Le rançongiciel Zeppelin fait son grand retour, utilisant de nouvelles tactiques de compromis et de cryptage lors de récentes campagnes contre diverses industries (en particulier la santé) et des organisations dotées d’infrastructures critiques, avertissent les responsables fédéraux.
Selon un avis publié jeudi par la Cybersecurity and Infrastructure Security Agency (CISA) pour infiltrer des cibles, les acteurs de la menace fournissant des ransomwares en tant que service (RaaS) utilisent le protocole RDD (Remote Desktop Protocol) sur les pare-feu SonicWall. utilisé le phishing de campagne. réseau. Selon CISA, Zeppelin semble également avoir une nouvelle tactique de cryptage multiple qui exécute le logiciel malveillant plusieurs fois sur le réseau d’une victime et crée différents identifiants et extensions de fichier pour les attaques multi-instances.
Objectifs et tactiques
Zeppelin, une variante basée sur Delphi de la famille Ransomware as a Service (RaaS), connue à l’origine sous le nom de Vega ou VegaLocker, a été annoncée sur le site Web russe Yandex.Direct début 2019, selon BlackBerry Cylance. Contrairement à son prédécesseur, la campagne de Zeppelin était plus ciblée, les attaquants ciblant initialement les entreprises de technologie et de soins de santé en Europe et aux États-Unis. Selon CISA, les dernières campagnes continuent de cibler le plus souvent les organisations médicales et de soins de santé. Les entreprises technologiques restent également dans le viseur de Zeppelin, les acteurs de la menace utilisant également RaaS pour attaquer les sous-traitants de la défense, les établissements d’enseignement et les fabricants, a indiqué l’agence.
Après avoir réussi à infiltrer un réseau, l’attaquant passe une semaine ou deux à cartographier ou à énumérer le réseau pour identifier les enclaves de données telles que le stockage dans le cloud et les sauvegardes réseau. Ensuite, extrayez le rançongiciel Zeppelin sous forme de fichier .dll ou .exe ou avec un chargeur PowerShell. Selon la CISA, Zeppelin semble également avoir utilisé une tactique standard de double ransomware lors de campagnes récentes, volant les fichiers de données sensibles d’une cible avant qu’ils ne soient chiffrés et payés plus tard par la victime.
Cryptage multiple
Selon CISA, lorsque le rançongiciel Zeppelin s’exécute sur un réseau, chaque fichier crypté reçoit une extension de fichier avec un nombre hexadécimal aléatoire à 9 chiffres (par exemple, file.txt.txt.C59-E0C-929). Les acteurs de la menace laissent également des fichiers de demande de rançon sur les systèmes compromis, généralement les systèmes de bureau des utilisateurs, a déclaré l’agence. Les joueurs de Zeppelin demandent généralement des retraits de Bitcoin allant de quelques milliers de dollars à plus d’un million de dollars. Selon CISA, la dernière campagne montre également des acteurs de la menace liés à Zeppelin utilisant de nouvelles tactiques pour exécuter plusieurs fois des logiciels malveillants sur les réseaux des victimes. Cependant, un chercheur en sécurité a noté qu’il ne s’agissait pas nécessairement d’un aspect unique des attaques de ransomwares. Roger Grimes, évangéliste de la défense axée sur les données à la société de sécurité KnowBe4, a déclaré qu’il n’est pas rare que les attaquants chiffrent individuellement divers fichiers, puis utilisent la clé principale pour déverrouiller le système. „La plupart des programmes de rançongiciels ont aujourd’hui une clé principale globale qui crypte un ensemble d’autres clés qui effectuent réellement le cryptage”, a-t-il déclaré à Threatpost par e-mail. Si une victime demande la preuve qu’elle possède une clé de déchiffrement qui peut déverrouiller ses fichiers si l’attaquant du rançongiciel paie la rançon, le groupe de rançongiciels utilise la clé unique pour en créer un seul pour déverrouiller des ensembles de fichiers et valider et prouver leur valeur.
