Οι προγραμματιστές του Zeppelin ransomware συνεχίζουν τη δραστηριότητά τους μετά από μία περίοδο σχετικής «σιωπής» που ξεκίνησε το περασμένο φθινόπωρο και άρχισαν να διαφημίζουν νέες εκδόσεις του malware. Μία πρόσφατη παραλλαγή του malware διατέθηκε σε hacking φόρουμ τον Απρίλιο, προσφέροντας στους χάκερς του ransomware πλήρη ανεξαρτησία.
Το Zeppelin ransomware αναφέρεται και ως «Buran», ενώ προέρχεται από την οικογένεια του Vega / VegaLocker, ενός ransomware-as-a-service (RaaS) που παρατηρήθηκε σε ρωσόφωνα hacking φόρουμ το 2019.
Οι προγραμματιστές του στελέχους του Zeppelin ransomware, το πωλούν σε υπόγεια φόρουμ, δίνοντας στους αγοραστές τη δυνατότητα να αποφασίσουν πώς θέλουν να χρησιμοποιήσουν το malware. Έχουν επίσης κάποια ατομική συνεργασία με συγκεκριμένους χρήστες του malware τους.
Διαβάστε επίσης: Η επιχείρηση του DarkSide ransomware έκλεισε – οι συνεργάτες διαμαρτύρονται ότι δεν έχουν πληρωθεί
Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα
Αποκαλύφθηκαν τα Cybercab robotaxi και Tesla Robovan
Πώς τα εργαλεία της OpenAI επηρεάζουν τις εκλογές;
Αυτό έρχεται σε αντίθεση με τις κλασικές επιχειρήσεις RaaS, όπου οι προγραμματιστές συνήθως αναζητούν συνεργάτες για να εισβάλουν στο δίκτυο ενός στόχου, να κλέψουν δεδομένα και να αναπτύξουν malware κρυπτογράφησης αρχείων. Στη συνέχεια, τα δύο μέρη μοιράστηκαν τα κέρδη που αποκόμισαν από τις πληρωμές λύτρων, με τους προγραμματιστές να παίρνουν το μικρότερο μερίδιο (έως και 30%).
Η Advanced Intel (AdvIntel) διαπίστωσε ότι οι προγραμματιστές του Zeppelin ransomware «αναζωογόνησαν» τη δραστηριότητά τους τον Μάρτιο. Ανακοίνωσαν «ένα σημαντικό update για το software» μαζί με έναν νέο γύρο πωλήσεων. Μετά το μεγάλο update, οι προγραμματιστές του Zeppelin κυκλοφόρησαν μία νέα παραλλαγή του malware στις 27 Απριλίου, η οποία επέφερε μικρή αλλαγή όσον αφορά τα χαρακτηριστικά, ενώ παράλληλα αύξησε τη σταθερότητα της κρυπτογράφησης.
Διαβεβαίωσαν επίσης τους τακτικούς πελάτες ότι η δουλειά πάνω στο malware συνεχίζεται και ότι οι μακροπρόθεσμοι χρήστες, που αναφέρονται ως «συνδρομητές», θα επωφεληθούν από ειδική μεταχείριση.
Το Zeppelin είναι μία από τις λίγες ransomware επιχειρήσεις στην αγορά που δεν υιοθετεί το καθαρό μοντέλο RaaS, ενώ αποτελεί μία από τις πιο δημοφιλείς συμμορίες.
Δείτε ακόμη: Microsoft: Μαζική εκστρατεία malware διανέμει fake ransomware!
Ο Yelisey Boguslavskiy, επικεφαλής της έρευνας της AdvIntel, εξήγησε πώς λειτουργούν οι προγραμματιστές του Zeppelin, επισημαίνοντας ότι εργάζονται πάνω σε «ένα πιο εκτεταμένο πεδίο λειτουργιών» με στενούς συνεργάτες που αγόρασαν το malware.
Η AdvIntel προειδοποιεί ότι παρά την έλλειψη οργάνωσης που είναι χαρακτηριστική για το μοντέλο RaaS, το Zeppelin θα μπορούσε να καταστήσει πιο δύσκολη την καταπολέμηση της απειλής του ransomware, καθώς η πρόσβαση στο malware επιτρέπει σε άλλους προγραμματιστές να κλέψουν χαρακτηριστικά για τα «προϊόντα» τους.
Η εταιρεία αναφέρει επίσης ότι οι χρήστες του Zeppelin είναι μεμονωμένοι αγοραστές που δεν περιπλέκουν τις επιθέσεις τους και βασίζονται σε κοινά αρχικά διανύσματα επίθεσης όπως το RDP, οι ευπάθειες σε VPN και το phishing.
Πρόταση: Έξι ransomware συμμορίες έχουν «χτυπήσει» 292 οργανισμούς το 2021!
Επιπλέον, οι φορείς εκμετάλλευσης του Zeppelin δεν έχουν data leak site, όπως οι περισσότερες ομάδες RaaS, ενώ παράλληλα εστιάζουν στην κρυπτογράφηση των δεδομένων και όχι στην κλοπή τους.
Η AdvIntel συνιστά την παρακολούθηση και τον έλεγχο remote desktop και VPN συνδέσεων, ως αποτελεσματική άμυνα ενάντια στην απειλή του Zeppelin ransomware.
Ακόμα και χωρίς να έχει την πολυπλοκότητα μιας επιχείρησης RaaS, το Zeppelin ransomware προκαλεί ανησυχία, καθώς οι επιθέσεις με αυτό το στέλεχος είναι δύσκολο να εντοπιστούν, ειδικά όταν χρησιμοποιούνται νέα downloaders, όπως ανακάλυψε η Juniper Threat Labs τον περασμένο Αύγουστο.
Πηγή πληροφοριών: bleepingcomputer.com