La CISA statunitense emette un bollettino su Zeppelin Ransomware

Redazione RHC : 13 Agosto 2022 21:41

Zeppelin ransomware è un derivato della famiglia di malware Vega basata su Delphi e funziona come Ransomware as a Service (RaaS), avvisa la Cybersecurity and Infrastructure Security Agency (CISA).

Dal 2019 almeno fino a giugno 2022, gli attori hanno utilizzato questo malware per colpire un’ampia gamma di aziende e organizzazioni di infrastrutture critiche, inclusi appaltatori della difesa, istituzioni educative, produttori, società tecnologiche e in particolare organizzazioni nei settori sanitario e medico. 

È noto che gli attori di Zeppelin richiedono pagamenti in Bitcoin, con importi iniziali che vanno da diverse migliaia di dollari a oltre un milione di dollari.

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)? Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence".  A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.   Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.  Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected] Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Gli attori Zeppelin ottengono l’accesso alle reti delle vittime tramite lo sfruttamento RDP, sfruttando le vulnerabilità del firewall SonicWall e le campagne di phishing. Prima di avviare l’infezione con Zeppelin ransomware, gli attori trascorrono da una a due settimane a mappare o enumerare la rete delle vittime per esfiltrare i dati, inclusi l’archiviazione su cloud e i backup di rete. 

Gli attori Zeppelin possono distribuire Zeppelin ransomware come file .dll o .exe o contenuto in un loader PowerShell.

Prima della crittografia, gli attori di Zeppelin esfiltrano file di dati aziendali sensibili per venderli o pubblicarli nel caso in cui la vittima si rifiuti di pagare il riscatto. 

Una volta eseguito il ransomware, viene aggiunto un numero esadecimale randomizzato di nove cifre a ciascun file crittografato come estensione di file, ad esempio file.txt.txt.C59-E0C-929. Un file di nota con una richiesta di riscatto viene lasciato sui sistemi compromessi, spesso sul desktop come la figura di seguito riportata.

L’FBI ha osservato casi in cui gli attori Zeppelin hanno eseguito il loro malware più volte all’interno della rete di una vittima, con conseguente creazione di ID o estensioni di file diversi, per ogni istanza di un attacco; ciò fa sì che la vittima necessiti di diverse chiavi di decrittazione univoche.

Indicatori di compromissione IoC

Di seguito gli IoC relativi a giugno 2022 ottenuti dalle indagini sulla risposta agli incidenti dell’FBI.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli