Tekniska, fastighets- och sjukvårdsföretag faller offer för VegaLocker Ransomware Variant, Zeppelin

zeppelin ransomware

Zeppelin ransomware, ett relativt nyare malwarehot, har visat sig vara en del av VegaLocker ransomware-familjen, tillsammans med Jumper (Jamper) och Buran. Det är skrivet på Delphi-programmeringsspråket, som kategoriseras som ett "hög nivå" -språk. Delphi-källkoden visar sig vara ganska utmanande att omvända ingenjör, vilket bara fungerar till Zeppelins fördel. Zeppelinhotet är en variant av Buran-hotet specifikt , eftersom de båda är Ransomware-as-a-Service (RaaS) -infektioner. En RaaS-modell låter dig rikta in dig på ett system, även om du inte har någon kunskap om cyberattacker. Det är en typ av prenumeration. Du prenumererar på att använda en viss RaaS och befriar dig från att behöva koda ransomware själv. Istället använder du någon annans hot. De vinster som infektionen sedan ger uppdelas mellan dess skapare och den som betalar för att använda den. Zeppelin RaaS-hotet erbjuder samma vinstdelning som föregångaren Buran gjorde - 75% av pengarna går till dotterbolagen, med de resterande 25% till ransomware-operatörerna.

Zeppelin-cyberhoten kom först ut i november 2019. Och på högst en månad bestod mållistan helt och hållet av företag från IT- och sjukvårdssektorn. Rapporter om nyligen angrepp indikerar att Zeppelin också kan ha riktat sig mot fastighetsföretag. Zeppelin verkar ha sitt fokus på enheter belägna i USA och Europa.

Zeppelin erbjuder alla förmåner av ett RaaS-hot. Det är mycket konfigurerbart eftersom du kan ändra det efter dina önskemål - lösenbelopp, önskad mållista, lösningsinnehållsinnehåll, allt kan ändras till dina önskemål. Du kan också välja hur den ska distribueras - som en .dll- eller .exe-fil, eller till och med inlindad i en PowerShell-lastare. När du väl fattar dessa beslut och ransomware distribueras i ett system fortsätter det inte bara med kryptering och utpressning. Den följer också en lista med instruktioner, saker att göra medan du är i maskinen. Det avslutar en mängd olika processer och fokuserar på de som har att göra med databas och säkerhetskopiering och postservrar.

Dessutom är körbara enheterna under tre skymningar av beläggning. Zeppelin ransomware använder obfuscation såväl som miljömedvetenhetstekniker för att undgå signaturbaserade slutpunktsförsvar framgångsrikt. Det är en ganska sofistikerad infektion.

zeppelin ransomware-kod
Exempel på Zeppelin obuskerad sträng. - Källa: Threatvector.Cylance.com

Vad följer Zeppelins infiltration?

När Zeppelin kommer in i din maskin installerar den sig i en tillfällig mapp med namnet 'zeppelin', där det får sitt namn. Så snart ransomware sänker sig i ditt system, slår den. Den använder krypteringsalgoritmer för att kryptera dina data. Dokument, arkiv, foton, videor, allt det låses fast. Om du vill låsa upp det måste du följa ransomware-kraven.

För att säkerställa att de har dina filer, sätter Zeppelin en slumpmässig förlängning till varje enskild du har på din PC. Varje fil byts namn och görs otillgänglig. Ransomware använder det hexadecimala numeriska systemet. Till exempel blir en bild som brukade kallas "1.jpg" "1.jpg.126-D7C-E67." Bortsett från det 3x3 förlängningsformatet har Zeppelin också möjligheten att bifoga ".zeppelin" i slutet av varje fil. Så filen "1.jpg" förvandlas till "1.jpg.zeppelin." Ransomware lägger också till filmarkörer till den låsta datan. De delar också namnet "zeppelin". En mängd symboler kan omge markören, och vilka symboler den får beror på hexredigeraren och teckenformatet du använder.

