Peter, “adlı bir Rus fidye yazılımı türünün saldırısına uğrayan bir teknoloji üreticisinin BT yöneticisidir.zeplin” Mayıs 2020’de. Altı aydan daha kısa bir süredir bu işteydi ve selefinin işleri tasarlama şekli nedeniyle şirketin veri yedekleri de Zeppelin tarafından şifrelenmişti. Haraççılarını iki hafta oyaladıktan sonra, Peter’ın patronları teslim olmaya ve fidye talebini ödemeye hazırdı. Sonra bir FBI ajanından beklenmedik bir telefon geldi. “Ödeme,” dedi ajan. “Şifrelemeyi kırabilecek birini bulduk.”
İsminin açıklanmaması koşuluyla saldırı hakkında samimi bir şekilde konuşan Peter, FBI’ın kendisine New Jersey’deki Unit 221B adlı bir siber güvenlik danışmanlık firmasıyla ve özellikle kurucusuyla temasa geçmesini söylediğini söyledi. Lance James. Zeppelin, Aralık 2019’da suç yazılımı sahnesine çıktı, ancak James’in kötü amaçlı yazılımın şifreleme rutinlerinde, yaklaşık 100 bulut bilgisayar sunucusunu kullanarak birkaç saat içinde şifre çözme anahtarlarını kaba kuvvet uygulamasına olanak tanıyan birden çok güvenlik açığını keşfetmesi çok uzun sürmedi.
KrebsOnSecurity ile yapılan bir röportajda James, Unit 221B’nin Zeppelin fidye yazılımı anahtarlarını kırma yeteneğinin reklamını yapmaktan çekindiğini çünkü bunun bir şekilde olduğunu tespit etmeleri halinde dosya şifreleme yaklaşımlarını değiştirebilecek olan Zeppelin’in yaratıcılarına elini uzatmak istemediğini söyledi. baypas ediliyor.
Bu boş bir endişe değil. Güvenlik araştırmacıları fidye yazılımı kodlarında güvenlik açıkları bulmaya çalıştıktan sonra bunu yapan çok sayıda fidye yazılımı grubu örneği var.
James, “Bazı fidye yazılımları için şifre çözücünüz olduğunu anons ettiğiniz anda kodu değiştiriyorlar,” dedi.
Ancak, Zeppelin grubunun fidye yazılımı kodlarını son bir yıl içinde kademeli olarak yaymayı bıraktığını, muhtemelen bunun nedeninin, Birim 221B’nin FBI’dan yaptığı yönlendirmelerin, yaklaşık iki düzine mağdur kuruluşun gaspçılarına ödeme yapmadan sessizce yardım etmelerine izin vermesi olduğunu söyledi.
Bugün yayınlanan bir blog gönderisinde, keşifleriyle ilgili bir Black Hat Dubai konuşmasıyla aynı zamana denk gelen James ve ortak yazar Joel Lathrop fidye yazılımı çetesi kar amacı gütmeyen kuruluşlara ve yardım kuruluşlarına saldırmaya başladıktan sonra Zeppelin’i kırmaya motive olduklarını söyledi.
İkili, “Eylemimize giden yolda bizi en çok motive eden şey, evsizler barınaklarının, kar amacı gütmeyen kuruluşların ve yardım kuruluşlarının hedef alınmasıydı” diye yazdı. “Yanıt veremeyenleri hedef alan bu anlamsız eylemler, bu araştırma, analiz, araçlar ve blog gönderisinin motivasyonunu oluşturuyor. Ofislerimizde genel bir Unit 221B kuralı şudur: Yapmayın [REDACTED] evsiz veya hasta ile! Bu sadece DEHB’mizi tetikleyecek ve o hiper-odak moduna geçeceğiz, bu iyi bir adamsan iyi, ama eğer bir pisliksen o kadar da iyi değil.”
Araştırmacılar, molalarının Zeppelin’in dosyaları şifrelemek için üç farklı türde şifreleme anahtarı kullanmasına rağmen bunlardan yalnızca birini çarpanlarına ayırarak veya hesaplayarak tüm düzeni geri alabileceklerini anlayınca geldiğini söylediler: Rastgele oluşturulan geçici bir RSA-512 genel anahtarı. bulaştığı her makine.
“RSA-512 Genel Anahtarını kayıt defterinden kurtarabilirsek, onu kırabilir ve dosyaları şifreleyen 256 bit AES Anahtarını alabiliriz!” yazdılar. “Zorluk şuydu ki, [public key] dosyalar tamamen şifrelendikten sonra. Bellek analizi, bu genel anahtarı almak için dosyalar şifrelendikten sonra bize yaklaşık 5 dakikalık bir pencere verdi.”
