Les entreprises de technologie, d'immobilier et de soins de santé sont victimes de la variante VegaLocker Ransomware, Zeppelin

zeppelin ransomware

Le rançongiciel Zeppelin, une menace de logiciel malveillant relativement récente, fait partie de la famille des rançongiciels VegaLocker, aux côtés de Jumper (Jamper) et Buran. Il est écrit dans le langage de programmation Delphi, qui est catégorisé comme un langage "de haut niveau". Le code source de Delphi s'avère assez difficile à inverser, ce qui ne fonctionne qu'à l'avantage de Zeppelin. La menace Zeppelin est une variante de la menace Bourane en particulier , car ce sont deux infections Ransomware-as-a-Service (RaaS). Un modèle RaaS vous permet de cibler un système, même si vous n'avez aucune connaissance des cyberattaques. C'est un type d'abonnement. Vous vous abonnez à l'utilisation d'un certain RaaS et vous évitez d'avoir à coder le ransomware vous-même. Au lieu de cela, vous utilisez la menace de quelqu'un d'autre. Les bénéfices que l'infection apporte ensuite se répartissent entre son créateur et la personne qui paie pour l'utiliser. La menace Zeppelin RaaS offre la même répartition des bénéfices que son prédécesseur Buran - 75% de l'argent va aux affiliés, les 25% restants allant aux opérateurs de ransomware.

La cyber-menace Zeppelin est apparue pour la première fois en novembre 2019. Et, en moins d'un mois, sa liste cible était entièrement composée d'entreprises du secteur informatique et de la santé. Les informations faisant état d'attaques récentes indiquent que Zeppelin pourrait également avoir tourné son regard vers les sociétés immobilières. Zeppelin semble se concentrer sur des entités situées aux États-Unis et en Europe.

Zeppelin offre tous les avantages d'une menace RaaS. Il est hautement configurable car vous pouvez le modifier à votre guise - montant de la rançon, liste cible préférée, contenu des notes de rançon, tout peut être modifié selon vos préférences. Vous pouvez également choisir comment il sera déployé - sous forme de fichier .dll ou .exe, ou même encapsulé dans un chargeur PowerShell. Une fois que vous avez pris ces décisions et que le ransomware est déployé dans un système, il ne procède pas seulement au chiffrement et à l'extorsion. Il suit également une liste d'instructions, de choses à faire lorsque vous êtes dans la machine. Il met fin à une variété de processus et se concentre sur ceux qui concernent la base de données et la sauvegarde, ainsi que les serveurs de messagerie.

De plus, les exécutables sont sous trois couches d'obscurcissement. Le rançongiciel Zeppelin utilise l'obscurcissement, ainsi que des techniques de sensibilisation à l'environnement, pour échapper avec succès aux défenses des points de terminaison basées sur les signatures. C'est une infection assez sophistiquée.

code de rançongiciel Zeppelin
Exemple de chaîne obscurcie Zeppelin. - Source: Threatvector.Cylance.com

Que suit l'infiltration de Zeppelin?

Une fois que Zeppelin est entré dans votre machine, il s'installe dans un dossier temporaire avec le nom «zeppelin», où il tire son nom. Dès que le ransomware s'installe dans votre système, il se déclenche. Il utilise des algorithmes de cryptographie pour crypter vos données. Documents, archives, photos, vidéos, tout est verrouillé. Si vous souhaitez le déverrouiller, vous devez suivre les demandes du ransomware.

Pour sécuriser sa conservation sur vos fichiers, Zeppelin attache une extension aléatoire à chacune de celles que vous avez sur votre PC. Chaque fichier est renommé et rendu inaccessible. Le ransomware utilise le système numérique hexadécimal. Par exemple, une image qui s'appelait auparavant "1.jpg" devient "1.jpg.126-D7C-E67". Mis à part ce format d'extension 3x3, Zeppelin a également la possibilité de joindre ".zeppelin" à la fin de chaque fichier. Ainsi, le fichier "1.jpg" se transforme en "1.jpg.zeppelin". Le ransomware ajoute également des marqueurs de fichier aux données verrouillées. Ils partagent également le nom de «zeppelin». Une myriade de symboles peut entourer le marqueur, et les symboles qu'il obtient dépendent de l'éditeur hexadécimal et du format de caractère que vous utilisez.

