Zeppelin: Heimlich die Schlüssel einer Ransomware geknackt

Bei einem Ransomwareangriff auf eine US-Technologiefirma wurden auch deren Backups verschlüsselt. Als sie das Lösegeld an die Ransomware-Gruppe Zeppelin bezahlen wollte, bekamen sie jedoch einen Hinweis vom FBI und konnte ihre Daten wiederherstellen.

Zwei Wochen nach dem Ransomware-Angriff und etlichen Versuchen, doch noch an seine Daten zu kommen, war das Unternehmen bereit zu zahlen. Doch dann kam ein Anruf von einem FBI-Agenten: "Zahlen Sie nicht," sagte der Ermittler. "Wir haben jemanden gefunden, der die Verschlüsselung knacken kann."

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Microsoft 365 Copilot sicher administrieren und integrieren

zum Artikel

Karriere Ratgeber: Karrieretag Familienunternehmen 2026: Jetzt bewerben und durchstarten

zum Ratgeber

Seminar: Microsoft Power Automate: Flows erstellen & Prozesse automatisieren – virtueller Zwei-Tage-Workshop

zum Kurs

E-Learning: Exklusiv: Modern Desktop Administrator - Sicherheit und Compliance mit Microsoft Intune (E-Learning)

zum Kurs

Laut einem Bericht des Journalisten Brian Krebs(öffnet im neuen Fenster) vermittelten die Ermittler dem betroffenen Unternehmen einen Kontakt zu der Sicherheitsfirma Unit 221B. Diese könne ihnen wieder Zugriff auf ihre Daten verschaffen.

Kurzer RSA-Schlüssel erlaubt das Umgehen der Ransomware

Unit 221B analysierte die Ransomware bald nach ihrem Auftauchen im Dezember 2019 und konnte die Verschlüsselung kurz darauf knacken. Die Verschlüsselung der Ransomware besteht demnach aus mehreren Komponenten. Einer dieser Komponenten ist ein 512Bit-RSA-Schlüssel, der auf jedem befallenen System zufällig generiert wird.

"Wenn wir den öffentlichen RSA-512-Schlüssel aus der Registry wiederherstellen können, können wir ihn knacken und den 256-Bit-AES-Schlüssel erhalten, der die Dateien verschlüsselt," erklärt die Sicherheitsfirma. Die Herausforderung sei es allerdings gewesen, an diesen, durch die kurze Schlüssellänge unsicheren Key zu gelangen, da dieser nur für rund 5 Minuten im Speicher des Systems bleibe.

Anzeige

Hacking & Security: Das umfassende Hacking-Handbuch mit über 1.000 Seiten Profiwissen. 3., aktualisierte Auflage des IT-Standardwerks (Gebundene Ausgabe)

Jetzt bestellen bei Amazon (öffnet im neuen Fenster)

Affiliate-Hinweis

Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.

Die Sicherheitsfirma erstellte schließlich eine Live-CD, mit der auf dem infizierten System ein Linux gestartet werden konnte, das den RSA-Schlüssel auslesen konnte. Diesen knackte Unit221B anschließend auf einem gemieteten Cloudcluster mit 800 CPUs.

Öffentlich machte die Sicherheitsfirma ihre Entdeckung jedoch nicht. Vielmehr half das Unternehmen in aller Heimlichkeit rund zwei Dutzend Organisationen, die von der Ransomware befallen wurden. "In dem Moment, in dem man bekannt gibt, dass man einen Entschlüsseler für eine Ransomware hat, ändern sie den Code," erklärte Lance James, der Gründer von Unit 221B, das Vorgehen. Im Verlauf des vergangenen Jahres habe Zeppelin offenbar die Verwendung des Codes aufgegeben.

• Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Affiliate-Hinweis
  Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.