Unit 221B, sonunda, kurbanların bu RSA-512 anahtarını çıkarmak için virüslü sistemlerde çalıştırabilecekleri bir “Canlı CD” Linux sürümü oluşturdu. Oradan, anahtarları barındırma devi tarafından bağışlanan 800 CPU’luk bir kümeye yükleyeceklerdi. Dijital Okyanus bu daha sonra onları kırmaya başlayacaktı. Şirket ayrıca kurbanların kurtarılan anahtarları kullanarak verilerinin şifresini çözmelerine yardımcı olmak için aynı bağışlanan altyapıyı kullandı.
Tipik bir Zeppelin fidye yazılımı notu.
Jon, Unit 221B’nin şifre çözme çabalarından yardım alan bir başka minnettar Zeppelin fidye yazılımı kurbanıdır. Peter gibi, Jon da soyadının ve işvereninin adının hikayeden çıkarılmasını istedi, ancak Temmuz 2020’de Zeppelin ile vurulan orta ölçekli bir yönetilen hizmet sağlayıcının BT’sinden sorumlu.
Jon’un şirketini kasıp kavuran saldırganlar, şirketin müşterileri desteklemek için kullandığı bazı araçlar için kimlik bilgilerini ve çok faktörlü kimlik doğrulama belirtecini ele geçirmeyi başardılar ve kısa sürede bir sağlık hizmeti sağlayıcısı müşterisinin sunucuları ve yedekleri üzerindeki kontrolü ele geçirdiler.
Jon, şirketinin kısmen fidye ödeme konusunda isteksiz olduğunu, çünkü bilgisayar korsanlarının talep ettikleri fidye miktarının tüm sistemlerin kilidini açmak için bir anahtar sağlayıp sağlamayacağının ve bunu güvenli bir şekilde yapacağının net olmadığını söyledi.
Jon, “Verilerinizin kilidini kendi yazılımlarıyla açmanızı istiyorlar, ancak buna güvenemezsiniz,” dedi. “Kendi yazılımınızı veya bunu yapacağına güvenilen başka birini kullanmak istiyorsunuz.”
Ağustos 2022’de FBI ve Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Zeppelin hakkında ortak bir uyarı yayınladı ve FBI’ın “Zeppelin aktörlerinin kötü amaçlı yazılımlarını bir kurbanın ağında birden çok kez yürüttüğü ve bunun sonucunda farklı kimliklerin oluşturulmasına neden olduğu durumlar gözlemlediğini” söyledi. veya her bir saldırı örneği için dosya uzantıları; bu, kurbanın birkaç benzersiz şifre çözme anahtarına ihtiyaç duymasıyla sonuçlanır.”
Danışma belgesi, Zeppelin’in “savunma müteahhitleri, eğitim kurumları, üreticiler, teknoloji şirketleri ve özellikle sağlık ve tıp sektörlerindeki kuruluşlar dahil olmak üzere bir dizi işletmeye ve kritik altyapı kuruluşuna saldırdığını söylüyor. Zeppelin aktörlerinin, başlangıç tutarları birkaç bin dolardan bir milyon dolara kadar değişen Bitcoin cinsinden fidye ödemeleri talep ettikleri biliniyor.”
FBI ve CISA, Zeppelin aktörlerinin zayıf Uzak Masaüstü Protokolü (RDP) kimlik bilgilerinden yararlanarak, SonicWall güvenlik duvarı açıklarından ve kimlik avı kampanyalarından yararlanarak kurban ağlarına erişim elde ettiğini söylüyor. Aktörler, Zeppelin fidye yazılımını dağıtmadan önce, bulut depolama ve ağ yedeklemeleri de dahil olmak üzere veri yerleşim bölgelerini belirlemek için kurban ağını haritalamak veya numaralandırmak için bir ila iki hafta harcıyor.
Jon, James’le bağlantı kurduktan ve onların şifre çözme çalışmalarını duyduktan sonra kendini çok şanslı hissettiğini ve o gün bir piyango bileti alma fikriyle oynadığını söyledi.
Jon, “Bu genellikle olmaz,” dedi. “Piyangoyu kazanmak gibi yüzde 100.”
Jon’un şirketi verilerinin şifresini çözmeye başladığında, düzenleyiciler tarafından sistemlerinden hiçbir hasta verisinin çalınmadığını kanıtlamaya zorlandılar. Sonuç olarak, işvereninin saldırıdan tamamen kurtulması iki ayını aldı.
Jon, “Bu saldırı için kesinlikle hazırlıksız olduğumu hissediyorum,” dedi. “Bundan öğrendiğim şeylerden biri, çekirdek ekibinizi oluşturmanın ve rollerinin ve sorumluluklarının ne olduğunu önceden bilen insanlara sahip olmanın önemidir. Ayrıca, daha önce hiç tanışmadığınız yeni tedarikçileri incelemeye ve onlarla güven ilişkileri kurmaya çalışmak, şu anda ciddi şekilde çökmüş müşterileriniz varken ve onlar sizin ayağa kalkmalarına yardım etmenizi beklerken yapmak çok zor.”
Birim 221B’nin keşifleri hakkında daha teknik bir yazı (küstahça “0XDEAD ZEPPELIN” başlıklı) burada mevcuttur.