O ransomware Zeppelin retornou e está utilizando novas estratégias para infectar e criptografar sistemas em suas mais recentes campanhas direcionadas a diferentes setores, com destaque para a área da saúde e organizações de infraestrutura crítica, conforme alerta das autoridades federais.
Atacantes que oferecem ransomware como um serviço (RaaS) estão utilizando a exploração do protocolo de desktop remoto (RDD) e vulnerabilidades do firewall SonicWall, juntamente com campanhas de phishing, para invadir redes alvo, de acordo com um relatório recente da consultoria da Cybersecurity and Infrastructure Security Agency (CISA).
Zeppelin aparenta adotar uma estratégia de criptografia múltipla, realizando a execução do malware várias vezes na rede da vítima e gerando IDs e extensões de arquivo distintas para diferentes instâncias de ataque, conforme informado pelo CISA.
De acordo com as informações fornecidas pela assessoria, isso leva a uma situação em que a vítima necessita de diversas chaves de decodificação exclusivas.
A CISA descobriu diferentes tipos de Zeppelin por meio de várias apurações do FBI, incluindo ataques ocorridos recentemente, como em 21 de junho, informou a agência.
Objetivos e Estratégias
Zeppelin é uma forma de ransomware-as-a-service (RaaS) que surgiu em 2019 sob o nome de Vega ou VegaLocker, sendo divulgado inicialmente em anúncios no Yandex, um mecanismo de busca russo, de acordo com informações da BlackBerry Cylance.
Diferentemente do seu antecessor, as campanhas de Zeppelin foram mais focadas, direcionadas principalmente para empresas de tecnologia e saúde na Europa e nos Estados Unidos, destacando atores de ameaças.
De acordo com a CISA, as organizações médicas e de saúde continuam sendo alvos frequentes das mais recentes campanhas, assim como as empresas de tecnologia também estão sendo visadas por Zeppelin. A agência mencionou que os atores de ameaça estão utilizando o RaaS em ataques contra empreiteiros de defesa, instituições educacionais e fabricantes.
Após conseguirem entrar na rede com êxito, os agentes de ameaças dedicam de uma a duas semanas explorando detalhadamente a rede para encontrar áreas específicas de dados, como armazenamento em nuvem e backups de rede. Em seguida, eles inserem o ransomware Zeppelin na forma de um arquivo .dll ou .exe, ou o incorporam em um script de PowerShell.
Zeppelin aparenta estar empregando a estratégia ransomware típica de extorsão dupla em suas mais recentes ações, onde eles primeiro roubam arquivos confidenciais de uma vítima antes de criptografá-los e ameaçar publicá-los online se o pagamento não for feito, conforme relatado pelo CISA.
Uso de várias formas de codificação de informações.
Segundo o CISA, quando o ransomware Zeppelin é ativado em um sistema, cada arquivo criptografado recebe uma extensão de arquivo composta por um número hexadecimal de nove dígitos, como por exemplo, file.txt.txt.C59-E0C-929.
Os criminosos que representam uma ameaça costumam deixar um arquivo de nota contendo instruções de resgate em sistemas comprometidos, geralmente em um computador pessoal do usuário, conforme informado pela agência. Esses criminosos costumam solicitar pagamentos em Bitcoin que variam de alguns milhares de dólares a mais de um milhão de dólares.
Os atores de ameaça nas recentes campanhas estão adotando uma estratégia inovadora em que usam o Zeppelin para implantar o malware repetidamente na rede da vítima. Isso implica que a vítima teria que ter múltiplas chaves de descriptografia para recuperar seus arquivos, conforme indicado pelo CISA.
No entanto, segundo um especialista em segurança, isso pode ser ou não uma característica exclusiva de um ataque de ransomware. Roger Grimes, um defensor de segurança de dados da empresa KnowBe4, mencionou que é comum os hackers criptografarem arquivos de forma separada, mas utilizarem uma chave mestra para desbloquear os sistemas.
“A maioria dos programas de ransomware atualmente possuem uma chave mestra que criptografa diversas outras chaves responsáveis pela criptografia,” explicou ele em um e-mail para o Threatpost.
Quando a vítima solicita evidências de que o hacker de ransomware possui chaves de decodificação que podem desbloquear os arquivos com sucesso após o pagamento do resgate, o grupo de ransomware responde desbloqueando um conjunto específico de arquivos usando uma única chave, como explicou Grimes.
Por favor, sinta-se à vontade para compartilhar este texto.
- Malware é um software malicioso.
- Pontos fracos ou fragilidades
Deixe uma resposta