La CISA statunitense emette un bollettino su Zeppelin Ransomware

Redazione RHC : 13 Agosto 2022 21:41

Zeppelin ransomware è un derivato della famiglia di malware Vega basata su Delphi e funziona come Ransomware as a Service (RaaS), avvisa la Cybersecurity and Infrastructure Security Agency (CISA).

Dal 2019 almeno fino a giugno 2022, gli attori hanno utilizzato questo malware per colpire un’ampia gamma di aziende e organizzazioni di infrastrutture critiche, inclusi appaltatori della difesa, istituzioni educative, produttori, società tecnologiche e in particolare organizzazioni nei settori sanitario e medico. 

È noto che gli attori di Zeppelin richiedono pagamenti in Bitcoin, con importi iniziali che vanno da diverse migliaia di dollari a oltre un milione di dollari.

Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)

Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.

La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.

Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Gli attori Zeppelin ottengono l’accesso alle reti delle vittime tramite lo sfruttamento RDP, sfruttando le vulnerabilità del firewall SonicWall e le campagne di phishing. Prima di avviare l’infezione con Zeppelin ransomware, gli attori trascorrono da una a due settimane a mappare o enumerare la rete delle vittime per esfiltrare i dati, inclusi l’archiviazione su cloud e i backup di rete. 

Gli attori Zeppelin possono distribuire Zeppelin ransomware come file .dll o .exe o contenuto in un loader PowerShell.

Prima della crittografia, gli attori di Zeppelin esfiltrano file di dati aziendali sensibili per venderli o pubblicarli nel caso in cui la vittima si rifiuti di pagare il riscatto. 

Una volta eseguito il ransomware, viene aggiunto un numero esadecimale randomizzato di nove cifre a ciascun file crittografato come estensione di file, ad esempio file.txt.txt.C59-E0C-929. Un file di nota con una richiesta di riscatto viene lasciato sui sistemi compromessi, spesso sul desktop come la figura di seguito riportata.

L’FBI ha osservato casi in cui gli attori Zeppelin hanno eseguito il loro malware più volte all’interno della rete di una vittima, con conseguente creazione di ID o estensioni di file diversi, per ogni istanza di un attacco; ciò fa sì che la vittima necessiti di diverse chiavi di decrittazione univoche.

Indicatori di compromissione IoC

Di seguito gli IoC relativi a giugno 2022 ottenuti dalle indagini sulla risposta agli incidenti dell’FBI.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli