Tech, Real Estate και εταιρείες υγειονομικής περίθαλψης πέφτουν θύματα της VegaLocker Variant Ransomware, Zeppelin

zeppelin ransomware

Το Zeppelin ransomware, μια σχετικά πιο πρόσφατη απειλή κακόβουλου λογισμικού, βρέθηκε να αποτελεί μέρος της οικογένειας VegasLocker ransomware, μαζί με τον Jumper (Jamper) και τον Buran. Είναι γραμμένο στη γλώσσα προγραμματισμού των Δελφών, η οποία κατηγοριοποιείται ως γλώσσα "υψηλού επιπέδου". Ο πηγαίος κώδικας των Δελφών αποδεικνύει αρκετά δύσκολο να αναστρέψει τον μηχανικό, ο οποίος λειτουργεί μόνο με το πλεονέκτημα του Zeppelin. Η απειλή Zeppelin είναι μια παραλλαγή της απειλής Buran συγκεκριμένα , καθώς είναι και οι δύο μολύνσεις Ransomware-as-a-Service (RaaS). Ένα μοντέλο RaaS σάς επιτρέπει να στοχεύετε σε ένα σύστημα, ακόμη και αν δεν έχετε καμία γνώση σχετικά με επιθέσεις στον κυβερνοχώρο. Είναι ένας τύπος συνδρομής. Μπορείτε να εγγραφείτε στη χρήση ενός συγκεκριμένου RaaS και να απαλλαγείτε από την υποχρέωση να υπογράψετε τον εαυτό σας με το ransomware. Αντ 'αυτού, χρησιμοποιείτε την απειλή κάποιου άλλου. Τα κέρδη που η μόλυνση προκαλεί τότε διαχωρίζεται μεταξύ του δημιουργού και του ατόμου που πληρώνει για να το χρησιμοποιήσει. Η απειλή Zeppelin RaaS προσφέρει το ίδιο κέρδος, όπως και ο προκάτοχός της Buran - το 75% των χρημάτων πηγαίνει στις θυγατρικές, ενώ το υπόλοιπο 25% πηγαίνει στους φορείς εκμετάλλευσης ransomware.

Η απειλή για τον κυβερνοχώρο Zeppelin εμφανίστηκε για πρώτη φορά τον Νοέμβριο του 2019. Και, μέσα σε ένα μήνα, ο κατάλογος στόχων του περιελάμβανε εξ ολοκλήρου εταιρείες της βιομηχανίας πληροφορικής και υγείας. Αναφορές πρόσφατων επιθέσεων δείχνουν ότι η Zeppelin μπορεί να έχει αλλάξει τα βλέμματά της και σε εταιρείες ακινήτων. Το Zeppelin φαίνεται να επικεντρώνεται σε οντότητες που βρίσκονται στις ΗΠΑ και στην Ευρώπη.

Το Zeppelin προσφέρει όλα τα πλεονεκτήματα μιας απειλής RaaS. Είναι ιδιαίτερα διαμορφωμένο, καθώς μπορείτε να το τροποποιείτε ανάλογα με το όνομά σας - ποσό λύτρα, προτιμώμενη λίστα στόχων, περιεχόμενα σημείων λύτρας, όλα μπορούν να αλλάξουν στην προτίμηση σας. Μπορείτε επίσης να επιλέξετε τον τρόπο με τον οποίο αναπτύσσεται - ως αρχείο .dll ή .exe ή ακόμα και τυλιγμένο σε φορτωτή PowerShell. Μόλις λάβετε αυτές τις αποφάσεις και το ransomware τοποθετηθεί σε ένα σύστημα, δεν προχωρεί μόνο με κρυπτογράφηση και εκβιασμούς. Ακολουθεί επίσης μια λίστα με οδηγίες, πράγματα που πρέπει να κάνετε ενώ βρίσκεστε στο μηχάνημα. Καταργεί μια ποικιλία διαδικασιών και επικεντρώνεται σε εκείνες που έχουν να κάνουν με βάση δεδομένων και backup και διακομιστές αλληλογραφίας.

Επιπλέον, τα εκτελέσιμα είναι κάτω από τρία στρώματα εμπλοκής. Το ransomware της Zeppelin χρησιμοποιεί την αποκρυπτογράφηση, καθώς και τις τεχνικές ευαισθητοποίησης του περιβάλλοντος, για να αποφύγει επιτυχώς τις αμυντικές παραμέτρους που βασίζονται σε υπογραφές. Είναι μάλλον περίπλοκη λοίμωξη.

κωδα ransomware zeppelin
Παράδειγμα ζευγαρωμένης σειράς Zeppelin. - Πηγή: Threatvector.Cylance.com

Τι ακολουθεί η διείσδυση του Zeppelin;

Αφού ο Zeppelin εισέλθει στο μηχάνημά σας, εγκαθίσταται σε ένα προσωρινό φάκελο με το όνομα 'zeppelin', το οποίο παίρνει το όνομά του. Μόλις το ransomware εγκατασταθεί στο σύστημά σας, χτυπά. Χρησιμοποιεί αλγόριθμους κρυπτογράφησης για την κρυπτογράφηση των δεδομένων σας. Τα έγγραφα, τα αρχεία, οι φωτογραφίες, τα βίντεο, όλα είναι κλειδωμένα. Εάν θέλετε να το ξεκλειδώσετε, πρέπει να ακολουθήσετε τις απαιτήσεις του ransomware.

Για να εξασφαλίσετε τη συγκράτησή του στα αρχεία σας, το Zeppelin αποδίδει μια τυχαιοποιημένη επέκταση σε κάθε μία που έχετε στον υπολογιστή σας. Κάθε αρχείο μετονομάζεται και καθίσταται απρόσιτο. Το ransomware χρησιμοποιεί το δεκαεξαδικό σύστημα αριθμών. Για παράδειγμα, μια εικόνα που κάποτε ονομαζόταν "1.jpg" γίνεται "1.jpg.126-D7C-E67". Εκτός από αυτή τη μορφή επέκτασης 3x3, ο Zeppelin έχει επίσης την επιλογή να επισυνάψει ".zeppelin" στο τέλος κάθε αρχείου. Έτσι, το αρχείο "1.jpg" μετατρέπεται σε "1.jpg.zeppelin". Το ransomware προσθέτει επίσης σήματα αρχείου στα κλειδωμένα δεδομένα. Μοιράζονται επίσης το όνομα 'zeppelin'. Μια μυριάδα συμβόλων μπορεί να περιβάλλει τον δείκτη και τα σύμβολα που παίρνει εξαρτώνται από τον επεξεργαστή hex και τη μορφή χαρακτήρων που χρησιμοποιείτε.

Μόλις ο Zeppelin έχει τα αρχεία σας υπό την αιγίδα του, σας αφήνει ένα αρχείο κειμένου με απαιτήσεις. Ονομάζεται "ΟΛΑ ΤΑ ΑΡΧΕΙΑ ΣΑΣ ΕΙΝΑΙ ΑΚΡΙΒΕΤΑΙ !!!". Αυτή είναι η σημείωση λύτρων που απαριθμεί όλα όσα οι κυβερνοεγκληματίες αναμένουν να κάνετε αν θέλετε να ανακτήσετε τον έλεγχο των δεδομένων σας.

zeppelin ransomware σημειωση
Εικόνα της σημείωσης λύτρας Zeppelin Ransomware σε απλό κείμενο. - Πηγή: i2.wp.com

Το μήνυμα που περιέχει είναι ως εξής:






!!! ΟΛΑ ΤΑ ΑΡΧΕΙΑ ΕΙΝΑΙ ΑΚΡΙΒΕΤΑΙ !!!
Όλα τα αρχεία, τα έγγραφα, οι φωτογραφίες, οι βάσεις δεδομένων και άλλα σημαντικά αρχεία κρυπτογραφούνται.
Δεν είστε σε θέση να το αποκρυπτογραφήσετε μόνοι σας! Η μόνη μέθοδος ανάκτησης αρχείων είναι η αγορά ενός μοναδικού ιδιωτικού κλειδιού. Μόνο μπορούμε να σας δώσουμε αυτό το κλειδί και μόνο μπορούμε να ανακτήσουμε τα αρχεία σας.
Για να είμαστε βέβαιοι ότι έχουμε τον αποκρυπτογράφο και λειτουργεί, μπορείτε να στείλετε ένα email: bad_sysadmin (at) protonmail [.] Com και να αποκρυπτογραφήσετε ένα αρχείο δωρεάν.
Αλλά αυτό το αρχείο δεν πρέπει να είναι πολύτιμο!
Θέλετε πραγματικά να επαναφέρετε τα αρχεία σας;
Γράψτε στο email: bad_sysadmin (at) protonmail [.] Com
Το προσωπικό σας αναγνωριστικό:

Προσοχή!
* Μην μετονομάσετε κρυπτογραφημένα αρχεία.
* Μην επιχειρήσετε να αποκρυπτογραφήσετε τα δεδομένα σας χρησιμοποιώντας λογισμικό τρίτων, μπορεί να προκαλέσει μόνιμη απώλεια δεδομένων.
* Η αποκρυπτογράφηση των αρχείων σας με τη βοήθεια τρίτων μπορεί να προκαλέσει αυξημένη τιμή (προσθέτουν την αμοιβή τους) ή μπορείτε να γίνετε θύμα απάτης.

Το ransomware ισχυρίζεται ότι μόνο ένα μοναδικό κλειδί αποκρυπτογράφησης μπορεί να ξεκλειδώσει τα αρχεία σας και αν το επιθυμείτε, πρέπει να επικοινωνήσετε με τους απαγωγείς δεδομένων μέσω ηλεκτρονικού ταχυδρομείου. Μόλις φτάσετε, θα επιστρέψουν σε σας με πιο λεπτομερείς οδηγίες, όπως το ακριβές ποσό λύτρα, πώς να το στείλετε σε αυτούς και ούτω καθεξής. Το άθροισμα θεωρείται ότι παραμένει στην περιοχή ενός αριθμού με τρία ή τέσσερα ψηφία, που συνήθως αναμένεται να πληρωθεί στο Bitcoin ή σε κάποιον άλλο τύπο ψηφιακού νομίσματος (κρυπτοσυχνότητα).

Σε καμία περίπτωση δεν πρέπει να πληρώσετε! Μην ξεχνάτε ότι ασχολείστε με κυβερνοεγκληματίες. Αυτά είναι κακόβουλα άτομα, που βάζουν το δρόμο τους στο μηχάνημά σας, κλειδώνουν τα αρχεία σας και τώρα σας εξωθούν για χρήματα. Δώστε τίποτα σε αυτούς τους ανθρώπους, όχι στον χρόνο σας, όχι στην ενέργειά σας, και σίγουρα όχι στα χρήματά σας. Θα είναι χαμένη προσπάθεια, διότι θα σας διπλασιάσουν. Μόλις λάβουν τα χρήματά σας, δεν έχουν πλέον χρήση από εσάς, έτσι κινούνται προς το επόμενο θύμα. Μην επιτρέπετε σε αυτούς τους κακόβουλους εκβιαστικούς να σας εκμεταλλευτούν.

Ο κατάλογος στόχων του Zeppelin

Το μήνυμα λύσης είναι στα αγγλικά, το οποίο υποδηλώνει τους επιλεγμένους στόχους της λοίμωξης. Ο πρωταρχικός στόχος της Zeppelin είναι να στοχεύσει εταιρείες στις Ηνωμένες Πολιτείες, την Ευρώπη και τον Καναδά. Η Ρωσία και μια σειρά πρώην περιφερειών της ΕΣΣΔ φαίνεται να εξαιρούνται από τον κατάλογο στόχων του ransomware. Μεταξύ των αποκλεισμένων, βρίσκετε την Ουκρανία, τη Λευκορωσία και το Καζακστάν. Η λοίμωξη καταφέρνει να επιβεβαιώσει εάν βρίσκεστε σε μία από αυτές τις χώρες ή αλλού, σπρώχνοντας το σύστημά σας. Ελέγχει τον προεπιλεγμένο κωδικό χώρας ή τη ρυθμισμένη γλώσσα στα Windows. Μόλις πραγματοποιήσει την εκτίμησή της, ενεργεί σύμφωνα - είτε με την έναρξη της επίθεσης στο μηχάνημά σας είτε με την απόσυρσή της.

