Ερευνητές της BlackBerry Cylance ανακάλυψαν ένα νέο είδος ransomware που χρησιμοποιούν κυβερνοεγκληματίες και στοχεύουν επιχειρήσεις στον τομέα της υγείας και της τεχνολογίας σε Ευρώπη, ΗΠΑ και Καναδά. Οι ερευνητές είπαν ότι πρόκειται για «προσεκτικά επιλεγμένους» στόχους και επιθέσεις. Το όνομα του νέου ransomware είναι Zeppelin και βασίζεται σε μια άλλη «οικογένεια» κακόβουλου λογισμικού (VegaLocker). Ωστόσο, οι ερευνητές το χαρακτηρίζουν «νέο είδος» γιατί έχει πολλές διαφορές από το VegaLocker, αφού έχει εξελιχθεί πάρα πολύ και έχει πολλές περισσότερες δυνατότητες.
Οι ερευνητές ανακάλυψαν ότι το Zeppelin ransomware εμφανίστηκε πρώτη φορά στις αρχές Νοεμβρίου, αλλά μέσα σε ένα μόνο μήνα έχει χρησιμοποιηθεί για επιθέσεις σε δίκτυα τεχνολογικών και υγειονομικών εταιρειών σε όλη την Ευρώπη και τη Βόρεια Αμερική.
Σύμφωνα με τις αναλύσεις, το Zeppelin εξαπλώνεται με «supply chain επιθέσεις» μέσω των Managed Security Service Providers (MSSP). Αυτός ο τρόπος επίθεσης θυμίζει το Sodinokibi ransomware. Επίσης, πιστεύεται ότι το ransomware εξαπλώνεται μέσω malvertising εκστρατειών και «waterhole επιθέσεων», οποίες μοιράζουν κακόβουλο payload στα στοχευμένα συστήματα.
Η εγκατάσταση του Zeppelin γίνεται με ένα προσωρινό φάκελο με το όνομα .zeppelin και στη συνέχεια εξαπλώνεται στο μηχάνημα-στόχο .
Όταν το ransomware εισχωρήσει στο δίκτυο, θα κρυπτογραφήσει τα αρχεία. Οι επιτιθέμενοι διασφαλίζουν ότι στοχεύουν το σωστό θύμα παρακολουθώντας τη διεύθυνση IP.
Αφού κρυπτογραφηθούν τα αρχεία, το Zeppelin εμφανίζει στο θύμα το μήνυμα για τα λύτρα. Οι ερευνητές παρατήρησαν ότι δεν εμφανίζεται το ίδιο μήνυμα σε όλα τα θύματα. Μπορεί να είναι ένα σύντομο γενικό μήνυμα ή ένα ειδικά διαμορφωμένο μήνυμα προσαρμοσμένο στην κάθε επιχείρηση. Επίσης, το ποσό ήταν διαφορετικό σε κάθε επιχείρηση, αλλά πάντα σε bitcoin.
Αυτά τα στοιχεία δείχνουν ότι το Zeppelin ransomware διανέμεται ως υπηρεσία. Οι επιτιθέμενοι θα πρέπει να «αγοράσουν το δικαίωμα» να το χρησιμοποιήσουν από underground forums. Στη συνέχεια, είναι σε θέση να το προσαρμόσουν στις ανάγκες τους.
“Φαίνεται ότι υπάρχει ένας περιορισμένος αριθμός θυμάτων και δεν έχουμε δει το κακόβουλο λογισμικό να χρησιμοποιείται σε κάποια ευρεία εκστρατεία μέχρι στιγμής. Φαίνεται ότι οι επιτιθέμενοι είναι μάλλον προσεκτικοί με τους στόχους τους”, δήλωσε ο Josh Lemos, επικεφαλής στον τομέα της έρευνας και των πληροφοριών στη BlackBerry Cylance.
Οι ερευνητές πιστεύουν ότι το Zeppelin ransomware βρίσκεται σε δοκιμαστικό επίπεδο και ότι οι επιθέσεις δεν έχουν φτάσει ακόμα στο απόγειό τους.
Το Zeppelin ransomware πιθανότατα προέρχεται από τη Ρωσία, διότι κατά την αρχική εκτέλεση το κακόβουλο πρόγραμμα ελέγχει τον κωδικό χώρας του θύματος για να βεβαιωθεί ότι δεν επηρεάζει μηχάνημα στη Ρωσία, την Ουκρανία, τη Λευκορωσία ή το Καζακστάν. Αν βρεθεί σε αυτές τις χώρες, δεν συνεχίζει με τις επιθέσεις.
Το Zeppelin είναι μια νέα μορφή ransomware, οπότε δεν υπάρχει ακόμα κάποιο δωρεάν εργαλείο αποκρυπτογράφησης. Ωστόσο, οι οργανισμοί μπορούν να να προστατευτούν με μερικές απλές πρακτικές ασφαλείας.
“Η συμβουλή είναι η ίδια πάντα: χρησιμοποιήστε ολοκληρωμένες λύσεις ασφαλείας, ενημερώστε το λειτουργικό σύστημα, δημιουργείστε τακτικά αντίγραφα ασφαλείας, εκπαιδεύστε το προσωπικό σας στις βασικές πρακτικές ασφαλείας, μείνετε προσεκτικοί και σε επαγρύπνηση“, δήλωσε ο Lemos.
