Security-Firma entschlüsselt seit Jahren insgeheim Ransomware-Opfer
2020 hat eine US-amerikanische Firma die Verschlüsselung der Zeppelin-Ransomware geknackt. Damit die Cyberkriminellen nichts davon merken, hielt die Firma dies geheim.
Security-Spezialisten der New Yorker Beratungsfirma Unit221b haben eine Schwachstelle im Verschlüsselungsalgorithmus der Ransomware Zeppelin gefunden. Und zwar schon vor 2 Jahren.
Im Februar 2020 hatten die Sicherheitsforschenden bereits einen technischen Bericht dazu bereit. Die Veröffentlichung schoben sie jedoch hinaus, um die Drahtzieher hinter dem Schadprogramm im Dunkeln tappen zu lassen, wie "Bleepingcomputer" berichtet. In der Zwischenzeit half das Unternehmen den Opfern der Ransomware, ihre Daten wieder zurückzuerhalten, ohne ein Lösegeld zahlen zu müssen.
Laut dem Bericht entschied sich Unit221b dazu, die Zeppelin-Verschlüsselung zu knacken, als die Ransomware gegen wohltätige Organisationen, Non-Profit-Organisationen und Obdachlosenunterkünfte zum Einsatz kam. Die Schwachstelle entdeckte die Firma aufgrund einer Analyse des Schadprogramms durch Blackberry Cylance im Dezember 2019.
Decryptor nur auf Anfrage
Unit221b-Gründer Lance James sagte gegenüber "Bleepingcomputer", dass das Unternehmen alle Details jetzt veröffentliche, da die Zahl der Opfer in den vergangenen Monaten deutlich zurückgegangen sei. Das Entschlüsselungstool würde auch für neuere Zeppelin-Versionen funktionieren und sei auf Anfrage erhältlich.
Zeppelin nutzt einen Ephemeral RSA-512 Key zur Verschlüsselung. Den Schlüssel speichert das Schadprogramm im Footer jeder verschlüsselten Datei. Der Public Key, der zur Entschlüsselung benötigt wird, befindet sich nach dem Verschlüsselungsvorgang noch etwa 5 Minuten in der Registry der infizierten Systeme. Mittels Registry Carving lässt sich der Public Key abrufen. Anschliessend sei nur noch eine einzelne Schicht einer RSA-2048-Verschlüsselung zu knacken. Dafür nutzen die Sicherheitsexperten 800 CPUs in 20 Servern. Nach 6 Stunden hatten sie den Schlüssel geknackt.
Mehr zum Thema Verschlüsselung können Sie hier im Hintergrundbericht nachlesen. Der Beitrag deckt die komplette Entwicklung von der antiken Skytale bis zur anbahnenden Post-Quanten-Kryptografie ab.
Wenn Sie mehr zu Cybersecurity und Datenschutz lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.