Zeppelin Ransomware si rivolge alle aziende sanitarie e IT
Una nuova variante del VegaLocker / Buran Ransomware chiamata Zeppelin è stata individuata infettando le società statunitensi ed europee attraverso installazioni mirate.
Questa famiglia è nata come VegaLocker e successivamente è stata ribattezzata Buran Ransomware, dove è stata promossa Ransomware-as-a-Service (RaaS) a maggio 2019 su forum di malware e hacker russi. Gli affiliati che hanno aderito al RaaS guadagnerebbero il 75% del pagamento del riscatto, mentre gli operatori Buran guadagnerebbero il 25%.
Da allora, sono state rilasciate nuove varianti chiamate VegaLocker , Jamper e dallo scorso mese abbiamo Zeppelin.
In un nuovo rapporto di BlackBerry Cylance, i ricercatori hanno scoperto che il ransomware Zeppelin viene utilizzato in attacchi mirati contro le aziende IT e sanitarie. In almeno alcuni degli attacchi, BlackBerry Cylance ritiene di aver preso di mira gli MSP al fine di infettare ulteriormente i clienti tramite software di gestione.
“La recente campagna che utilizza la variante più recente, Zeppelin, è visibilmente distinta. I primi campioni di Zeppelin – con timestamp di compilazione non precedenti al 6 novembre 2019 – sono stati scoperti prendendo di mira una manciata di aziende tecnologiche e sanitarie accuratamente selezionate in Europa e negli Stati Uniti “.
Non si sa esattamente come viene distribuito il ransomware Zeppelin, ma è probabile che attraverso server Desktop remoto siano pubblicamente esposti a Internet.
Come molti ransomware russi, Zeppelin verificherà se l’utente si trova in qualsiasi paese della CSI come Russia, Ucraina, Bielorussia e Kazakistan controllando la lingua configurata in Windows o il prefisso internazionale predefinito.
Se la vittima supera questo controllo, il ransomware inizierà a terminare vari processi, inclusi quelli associati a database, backup e server di posta.
Durante la crittografia dei file, il ransomware non aggiungerà un’estensione e il nome del file rimarrà lo stesso. Comprenderà, tuttavia, un marcatore di file chiamato Zeppelin che può essere circondato da simboli diversi a seconda dell’editor esadecimale e del formato del carattere che si sta utilizzando.
Durante la crittografia dei file, creerà le note di riscatto denominate !!! TUTTI I TUOI FILE SONO CRIPTATI !!! TXT che contengono informazioni su ciò che è accaduto ai file della vittima. Queste note conterranno anche indirizzi e-mail che la vittima può contattare per istruzioni di pagamento o per testare gratuitamente la decrittografia di un file.
Sfortunatamente, in questo momento non sono stati scoperti punti deboli nel ransomware e non c’è modo di recuperare i file gratuitamente. Si suggerisce agli utenti di ripristinare dai backup, se possibile.
Scoperto il generatore di payload Zeppelin
Durante la ricerca di questo ransomware a fine novembre, il ricercatore di sicurezza Vitali Kremez ha scoperto un costruttore per Zeppelin Ransomware che consente agli affiliati di costruire diversi tipi di payload. Questi payload possono essere payload di script .exe, .dll o .ps1 in modo che possano essere utilizzati in diversi tipi di attacchi.
Questo builder consente inoltre all’affiliato di creare note di riscatto personalizzate che si adattano al tema del loro attacco.
Ad esempio, se si rivolgessero a una determinata azienda, potrebbero configurare il builder in modo da specificare il nome dell’azienda nella nota per fornire maggiore impatto.
Zeppelin non ha raggiunto il livello di Ryuk, REvil, Maze, Bitpaymer e DoppelPaymer in termini di distribuzione su larga scala, questa è sicuramente una famiglia di ransomware da tenere d’occhio mentre evolvono i loro metodi di attacco e portano nuovi affiliati.
Aggiornamento del 12/12/19: storia aggiornata per riflettere che VegaLocker è arrivato per primo. Thx MalwareHunterTeam .
