美国安全企业Unit 221B上周披露了勒索软件Zeppelin的多个安全漏洞,但其实Unit 221B早在2020年便得知相关漏洞,而且已协助超过20家受害者打造解密密钥,只是一直到近日才对外公布。
Zeppelin现身于2019年,是以Delphi撰写的俄罗斯勒索软件,对受害者提出的平均赎金为5万美元。Unit 221B表示,该公司之所以决定针对Zeppelin展开行动,是因为该勒索软件锁定收容所、非营利机构与慈善机构等缺乏回应能力的组织进行攻击,这触发了该团队的多动症状。
Unit 221B先参考了BlackBerry Cylance在2019年底、对一款Zeppelin变种所撰写的分析报告,了解Zeppelin使用3种不同形态的加密密钥来加密文件,并于被感染的每台机器上随机产生临时的RSA-512公钥,用它来加密访问加密资料的AES密钥。黑客会在完成资料加密之后,删除系统上的RSA-512公钥,但只要能够恢复该公钥,就能破解它并取得AES密钥。
BlackBerry Cylance的分析报告协助Unit 221B找到了Zeppelin的安全漏洞,之后获得美国云计算基础设施供应商DigitalOcean的赞助,利用20台每台具备40个CPU的服务器集群以进行RSA-512公钥的因素分解,大概需要4~6小时来得到两个主要的因素,再计算出私钥。
其实Unit 221B有关Zeppelin漏洞的研究报告在2020年2月就已出炉,但并未大张旗鼓地公开,而是秘密地协助Zeppelin受害者解锁文件。
安全博客《KrebsOnSecurity》专访了一名Zeppelin受害者Peter。Peter是位IT管理员,他的公司在2020年5月遭遇Zeppelin攻击事件,当时他进这家公司才不到半年,而且不管是生产系统或备份系统都被黑客加密了,老板拖延了两周之后,已经打算支付赎金,结果接到了FBI的电话,要求他们不要支付赎金,并推荐由Unit 221B协助解锁。
过去只要有安全企业公布了特定勒索软件的解密密钥,黑客就会得知自己的软件含有安全漏洞并加以修补,这使得Unit 221B决定低调地提供协助,仅将漏洞报告提供给执法机构及少数的研究人员。