Dès que Zeppelin a vos fichiers à sa portée, il vous laisse un fichier texte avec des demandes. Il s'appelle "!!! TOUS VOS FICHIERS SONT CHIFFRÉS !!!. TXT." C'est la note de rançon qui répertorie tout ce que les cybercriminels attendent de vous si vous souhaitez reprendre le contrôle de vos données.

zeppelin ransomware note
Image de la note de rançon de Zeppelin Ransomware en texte brut. - Source: i2.wp.com

Le message qu'il contient est le suivant:






!!! TOUS VOS FICHIERS SONT CRYPTÉS !!!
Tous vos fichiers, documents, photos, bases de données et autres fichiers importants sont cryptés.
Vous n'êtes pas en mesure de le décrypter vous-même! La seule méthode de récupération de fichiers consiste à acheter une clé privée unique. Nous seuls pouvons vous donner cette clé et nous seuls pouvons récupérer vos fichiers.
Pour être sûr que nous avons le décrypteur et qu'il fonctionne, vous pouvez envoyer un e-mail: bad_sysadmin (at) protonmail [.] Com et décrypter un fichier gratuitement.
Mais ce fichier ne devrait pas avoir de valeur!
Voulez-vous vraiment restaurer vos fichiers?
Écrivez à l'email: bad_sysadmin (at) protonmail [.] Com
Votre identifiant personnel:

Attention!
* Ne renommez pas les fichiers cryptés.
* N'essayez pas de décrypter vos données à l'aide d'un logiciel tiers, cela pourrait entraîner une perte de données permanente.
* Le décryptage de vos fichiers avec l'aide de tiers peut entraîner une augmentation du prix (ils ajoutent leurs frais à nos frais) ou vous pouvez devenir victime d'une arnaque.

Le ransomware prétend que seule une clé de déchiffrement unique peut déverrouiller vos fichiers, et si vous souhaitez l'avoir, vous devez contacter les ravisseurs de données par e-mail. Une fois que vous aurez tendu la main, ils vous reviendront avec des instructions plus détaillées, comme le montant exact de la rançon, comment leur envoyer, etc. La somme est supposée rester dans la plage d'un nombre à trois ou quatre chiffres, généralement censé être payé en Bitcoin ou dans un autre type de monnaie numérique (crypto-monnaie).

Vous ne devez en aucun cas payer! N'oubliez pas que vous traitez avec des cybercriminels. Ce sont des individus malveillants, qui se sont frayé un chemin dans votre machine, ont verrouillé vos fichiers et vous extorquent maintenant de l'argent. Ne donnez rien à ces gens, pas votre temps, pas votre énergie, et certainement pas votre argent. Ce sera un effort inutile, car ils vous doubleront. Une fois qu'ils ont obtenu votre argent, ils ne vous utilisent plus, alors ils passent à la prochaine victime. Ne laissez pas ces extorqueurs malveillants vous exploiter.

Liste des cibles de Zeppelin

Le message de rançon est en anglais, ce qui fait allusion aux cibles choisies pour l'infection. L'objectif principal de Zeppelin est de cibler des sociétés aux États-Unis, en Europe et au Canada. La Russie et une série de régions de l'ex-URSS semblent exclues de la liste cible du ransomware. Parmi les exclus, vous trouvez l'Ukraine, la Biélorussie et le Kazakhstan. L'infection parvient à affirmer si vous êtes dans l'un de ces pays ou ailleurs, en fouillant dans votre système. Il vérifie le code de pays par défaut ou la langue configurée dans Windows. Dès qu'il fait son évaluation, il agit conformément - soit en déclenchant l'attaque de votre machine, soit en vous retirant.

Les premières étapes de Zeppelin dans le ciblage de votre PC incluent la fin des fonctions de niveau de base. Les serveurs associés à votre ordinateur et toutes les bases de données associées sont les premiers à tomber en panne. Vos sauvegardes - disparu. Le ransomware suit la programmation pour crypter les fichiers de démarrage du système, les applications de navigateur Web, les répertoires du système d'exploitation Windows et les fichiers utilisateur dans le but de préserver la fonction du système. Il désactive la récupération et fait de son mieux pour paralyser votre machine. Vient ensuite le chiffrement suivi de l'affichage des notes de rançon et des tentatives d'extorsion.

Zeppelin change-t-il de vitesse pour mieux tirer parti des nouvelles stratégies de sauvegarde des données?