Så snart Zeppelin har dina filer under sitt grepp lämnar det dig en textfil med krav. Det kallas "!!! ALLA FILER BESKRIVAS !!!. TXT." Det är lösningsmeddelandet som listar allt som cyberbrottslingarna förväntar dig att göra om du vill återfå kontroll över dina uppgifter.

zeppelin ransomware-anmärkning
Bild av Zeppelin Ransomwares lösenanteckning i vanlig text. - Källa: i2.wp.com

Meddelandet som den innehåller är som följer:






!!! ALLA DINA FILER KONTROLLERAS !!!
Alla dina filer, dokument, foton, databaser och andra viktiga filer är krypterade.
Du kan inte dekryptera det själv! Den enda metoden för att återställa filer är att köpa en unik privat nyckel. Endast vi kan ge dig den här nyckeln och bara vi kan återställa dina filer.
För att vara säker på att vi har dekrypteraren och den fungerar kan du skicka ett e-postmeddelande: bad_sysadmin (at) protonmail [.] Com och dekryptera en fil gratis.
Men den här filen bör inte vara värdefull!
Vill du verkligen återställa dina filer?
Skriv till e-post: bad_sysadmin (at) protonmail [.] Com
Din personliga ID:

Uppmärksamhet!
* Byt inte namn på krypterade filer.
* Försök inte att dekryptera dina data med hjälp av programvara från tredje part, det kan orsaka permanent dataförlust.
* Dekryptering av dina filer med hjälp av tredje part kan orsaka ökat pris (de lägger deras avgift till vår) eller så kan du bli ett offer för en bedrägeri.

Ransomware hävdar att endast en unik dekrypteringsnyckel kan låsa upp dina filer, och om du vill ha det måste du kontakta datasnapparna via e-post. När du når ut kommer de tillbaka till dig med mer ingående instruktioner, som det exakta lösenbeloppet, hur de skickas till dem och så vidare. Summan antas vara kvar i intervallet med ett nummer med tre eller fyra siffror, som normalt förväntas få betalt i Bitcoin eller någon annan typ av digital valuta (cryptocurrency).

Under inga omständigheter ska du betala! Glöm inte att du har att göra med cyberbrottslingar. Det här är skadliga individer som vingade sig in i din maskin, låste dina filer och nu utpressar dig för pengar. Ge ingenting till dessa människor, inte din tid, inte din energi och absolut inte dina pengar. Det kommer att vara en slösad ansträngning, för de kommer att dubbelkorsa dig. När de väl har fått dina pengar använder de dig inte mer, så de går vidare till nästa offer. Låt inte dessa skadliga utpressare utnyttja dig.

Zeppelins mållista

Lösenmeddelandet är på engelska, vilket antyder infektionens valda mål. Zeppelins främsta mål är att rikta in sig på företag i USA, Europa och Kanada. Ryssland och en rad ex-Sovjetiska regioner verkar uteslutna från ransomwarens mållista. Bland de uteslutna hittar du Ukraina, Vitryssland och Kazakstan. Infektionen lyckas bekräfta om du är i ett av dessa länder eller någon annanstans, genom att pirka runt ditt system. Den kontrollerar standardlandskoden eller det konfigurerade språket i Windows. Så snart den gör sin bedömning agerar den i enlighet - antingen initierar attacken på din maskin eller drar sig ur den.

Zeppelins första steg för att rikta in sig på din dator inkluderar avslutande av grundnivåfunktioner. Servrar som är associerade med din dator och alla tillhörande databaser är de första att gå ner. Dina säkerhetskopior - borta. Ransomware följer programmering för att kryptera systemuppstartsfiler, webbläsarapplikationer, Windows-operativsystemkataloger och användarfiler med målet att bevara systemfunktionen. Det inaktiverar återhämtningen och gör sitt bästa för att lamslå din maskin. Sedan kommer kryptering följt av ransom-anteckningsvisningen och utpressningsförsök.

Skiftar Zeppelin växlar för att bättre utnyttja nya säkerhetskopieringsstrategier för data?

