Бесплатно Экспресс-аудит сайта:

22.11.2022

Герои не носят плащей: Unit221b тайно помогала жертвам вымогательского ПО Zeppelin в течение 2 лет

ИБ-специалисты из Unit221b нашли уязвимости в механизме шифрования вымогательского ПО Zeppelin и использовали их для создания рабочего дешифратора, который они использовали с 2020 года, чтобы помочь компаниям-жертвам восстановить файлы, не платя злоумышленникам ни гроша. Работа велась скрытно, чтобы хакеры не узнали об уязвимостях в своем шифровальщике.

Специалисты Unit221b твердо решили взломать Zeppelin после того, как увидели, что операторы вымогательского ПО атакуют благотворительные организации, некоммерческие организации и даже приюты для бездомных. В обнаружении уязвимых мест шифровальщика компании помог анализ вредоноса от Blackberry Cylance.

Исследователи заметили, что Zeppelin использует эфемерный 512-битный ключ RSA для шифрования ключа AES, который не давал жертве получить доступ к зашифрованным данным. Ключ AES хранился в нижнем колонтитуле каждого зашифрованного файла, поэтому если кто-то мог взломать ключ RSA-512, то он получал возможность расшифровать файлы, не платя злоумышленникам.


Логика ключей шифрования Zeppelin

Специалисты из Unit221b обнаружили, что открытый ключ оставался в реестре зараженной системы в течение примерно пяти минут после завершения шифрования данных. Ключ можно было извлечь тремя способами – вырезав данные реестра из необработанной файловой системы, дампа памяти registry.exe и непосредственно из файла NTUSER.Dat в каталоге "/User/[имя_пользователя]/". Полученные данные были обфусцированы с помощью RC4. Как только эксперты разобрались с этим слоем шифрования, им осталось преодолеть последнее препятствие – слой шифрования с использованием RSA-2048.


Открытый ключ в обфусцированном виде

Чтобы преодолеть это препятствие, специалисты Unit221b использовали в общей сложности 800 CPU на 20 серверах, каждый из которых обрабатывал небольшие части ключа. Через шесть часов ключ был взломан, и аналитики смогли извлечь ключ AES из нижнего колонтитула файла.

Основатель Unit221b Лэнс Джеймс рассказал изданию BleepingComputer, что компания решила обнародовать все подробности из-за того, что в последние месяцы количество жертв вымогательского ПО Zeppelin значительно сократилось. Лэнс сказал, что инструмент для расшифровки должен работать даже с последними версиями Zeppelin и будет доступен для всех жертв, которые оставят запрос.