存儲和網絡備份。
喬恩表示在與詹姆斯取得聯系并聽說他們的解密工作后,他感到非常幸運,以至于那天他產生了購買彩票的想法。
這通常不會發生,這就像中了彩票一樣。
當喬恩的公司開始解密他們的數據時,監管機構迫使他們證明沒有病人數據從他們的系統中泄露出去。總之,他的雇主花了兩個月的時間才從攻擊中完全恢復過來。
喬恩最后表示:我確實覺得我對這次襲擊準備不足,我從中學到的一件事是,組建核心團隊并讓這些人提前知道自己的角色和職責非常重要。
此外,當你的客戶現在陷入困境,而他們正等著你幫助他們重新振作時,試圖審查你以前從未見過的新供應商并與他們建立信任關系是非常困難的。
