Zeppelin: file decifrati grazie a una falla del ransomware
Unit221b, un’azienda di cybersicurezza con sede in New Jersey, ha sfruttato le vulnerabilità presenti nel ransomware Zeppelin per decriptare i file delle vittime senza pagare il riscatto. Il team di ricercatori ha individuato alcune falle nel meccanismo di cifratura di Zeppelin e le ha usate per aiutare le vittime del malware a recuperare i dati criptati.
Zeppelin, conosciuto anche come “Buran”, è un ransomware legato a un gruppo di hacker russi emerso a fine 2019. Si tratta di un malware scritto in Delphi Vega e opera come un ransomware as a service, quindi utilizzabile da chiunque. Il team dietro il malware ha preso di mira organizzazioni no-profit, di beneficenza e rifugi per senzatetto, oltre che infrastrutture critiche dei settori della difesa, dell’istruzione e della sanità.
I ricercatori di Unit221b, analizzando il ransomware, hanno scoperto che utilizzava un chiave effimera RSA-512 per criptare la AES che criptava i file. La chiave di cifratura AES era memorizzata nel footer di ogni file criptato perciò, entrando in possesso della RSA-512, si sarebbe potuto decifrare i file.
Il team dell’azienda è riuscito a crackare la chiave effimera e di conseguenza ottenere la chiave AES per decriptare i file. L’intera operazione è rimasta segreta per due anni, durante i quali gli esperti di Unit221b hanno aiutato le organizzazioni colpite a recuperare i dati.
Unit221b ha deciso di rendere disponibile il tool di decifratura ora che gli attacchi di Zeppelin si sono ridotti drasticamente. I dettagli dello strumento sono pubblici, e chiunque sia stato colpito dal ransomware può richiedere l’accesso al tool. Secondo quanto dichiarato da Unit221b, il tool funziona anche con le versioni più recenti di Zeppelin.
Condividi l’articolo
Articoli correlati
Altro in questa categoria
https://www.securityinfo.it/2022/11/21/zeppelin-falle-ransomware-file-decriptati/?utm_source=rss&utm_medium=rss&utm_campaign=zeppelin-falle-ransomware-file-decriptati