Onderzoekers zijn er ruim twee jaar geleden in geslaagd om dankzij een kwetsbare encryptiemethode en met behulp van een achthonderd grote cpu-cluster van hostingprovider Digital Ocean de encryptiesleutels van de Zeppelin-ransomware te kraken, zodat slachtoffers kosteloos hun data konden terugkrijgen. Dat is deze week bekendgemaakt. Afgelopen augustus waarschuwde de FBI organisaties nog voor aanvallen met de Zeppelin-ransomware, die met name tegen medische bedrijven en zorginstellingen is ingezet, maar ook defensiebedrijven, vitale infrastructuur, techbedrijven en onderwijsinstellingen.

De Zeppelin-ransomware is sinds eind 2019 actief. Onderzoekers van securitybedrijf Unit 221B ontdekten begin 2020 een kwetsbaarheid in de gebruikte encryptiemethode, waardoor het mogelijk is om door middel van een bruteforce-aanval de decryptiesleutel in een aantal uur te achterhalen. Zeppelin gebruikt drie verschillende encryptiesleutels voor het versleutelen van bestanden. Na de versleuteling worden de public keys van het systeem verwijderd. Het blijkt echter mogelijk om de volledige encryptie ongedaan te maken door een specifieke public key uit het Windows Register te halen en te kraken.

"Als we de RSA-512 Public Key uit het register kunnen halen, kunnen we die kraken en de 256-bit AES Key krijgen die de bestanden versleutelt", aldus onderzoekers Lance James en Joel Lathrop. De uitdaging was dat de public key na het versleutelen van alle bestanden van het systeem wordt verwijderd. Het lukte de onderzoekers om door middel van verschillende forensische tools de verwijderde public key veilig te stellen en daarna te kraken. Ze maakten vervolgens een tool die dit proces voor slachtoffers automatiseerde.

Hostingprovider Digital Ocean had een cluster van twintig servers beschikbaar gesteld met elk veertig processors om de veilig gestelde keys binnen vier tot zes uur te kraken. Zo konden de onderzoekers allerlei slachtoffers van de Zeppelin-ransomware helpen met het kosteloos terugkrijgen van hun bestanden. Het onderzoek naar de kwetsbare encryptie was begin 2020 al gedeeld met opsporingsdiensten en een selecte groep onderzoekers. Deze week werd het onderzoek voor iedereen openbaar en is het besproken tijdens de Black Hat-conferentie in Riyad Saudi-Arabië besproken.