Pular para a barra de ferramentas
Hacker

Novo Zeppelin Ransomware dirigido a empresas de tecnologia e saúde

Uma nova variante da família de ransomware Vega, apelidada de Zeppelin, foi recentemente identificada nas empresas de tecnologia e assistência médica de segmentação selvagem na Europa, Estados Unidos e Canadá.

No entanto, se você reside na Rússia ou em alguns outros países da exURSS, como Ucrânia, Bielorrússia e Cazaquistão, respira aliviado, pois o ransomware encerra suas operações se estiver em máquinas localizadas nessas regiões.

É notável e interessante, porque todas as variantes anteriores da família Vega, também conhecidas como VegaLocker, tinham como alvo principal usuários de língua russa, o que indica que o Zeppelin não é o trabalho do mesmo grupo de hackers por trás dos ataques anteriores.

Como o rega Vans e suas variantes anteriores foram oferecidos como um serviço em fóruns clandestinos, os pesquisadores do BlackBerry Cylance acreditam que o Zeppelin "acabou nas mãos de diferentes atores de ameaças" ou "redesenhado a partir de fontes compradas / roubadas / vazadas".

Segundo um relatório que o BlackBerry Cylance compartilhou com o The Hacker News, o Zeppelin é um ransomware altamente configurável baseado em Delphi que pode ser facilmente personalizado para ativar ou desativar vários recursos, dependendo das vítimas ou dos requisitos dos invasores.

O Zeppelin pode ser implantado como um EXE, DLL ou agrupado em um carregador do PowerShell e inclui os seguintes recursos:

IP Logger para rastrear os endereços IP e a localização das vítimas
Inicialização para obter persistência
Excluir backups para interromper certos serviços, desativar a recuperação de arquivos, excluir backups e cópias de sombra, etc.
Taskkiller mata processos especificados pelo invasor
Desbloqueio automático para desbloquear arquivos que parecem bloqueados durante a criptografia
Derreter para injetar thread de autoexclusão no notepad.exe
Prompt de UAC tente executar o ransomware com privilégios elevados

Com base nas configurações definidas pelos atacantes da interface do usuário do Zeppelin builder durante a geração do binário de ransomware, o malware enumera arquivos em todas as unidades e compartilhamentos de rede e os criptografa com o mesmo algoritmo usado pelas outras variantes do Vega.

"[Zeppelin] emprega uma combinação padrão de criptografia de arquivo simétrica com chaves geradas aleatoriamente para cada arquivo (AES256 no modo CBC) e criptografia assimétrica usada para proteger a chave da sessão (usando uma implementação RSA personalizada, possivelmente desenvolvida internamente) ", os pesquisadores explicar.

"Curiosamente, algumas das amostras criptografam apenas os primeiros 0x1000 bytes (4KB), em vez de 0x10000 (65KB). Pode ser um bug não intencional ou uma escolha consciente para acelerar o processo de criptografia, tornando a maioria dos arquivos inutilizáveis."

Além dos recursos a serem ativados e dos arquivos a serem criptografados, o construtor Zeppelin também permite que os invasores configurem o conteúdo do arquivo de texto da nota de resgate, que é descartado no sistema e exibido à vítima após a criptografia dos arquivos.

"Os pesquisadores do BlackBerry Cylance descobriram várias versões diferentes, desde mensagens curtas e genéricas até notas de resgate mais elaboradas e personalizadas para organizações individuais", afirmam os pesquisadores.

"Todas as mensagens instruem a vítima a entrar em contato com o atacante por meio de um endereço de email fornecido e citar seu número de identificação pessoal".

Para evitar a detecção, o Zeppelin ransomware conta com várias camadas de ofuscação, incluindo o uso de chaves pseudoaleatórias, sequência criptografada, código de tamanhos variados, além de atrasos na execução para ultrapassar caixas de areia e enganar mecanismos heurísticos.

O Zeppelin foi descoberto pela primeira vez há quase um mês, quando foi distribuído através de sites com furos de água com suas cargas do PowerShell hospedadas no site da Pastebin.

Os pesquisadores acreditam que pelo menos alguns dos ataques do Zeppelin foram "conduzidos por meio de MSSPs, que teriam semelhanças com outra campanha recente e altamente direcionada que usava ransomware chamado Sodinokibi", também conhecido como Sodin ou REvil.

Os pesquisadores também compartilharam indicadores de compromisso (IoC) em seu blog. No momento da redação deste artigo, quase 30% das soluções antivírus não são capazes de detectar essa ameaça específica ao ransomware.

Deixe uma resposta

Fechar
Fechar