El trabajo se llevó a cabo de forma encubierta para que los atacantes no encontraran vulnerabilidades en su software.
Los profesionales de seguridad de Unit221b encontraron vulnerabilidades en el mecanismo de cifrado del ransomware Zeppelin y las usaron para crear un descifrador funcional que han estado usando desde 2020 para ayudar a las empresas víctimas a recuperar archivos sin pagar un céntimo a los atacantes.
El trabajo se llevó a cabo de forma encubierta para que los hcakers informáticos no se enteraran de las vulnerabilidades de su ransomware. Unit221b estaba decidido a hackear Zeppelin después de ver a los operadores de ransomware apuntar a organizaciones benéficas, organizaciones sin fines de lucro e incluso refugios para personas sin hogar.
El análisis de malware de Blackberry Cylance ayudó a la empresa a descubrir vulnerabilidades en el ransomware. Los investigadores notaron que Zeppelin usa una clave RSA efímera de 512 bits para cifrar la clave AES, lo que evita que la víctima acceda a los datos cifrados.
La clave AES se almacenan en el pie de página de cada archivo cifrado, por lo que si alguien pudiera descifrar la clave RSA-512, podría descifrar los archivos sin pagar a los atacantes. Los especialistas de Unit221b descubrieron que la clave pública permaneció en el registro del sistema infectado durante unos cinco minutos después de que se completó el cifrado de datos.
La clave se puede extraer de tres maneras: cortando los datos de registro del sistema de archivos sin procesar, el volcado de memoria de Registry.exe y directamente desde el archivo NTUSER.Dat en el directorio «/User/[username]/».
Los datos resultantes se encontraron utilizando RC4. Una vez que los expertos descubrieron esta capa de cifrado, tuvieron que superar el último obstáculo: la capa de cifrado que usaba RSA-2048. Para superar este obstáculo, Unit221b utilizó un total de 800 CPU en 20 servidores, cada uno de los cuales manejaba pequeñas porciones de la clave.
Seis horas después, se descifró la clave y los analistas pudieron extraer la AES del pie de página del archivo. El fundador de Unit221b, Lance James, afirma que la compañía decidió hacer públicos los detalles porque las víctimas del ransomware Zeppelin han disminuido significativamente en los últimos meses. Lance dijo que la herramienta de descifrado debería funcionar incluso con las últimas versiones de Zeppelin y estará disponible para todas las víctimas que dejen una solicitud.