Τα πρώτα βήματα της Zeppelin στη στόχευση του υπολογιστή σας περιλαμβάνουν τον τερματισμό βασικών λειτουργιών επιπέδου. Οι διακομιστές που σχετίζονται με τον υπολογιστή σας και όλες τις σχετικές βάσεις δεδομένων είναι οι πρώτοι που κατεβαίνουν. Τα αντίγραφα ασφαλείας σας - έχουν πάει. Το ransomware ακολουθεί τον προγραμματισμό για την κρυπτογράφηση των αρχείων εκκίνησης του συστήματος, των εφαρμογών του προγράμματος περιήγησης στο Web, των καταλόγων λειτουργικού συστήματος των Windows και των αρχείων χρηστών, με στόχο τη διατήρηση της λειτουργίας του συστήματος. Απενεργοποιεί την ανάκτηση και προσπαθεί να παραλύσει το μηχάνημά σας. Στη συνέχεια έρχεται η κρυπτογράφηση ακολουθούμενη από την εμφάνιση των σημείων λύσης και τις προσπάθειες εκβιασμού.

Η Zeppelin μετατοπίζει τα εργαλεία για την καλύτερη αξιοποίηση νέων στρατηγικών δημιουργίας αντιγράφων ασφαλείας δεδομένων;

Οι εκθέσεις άρχισαν να έρχονται για μια αλλαγή τακτικής από το ransomware Zeppelin. Αντί να κρυπτογραφεί τα δεδομένα του μηχανήματος μετά την επίθεση και απαιτώντας πληρωμή για την αποκρυπτογράφηση, προσπαθεί να ακολουθήσει διαφορετική προσέγγιση. Ο Zeppelin έχει αρχίσει να κλέβει αρχεία αντί να τα κλειδώνει. Στη συνέχεια συνηθίζουν να σας πιέζουν να πληρώσετε τους απαγωγείς δεδομένων. Σε περίπτωση αποτυχίας αυτής της τακτικής, οι εγκληματίες του κυβερνοχώρου πίσω από το hack μπορούν να πουλήσουν τα κλεμμένα δεδομένα στον σκοτεινό ιστό για γρήγορο κέρδος. Αυτό αποδεικνύει μια αρκετά προσοδοφόρα προσέγγιση στη δημιουργία χρημάτων, τόσο με μικρούς όσο και με μεγάλους στόχους. Όπως καθιερώθηκε, ο Zeppelin ξεκινά κυρίως επιθέσεις εναντίον εταιρειών από τον κλάδο της πληροφορικής και της υγείας . Πρόκειται για οντότητες που είναι πιο πιθανό να συμμορφωθούν και να πληρώσουν τα λύτρα σε σύγκριση με τους οικιακούς χρήστες. Γι 'αυτό είναι ο στόχος των ονείρων του Zeppelin. Αυτή η στρατηγική στόχευσης μεγάλων επιχειρήσεων έχει ακόμη και ένα όνομα στην κουλτούρα επιθέσεων στον κυβερνοχώρο - «Big Game Hunting».

Τα θύματα ransomware αριθμούνται το έτος 2019
Μεγάλα θύματα επιθέσεων ransomware το 2019 στις ΗΠΑ, Πηγή: ninjarmm.com

Η μεταστροφή της στρατηγικής κατέστη αναγκαία αφού οι εταιρείες άρχισαν να υποστηρίζουν τα δεδομένα τους για να εξασφαλίσουν ότι ακόμα και αν πέσουν θύματα μιας τέτοιας επίθεσης, δεν θα αναγκαστούν να πληρώσουν. Αυτός είναι ο λόγος για τον οποίο οι απειλές ransomware όπως το Zeppelin έχουν υιοθετήσει αυτή τη νέα προσέγγιση.

Πώς μπήκε ο Zeppelin στον υπολογιστή σας;

Οι λοιμώξεις του Ransomware, όπως το Zeppelin, είναι άγριες όταν πρόκειται για διείσδυση. Είναι πολυάσχολοι και καταφέρνουν να γλιστρήσουν πέρα από την ανίχνευσή σας, καταγράφοντας την παρουσία τους μετά την απεργία.