Des rapports ont commencé à arriver sur un changement de tactique du rançongiciel Zeppelin. Au lieu de crypter les données de la machine après l'attaque et d'exiger le paiement du décryptage, il essaie une approche différente. Zeppelin a maintenant commencé à voler des fichiers au lieu de les verrouiller. Ensuite, ils s'habituent à vous faire pression pour payer les ravisseurs de données. Si cette tactique échoue, les cybercriminels derrière le hack peuvent vendre les données volées sur le dark web pour un profit rapide. Cela se révèle être une approche assez lucrative pour gagner de l'argent, avec des objectifs à la fois petits et grands. Tel qu'établi, Zeppelin lance principalement des attaques contre les entreprises du secteur informatique et de la santé . Ce sont des entités qui sont plus susceptibles de se conformer et de payer la rançon que les utilisateurs à domicile. C'est pourquoi ils sont la cible de rêve de Zeppelin. Cette stratégie de ciblage des grandes entreprises a même un nom dans la culture des cyberattaques - «Big Game Hunting».

nombre de victimes de ransomwares année 2019
Victimes à grande échelle d'attaques de ransomwares en 2019 aux États-Unis, Source: ninjarmm.com

Le changement de stratégie est devenu nécessaire après que les entreprises ont commencé à sauvegarder leurs données pour s'assurer que même si elles étaient en proie à une telle attaque, elles ne seraient pas obligées de payer. C'est pourquoi les menaces de ransomware comme Zeppelin ont adopté cette nouvelle approche.

Comment Zeppelin a-t-il trouvé son chemin dans votre machine?

Les infections par rançongiciels, comme Zeppelin, sont astucieuses en matière d'infiltration. Ils sont ingénieux et parviennent à vous dépasser sans être détectés, vous faisant prendre conscience de leur présence après leur grève.

L'infection se transforme en bouffonneries habituelles pour envahir, et la méthode la meilleure et la plus simple pour l'invasion est via des campagnes de malvertising. Zeppelin utilise des campagnes de spam à grande échelle. Si vous êtes assez naïf pour ouvrir des e-mails suspects et télécharger leur contenu ou cliquer sur les liens auxquels ils vous invitent, vous serez coincé avec le ransomware. Méfiez-vous des e-mails, dont vous ne reconnaissez pas les expéditeurs, ou que vous le faites, mais quelque chose ne va pas. Faites confiance à votre instinct et soyez toujours très vigilant. La plupart des pirates utilisent des noms et logos légitimes pour les e-mails qu'ils envoient. Par exemple, vous pourriez recevoir un e-mail prétendant provenir de PayPal ou d'Amazon. Et, demandez à nouveau de renseigner vos informations personnelles et financières pour «vérification». Ou, l'e-mail peut indiquer que les termes et conditions ont changé, et si vous souhaitez voir comment, vous devez télécharger le fichier joint. Ne tombez pas dans cette ruse.

Il existe également d'autres méthodes d'invasion. Il peut se propager via des fournisseurs de services gérés (MSP). Le ransomware a attaqué des sociétés informatiques et de santé et ciblé des MSP dans le but de poursuivre le processus d'infection et d'infecter les clients via un logiciel de gestion. Il peut également faire de l'auto-stop dans votre système sur un cheval de Troie, de faux mises à jour ou via des logiciels gratuits, des liens corrompus et des sites. Les torrents corrompus offrent également un accès facile. Abordez tout avec prudence et vous pourriez repérer la tromperie avant de subir les conséquences de la naïveté ou du manque d'attention.

Si vous tombez pour la tromperie du ransomware, ouvrez le courrier "officiel", "important" ou "prioritaire" et téléchargez la pièce jointe ou cliquez sur le lien, le téléchargement et l'installation du malware sont immédiats. C'est la même chose avec les fausses mises à jour qui, au lieu d'installer des mises à jour, installent des logiciels malveillants. Les liens, sites et logiciels gratuits corrompus suivent le même schéma. Et, comme pour les chevaux de Troie, ils sont même capables de provoquer des infections en chaîne. Gardez votre logiciel antivirus ou anti-espion à jour et soyez sur vos gardes lorsque vous naviguez sur le Web ou parcourez vos e-mails. Ne laissez pas les logiciels malveillants vous échapper .

Si vous souhaitez éviter le tracas du traitement des ransomwares, créez des sauvegardes pour tous vos fichiers. Notez également que faire ces sauvegardes sur la même machine est inutile. Vous devez les avoir sur un appareil séparé afin que si votre PC est victime d'une telle attaque malveillante, vous savez au moins que vos fichiers sont en sécurité.

February 26, 2020
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.