Peneliti keamanan menemukan kerentanan dalam mekanisme enkripsi ransomware Zeppelin dan mengeksploitasinya untuk membuat dekripsi yang berfungsi yang mereka gunakan sejak tahun 2020 untuk membantu perusahaan korban memulihkan file tanpa membayar penyerang.
Pengembang alat dekripsi adalah Unit221b, sebuah perusahaan konsultan keamanan siber yang berbasis di New Jersey, yang memiliki laporan teknis yang siap pada Februari 2020 tetapi menunda penerbitannya untuk menjaga pelaku ancaman tidak mengetahui kerentanan dalam malware enkripsi file mereka.
Zeppelin yang retak
Unit221b termotivasi untuk memecahkan Zeppelin setelah melihat bahwa operator ransomware menyerang organisasi amal, organisasi nirlaba, dan bahkan tempat penampungan tunawisma.
Perusahaan konsultan keamanan siber melihat potensi kelemahan yang dapat dieksploitasi di Zeppelin setelah membaca analisis malware dari Blackberry Cylance pada Desember 2019.
Para peneliti memperhatikan bahwa Zeppelin menggunakan kunci RSA-512 singkat untuk mengenkripsi kunci AES yang mengunci akses ke data terenkripsi.
Kunci AES disimpan di footer setiap file terenkripsi, jadi jika kunci RSA-512 diretas, file dapat didekripsi tanpa membayar penyerang.
Unit221b menemukan bahwa kunci publik ini tetap berada dalam registri sistem yang terinfeksi selama kira-kira lima menit setelah enkripsi data selesai.
Mengambil kunci dimungkinkan dengan melakukan pengukiran registri pada sistem file mentah, dump memori registry.exe, dan langsung pada NTUSER.Dat di “/User/[user_account]/” direktori.
Data yang dihasilkan disamarkan dengan RC4, dan setelah mengangkat lapisan tersebut, Unit221b dibiarkan dengan satu lapisan enkripsi RSA-2048.
Untuk mengatasi kendala terakhir ini, Unit221b menggunakan total 800 unit pemrosesan sentral (CPU) di 20 server, masing-masing dengan 40 CPU. yang memfaktorkan bagian kunci yang lebih kecil.
Setelah enam jam, kuncinya telah dipecahkan, dan analis dapat kembali untuk mengambil kunci AES dari catatan kaki file.
Ketersediaan dekripsi
Pendiri Unit221b, Lance James mengatakan kepada BleepingComputer bahwa mereka memutuskan untuk mempublikasikan semua detail karena masuknya korban ransomware Zeppelin menurun secara signifikan dalam beberapa bulan terakhir.
James mengatakan alat dekripsi harus berfungsi bahkan untuk versi Zeppelin terbaru dan tersedia untuk korban berdasarkan permintaan.
Analis ancaman Emsisoft Brett Callow mengkonfirmasi penurunan serangan Zeppelin, menunjukkan bahwa operasi besar terakhir yang menggunakan jenis ransomware adalah Vice Society, yang meninggalkannya beberapa bulan lalu.
Callow juga mencatat bahwa pakar pemulihan data telah mengeksploitasi kerentanan enkripsi Zeppelin sejak pertengahan 2020.
Mengenai kemungkinan Emsisoft merilis dekripsi publik untuk strain tersebut, analis memberi tahu kami tingginya biaya daya komputasi untuk memulihkan kunci tidak menjadikan ini kandidat yang baik untuk alat gratis yang dapat digunakan perusahaan.
Latar belakang Zeppelin
Zeppelin (alias ‘Buran’) adalah jenis ransomware berbasis Delphi asal Rusia yang muncul di alam liar pada akhir 2019 sebagai proyek semi-swasta yang beroperasi dalam kemitraan lingkaran kecil.
Proyek ransomware memeras korban dengan rata-rata $50.000 dan menampilkan enkripsi AES-256-CBC yang kuat.
Pada tahun 2021, operasi tersebut meluncurkan versi yang sangat dirubah setelah masa jeda, menawarkan beberapa tunjangan kepada mitra jangka panjangnya.
Baru-baru ini, pada Agustus 2022, FBI memposting peringatan tentang ransomware Zeppelin, memperingatkan bahwa operatornya sekarang mengikuti taktik melakukan beberapa enkripsi pada sistem yang dilanggar.
Taktik aneh ini menciptakan banyak ID dan file korban dengan beberapa lapisan enkripsi, membutuhkan beberapa kunci dekripsi dan banyak percobaan dan kesalahan untuk memulihkan data bahkan setelah membayar uang tebusan.
