Security-Firma entschlüsselt seit Jahren insgeheim Ransomware-Opfer
2020 hat eine US-amerikanische Firma die Verschlüsselung der Zeppelin-Ransomware geknackt. Damit die Cyberkriminellen nichts davon merken, hielt die Firma dies geheim.
Security-Spezialisten der New Yorker Beratungsfirma Unit221b haben eine Schwachstelle im Verschlüsselungsalgorithmus der Ransomware Zeppelin gefunden. Und zwar schon vor 2 Jahren.
Im Februar 2020 hatten die Sicherheitsforschenden bereits einen technischen Bericht dazu bereit. Die Veröffentlichung schoben sie jedoch hinaus, um die Drahtzieher hinter dem Schadprogramm im Dunkeln tappen zu lassen, wie "Bleepingcomputer" berichtet. In der Zwischenzeit half das Unternehmen den Opfern der Ransomware, ihre Daten wieder zurückzuerhalten, ohne ein Lösegeld zahlen zu müssen.
Laut dem Bericht entschied sich Unit221b dazu, die Zeppelin-Verschlüsselung zu knacken, als die Ransomware gegen wohltätige Organisationen, Non-Profit-Organisationen und Obdachlosenunterkünfte zum Einsatz kam. Die Schwachstelle entdeckte die Firma aufgrund einer Analyse des Schadprogramms durch Blackberry Cylance im Dezember 2019.
Decryptor nur auf Anfrage
Unit221b-Gründer Lance James sagte gegenüber "Bleepingcomputer", dass das Unternehmen alle Details jetzt veröffentliche, da die Zahl der Opfer in den vergangenen Monaten deutlich zurückgegangen sei. Das Entschlüsselungstool würde auch für neuere Zeppelin-Versionen funktionieren und sei auf Anfrage erhältlich.
Zeppelin nutzt einen Ephemeral RSA-512 Key zur Verschlüsselung. Den Schlüssel speichert das Schadprogramm im Footer jeder verschlüsselten Datei. Der Public Key, der zur Entschlüsselung benötigt wird, befindet sich nach dem Verschlüsselungsvorgang noch etwa 5 Minuten in der Registry der infizierten Systeme. Mittels Registry Carving lässt sich der Public Key abrufen. Anschliessend sei nur noch eine einzelne Schicht einer RSA-2048-Verschlüsselung zu knacken. Dafür nutzen die Sicherheitsexperten 800 CPUs in 20 Servern. Nach 6 Stunden hatten sie den Schlüssel geknackt.
Mehr zum Thema Verschlüsselung können Sie hier im Hintergrundbericht nachlesen. Der Beitrag deckt die komplette Entwicklung von der antiken Skytale bis zur anbahnenden Post-Quanten-Kryptografie ab.
Wenn Sie mehr zu Cybersecurity und Datenschutz lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Wie KI zur schnelleren Diebstahlerkennung beitragen kann
Michael Jackson's "Bad" - die Bluegrass-Version
EDÖB hadert mit systemischen Risiken und kritisiert öffentlichkeitsscheue Behörden
Betrüger verbreiten Malware über vermeintliche Zoom-Updates
BACS probt Cyberresilienz von Gemeinden und Unternehmen
EFK sieht Mängel bei der Entflechtung der Armee-IT
Betrüger zielen mit angeblichen ZKB-Mails auf E-Banking-Konten
Wenn das Vorstellungsgespräch von einer KI geführt wird
Update: US-Regierung erlaubt Freigabe von Claude Fable 5