研究人员悄悄破解 Zeppelin 勒索软件密钥

©网络研究院

彼得是一家技术制造商的IT经理，该制造商在2020年5月受到了一种名为“Zeppelin”的勒索病毒的攻击。他上任不到六个月，由于他的前任的设计方式，公司的数据备份也被 Zeppelin 加密了。

在拖延勒索者两周之后，彼得的老板们准备投降并支付赎金。接着，一名联邦调查局特工打来了一个不太可能的电话：不要付钱，我们已经找到了能破解加密的人。彼得在匿名的情况下坦率地谈到了这次攻击，他说联邦调查局让他联系新泽西州一家名为 Unit 221B 的网络安全咨询公司，特别是它的创始人兰斯·詹姆斯。

Zeppelin 于2019年12月进入犯罪软件领域，但没过多久，詹姆斯就发现了该恶意软件加密例程中的多个漏洞，这些漏洞使他能够在几个小时内使用近100台云计算机服务器暴力破解解密密钥。

在接受采访时，詹姆斯表示，Unit 221B 对宣传其破解Zeppelin勒索软件密钥的能力持谨慎态度，因为它不想向 Zeppelin 的创建者透露消息，如果他们发现文件加密方法被绕过，他们可能会修改文件加密方法。

这不是一个无足轻重的问题。在安全研究人员吹嘘在他们的勒索软件代码中发现漏洞后，有多个勒索软件集团这样做的例子。

“当你宣布你已经得到了一些勒索软件的解密器时，他们就改变了代码。”但他表示，在过去一年里，Zeppelin 似乎已经逐渐停止传播他们的勒索代码，可能是因为Unit 221B 从联邦调查局获得的推荐，让他们悄悄地帮助近24个受害者组织恢复，而无需向勒索者支付费用。

在发表的一篇博客文章中，詹姆斯和合著者乔尔·拉斯罗普表示，在勒索软件团伙开始攻击非营利和慈善组织后，他们有动力破解 Zeppelin 勒索软件。

在我们行动之前，最激励我们的是针对无家可归者收容所、非营利组织和慈善组织。这些针对那些无法回应的人的愚蠢行为是这项研究、分析、工具和博客帖子的动机。研究人员表示，当他们了解到 Zeppelin 使用三种不同类型的加密密钥来加密文件时，他们可以通过分解或计算其中一种来撤销整个方案:一种短暂的RSA-512公钥，它是在它感染的每台机器上随机生成的。

如果我们可以从注册表中恢复RSA-512公钥，我们就可以破解它并获得加密文件的256位AES密钥！

挑战在于，一旦文件完全加密，他们就要删除[公钥]。在文件加密后，内存分析给了我们大约5分钟的时间来检索这个公钥。Unit 221B最终构建了一个Linux的“Live CD”版本，受害者可以在受感染的系统上运行该版本来提取RSA-512密钥。

从那里，他们将把密钥加载到由主机 Digital Ocean 捐赠的800个CPU的集群中，然后开始破解它们。该公司还使用相同的捐赠基础设施来帮助受害者使用恢复的密钥解密他们的数据。

典型的Zeppelin勒索说明

乔恩是另一位感激 Zeppelin 勒索软件的受害者，他得到了 221B 解密工作的帮助。与彼得一样，乔恩要求在报道中省略他的姓氏和雇主的姓氏，但他负责一家中型托管服务提供商的 IT，该提供商在 2020 年 7 月受到 Zeppelin 的攻击。

攻击乔恩公司的攻击者设法窃取了该公司用于支持客户的一些工具的凭据和多因素身份验证令牌，并且很快就控制了一家医疗保健提供商客户的服务器和备份。

乔恩表示他的公司不愿意支付赎金，部分原因是从勒索者的要求来看，不清楚他们要求的赎金数额是否能提供一把解锁所有系统的钥匙，而且会安全地这样做。

他们希望你用他们的软件解锁你的数据，但你不能相信。我们只想用自己的软件或者其他值得信赖的人来做这件事。

2022年8月，联邦调查局和网络安全与基础设施安全局(CISA)对 Zeppelin 发出联合警告，称联邦调查局“观察到 Zeppelin 在受害者的网络中多次执行他们的恶意软件，导致为每次攻击创建不同的ID或文件扩展名；这导致受害者需要几个唯一的解密密钥。” 

通报称，Zeppelin 已经攻击了“一系列企业和关键基础设施组织，包括国防承包商、教育机构、制造商、技术公司，尤其是医疗保健和医疗行业的组织。众所周知，Zeppelin 的勒索者要求用比特币支付赎金，最初金额从几千美元到一百多万美元不等。

美国联邦调查局和CISA表示，Zeppelin 勒索软件通过利用薄弱的远程桌面协议(RDP)证书，利用 SonicWall 防火墙漏洞和网络钓鱼活动获得了对受害者网络的访问权。警报指出，在部署 Zeppelin 勒索软件之前，勒索者会花一到两周时间绘制或枚举受害者网络，以识别数据情况，包括云存储和网络备份。

乔恩表示在与詹姆斯取得联系并听说他们的解密工作后，他感到非常幸运，以至于那天他产生了购买彩票的想法。

这通常不会发生，这就像中了彩票一样。

当乔恩的公司开始解密他们的数据时，监管机构迫使他们证明没有病人数据从他们的系统中泄露出去。总之，他的雇主花了两个月的时间才从攻击中完全恢复过来。

乔恩最后表示：我确实觉得我对这次袭击准备不足，我从中学到的一件事是，组建核心团队并让这些人提前知道自己的角色和职责非常重要。

此外，当你的客户现在陷入困境，而他们正等着你帮助他们重新振作时，试图审查你以前从未见过的新供应商并与他们建立信任关系是非常困难的。

有关 UNIT221B 发现的更具技术性的文章可在下面地址阅读获得:

https://blog.unit221b.com/dont-read-this-blog/0xdead-zeppelin

原文始发于微信公众号（网络研究院）：研究人员悄悄破解 Zeppelin 勒索软件密钥