Η λοίμωξη στρέφεται στις συνήθεις σκηνές για να εισβάλει και η καλύτερη και ευκολότερη μέθοδος εισβολής είναι μέσω εκστρατειών κακοποίησης. Η Zeppelin απασχολεί εκστρατείες ηλεκτρονικού ταχυδρομείου μεγάλης κλίμακας. Εάν είστε αρκετά αφελείς για να ανοίξετε ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου και να λάβετε τα περιεχόμενά τους ή κάντε κλικ στους συνδέσμους που σας παροτρύνουν, θα κολλήσετε με το ransomware. Να είστε επιφυλακτικοί με μηνύματα ηλεκτρονικού ταχυδρομείου, των οποίων οι αποστολείς δεν αναγνωρίζετε, ή το κάνετε, αλλά κάτι αισθάνεται μακριά. Εμπιστευθείτε τα ένστικτα σας και πάντα να είστε ιδιαίτερα προσεκτικοί. Οι περισσότεροι χάκερ χρησιμοποιούν νόμιμα ονόματα και λογότυπα όταν πρόκειται για τα μηνύματα ηλεκτρονικού ταχυδρομείου που στέλνουν. Για παράδειγμα, μπορεί να λάβετε ένα μήνυμα ηλεκτρονικού ταχυδρομείου που ισχυρίζεται ότι προέρχεται από το PayPal ή το Amazon. Και, ζητήστε να συμπληρώσετε ξανά τα προσωπικά και οικονομικά σας στοιχεία για «επαλήθευση». Ή, το μήνυμα ηλεκτρονικού ταχυδρομείου μπορεί να πει ότι οι όροι και οι συνθήκες έχουν αλλάξει, και αν θέλετε να δείτε πώς, πρέπει να κατεβάσετε το συνημμένο αρχείο. Μην πέσετε για αυτή την περιπλάνηση.

Υπάρχουν και άλλες μέθοδοι εισβολής στις οποίες μπορεί να στραφεί. Μπορεί να εξαπλωθεί μέσω παρόχων διαχειριζόμενων υπηρεσιών (MSPs). Το ransomware επιτέθηκε σε εταιρείες πληροφορικής και υγειονομικής περίθαλψης και στους στοχευμένους ΜΣΠ σε μια προσπάθεια να προωθήσουν τη διαδικασία μόλυνσης και να μολύνουν τους πελάτες μέσω λογισμικού διαχείρισης. Μπορεί επίσης να εκτοξεύσει στο σύστημά σας σε ένα Trojan, ψεύτικο updaters, ή μέσω freeware, κατεστραμμένο συνδέσεις, και τοποθεσίες. Τα κατεστραμμένα torrents παρέχουν επίσης εύκολη πρόσβαση. Προσεγγίστε τα πάντα με προσοχή και ενδεχομένως να εντοπίσετε την εξαπάτηση πριν υποφέρετε από τις συνέπειες της απληστίας ή έλλειψης προσοχής.

Εάν πέσετε για την εξαπάτηση του ransomware, ανοίξτε το μήνυμα "επίσημη", "σημαντική" ή "προτεραιότητα" και κάντε λήψη του συνημμένου ή κάντε κλικ στο σύνδεσμο, η λήψη και εγκατάσταση του κακόβουλου λογισμικού είναι άμεση. Είναι το ίδιο με τα ψεύτικα updaters, τα οποία αντί να εγκαθιστούν ενημερώσεις, εγκαθιστούν κακόβουλα προγράμματα. Οι αλλοιωμένοι σύνδεσμοι, οι ιστότοποι και το δωρεάν λογισμικό ακολουθούν το ίδιο μοτίβο. Και, όπως και για τους Trojans, είναι ακόμα ικανές να προκαλέσουν αλλεργικές λοιμώξεις. Διατηρήστε ενημερωμένο το λογισμικό προστασίας από ιούς ή λογισμικό αντιμετώπισης λογισμικού υποκλοπής spyware και φροντίστε να περιηγηθείτε στον ιστό ή να κοιτάξετε μέσω των μηνυμάτων ηλεκτρονικού ταχυδρομείου. Μην επιτρέπετε να μεταφερθεί κακόβουλο λογισμικό σε εσάς .

Αν θέλετε να αποφύγετε την ταραχή της αντιμετώπισης ransomware, δημιουργήστε αντίγραφα ασφαλείας για όλα τα αρχεία σας. Επίσης, σημειώστε ότι για να κάνετε αυτά τα αντίγραφα ασφαλείας στο ίδιο μηχάνημα είναι μάταιο. Πρέπει να τα έχετε σε ξεχωριστή συσκευή, έτσι ώστε αν ο υπολογιστής σας πέσει θύμα μιας τέτοιας κακόβουλης επίθεσης, γνωρίζετε τουλάχιστον ότι τα αρχεία σας είναι ασφαλή.

February 26, 2020
Φόρτωση...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.