Rapporter har börjat komma in om ett taktikskifte från Zeppelin ransomware. Istället för att kryptera maskinens data efter attacken och kräva betalning för dekrypteringen, försöker den en annan metod. Zeppelin har nu börjat stjäla filer i stället för att låsa dem. Då vänjer de sig på att pressa dig till att betala datain kidnapparna. Om den taktiken misslyckas kan cyberbrottslingarna bakom hacken sälja den stulna informationen på den mörka webben för en snabb vinst. Det bevisar en ganska lukrativ strategi för att tjäna pengar, med både små och stora mål. Som etablerat lanserar Zeppelin främst attacker mot företag från IT- och sjukvårdssektorn . Det här är enheter som är mer benägna att följa och betala lösen jämfört med hemmabrukare. Det är därför de är Zeppelins drömmål. Denna strategi för att rikta in sig på stora företag har till och med ett namn i cyberattackskulturen - "Big Game Hunting."

ransomware-erbjudande nummer år 2019
Storskaliga offer för ransomware-attacker 2019 i USA, Källa: ninjarmm.com

Förändringen i strategi blev nödvändig efter att företag började säkerhetskopiera sina uppgifter för att säkerställa att även om de föll offer för en sådan attack, skulle de inte tvingas till betalning. Därför har ransomware-hot som Zeppelin tagit denna nya strategi.

Hur hittade Zeppelin vägen in i din maskin?

Ransomware-infektioner, som Zeppelin, är hantigt när det gäller infiltration. De är snarrådiga och lyckas glida förbi dig oupptäckta, vilket gör dig medveten om deras närvaro efter att de strejkar.

Infektionen vänder sig till de vanliga anfallen att invadera, och den bästa och enklaste metoden för invasion är via malvertiseringskampanjer. Zeppelin använder storskaliga e-postkampanjer. Om du är naiv tillräckligt för att öppna misstänkta e-postmeddelanden och ladda ner innehållet eller klicka på länkar som de uppmanar dig kommer du att fastna i ransomware. Var försiktig med e-postmeddelanden, vars avsändare du inte känner igen eller gör, men något känns av. Lita på dina instinkter och vara alltid extra vaksamma. De flesta hackare använder legitima namn och logotyper när det gäller e-postmeddelandena de skickar ut. Till exempel kan du få ett e-postmeddelande som säger att du kommer från PayPal eller Amazon. Och blir ombedd att fylla din personliga och ekonomiska information igen för "verifiering". Eller så kan e-postmeddelandet säga att villkoren har ändrats, och om du vill se hur, måste du ladda ner den bifogade filen. Falla inte för detta trick.

Det finns andra metoder för invasion det också kan vända sig till. Det kan spridas via hanterade tjänsteleverantörer (MSP). Ransomware attackerade IT- och sjukvårdsföretag och riktade MSP: er i ett försök att främja infektionsprocessen och infektera kunder via hanteringsprogramvara. Det kan också hike till ditt system på en trojan, falska uppdaterare eller via freeware, skadade länkar och webbplatser. Skadade torrenter ger också enkel åtkomst. Närma dig allt med försiktighet, och du kan upptäcka vilseledningen innan du får konsekvenserna av naivitet eller brist på uppmärksamhet.

Om du faller för ransomwarens bedrägeri, öppnar du den "officiella", "viktiga" eller "prioriterade" posten och laddar ner bilagan eller klickar på länken, nedladdningen och installationen av skadlig programvara är omedelbar. Det är samma sak med falska uppdaterare, som istället för att installera uppdateringar, installerar skadlig programvara. Skadade länkar, webbplatser och freeware följer samma mönster. Och vad gäller trojaner kan de till och med orsaka kedjeinfektioner. Håll ditt antivirus- eller antispionprogramvara uppdaterat och var noga när du surfar på webben eller tittar igenom dina e-postmeddelanden. Låt inte skadlig programvara glida förbi dig .

Om du vill undvika det hektiska att hantera ransomware skapar du säkerhetskopior för alla dina filer. Observera också att det är meningslöst att göra dessa säkerhetskopior på samma maskin. Du måste ha dem på en separat enhet så att om din PC blir offer för en sådan skadlig attack, åtminstone vet du att dina filer är säkra.

February 26, 2020
Läser in...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.