La CISA statunitense emette un bollettino su Zeppelin Ransomware

Zeppelin ransomware è un derivato della famiglia di malware Vega basata su Delphi e funziona come Ransomware as a Service (RaaS), avvisa la Cybersecurity and Infrastructure Security Agency (CISA).

Dal 2019 almeno fino a giugno 2022, gli attori hanno utilizzato questo malware per colpire un’ampia gamma di aziende e organizzazioni di infrastrutture critiche, inclusi appaltatori della difesa, istituzioni educative, produttori, società tecnologiche e in particolare organizzazioni nei settori sanitario e medico. 

È noto che gli attori di Zeppelin richiedono pagamenti in Bitcoin, con importi iniziali che vanno da diverse migliaia di dollari a oltre un milione di dollari.

Gli attori Zeppelin ottengono l’accesso alle reti delle vittime tramite lo sfruttamento RDP, sfruttando le vulnerabilità del firewall SonicWall e le campagne di phishing. Prima di avviare l’infezione con Zeppelin ransomware, gli attori trascorrono da una a due settimane a mappare o enumerare la rete delle vittime per esfiltrare i dati, inclusi l’archiviazione su cloud e i backup di rete. 

Gli attori Zeppelin possono distribuire Zeppelin ransomware come file .dll o .exe o contenuto in un loader PowerShell.

Prima della crittografia, gli attori di Zeppelin esfiltrano file di dati aziendali sensibili per venderli o pubblicarli nel caso in cui la vittima si rifiuti di pagare il riscatto. 

Una volta eseguito il ransomware, viene aggiunto un numero esadecimale randomizzato di nove cifre a ciascun file crittografato come estensione di file, ad esempio file.txt.txt.C59-E0C-929. Un file di nota con una richiesta di riscatto viene lasciato sui sistemi compromessi, spesso sul desktop come la figura di seguito riportata.

L’FBI ha osservato casi in cui gli attori Zeppelin hanno eseguito il loro malware più volte all’interno della rete di una vittima, con conseguente creazione di ID o estensioni di file diversi, per ogni istanza di un attacco; ciò fa sì che la vittima necessiti di diverse chiavi di decrittazione univoche.

Indicatori di compromissione IoC

Di seguito gli IoC relativi a giugno 2022 ottenuti dalle indagini sulla risposta agli incidenti dell’FBI.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.