Os federais estão emitindo alertas sobre o retorno do Zeppelin ransomware, que está empregando novas táticas de comprometimento e criptografia para atacar vários setores verticais, especialmente saúde e infraestrutura crítica.
Os atores criminosos estão utilizando o RDP para contornar as vulnerabilidades de firewall SonicWall, além das campanhas de phishing que já eram usadas para invadir as redes de destino, segundo uma consultoria da Cybersecurity and Infrastructure Security Agency (CISA) divulgada na quinta-feira.
Zeppelin parece estar utilizando uma estratégia de criptografia múltipla, fazendo com que o malware seja executado dentro da rede de uma vítima mais de uma vez e gerando diferentes identificadores e extensões de arquivo para diversos casos de invasão, de acordo com o CISA.
A assessoria afirma que isso dá origem ao fato de que a pessoa afetada necessita de várias chaves codificadoras exclusivas.
A CISA identificou várias versões de Zeppelin devido às pesquisas realizadas pelo FBI, com ataques ocorridos recentemente, como o de 21 de junho, informou a agência.
É necessário estabelecer objetivos e estratégias de maneira explícita.
Zeppelin é uma variação de uma família de ransomware-as-a-service (RaaS) que é conhecida por seu nome inicial de Vega ou VegaLocker. Apareceu no início de 2019 em anúncios do Yandex, originário da Rússia. De acordo com BlackBerry Cylance, foi lançado diretamente.
Ao contrário do que seu predecessor fez, as atividades de Zeppelin foram muito mais direcionadas, com os agentes de ameaça visando especificamente empresas de tecnologia e de saúde na Europa e Estados Unidos.
De acordo com a CISA, as últimas campanhas mantêm-se como foco de organizações de saúde e médicas mais frequentemente. Zeppelin também tem as empresas de tecnologia em seu alvo, com invasores usando o RaaS para atacar empreiteiros de defesa, universidades e fabricantes, disse a agência.
Uma vez que eles conseguem penetrar com êxito uma rede, os atores de ameaças gastam de uma a duas semanas para descobrir e enumerar seus componentes, incluindo armazenamento na nuvem e backup de rede, segundo a agência. Depois disso, eles implantam Zeppelin ransomware como um arquivo .dll ou .exe ou contido em um carregador PowerShell.
Zeppelin está empregando uma tática comum de ransomware de ameaçar o roubo de dados confidenciais antes de cifrá-los e disponibilizá-los on-line caso a vítima não ceda à extorsão, de acordo com o CISA (Cybersecurity and Infrastructure Security Agency).
A criptografia múltipla é uma forma de aumentar a proteção de informações.
Depois que o Zeppelin ransomware é executado numa rede, cada arquivo codificado tem anexado a ele um número aleatório de nove dígitos em hexadecimal, como uma extensão de arquivo, por exemplo, file.txt.txt.C59-E0C-929, segundo a CISA.
Os atores de ameaças deixam um recado em sistemas infectados comumente em um computador de usuário, conforme informou a agência. A gangue Zeppelin solicita, geralmente, pagamentos em Bitcoin a partir de vários mil dólares até mais de um milhão de dólares.
Os últimos esforços de campanha também ilustram que os atores de ameaça estão usando uma tática avançada ligada ao Zeppelin para executar o software malicioso várias vezes dentro da rede de uma vítima, o que implica que não se necessita de uma, mas de múltiplas chaves de descriptografia para desbloquear os arquivos, diz o CISA.
Contudo, essa característica pode não ser única de um ataque de ransomware, observou um especialista em segurança. Roger Grimes, evangelista de defesa dirigida a dados da empresa de segurança KnowBe4, declarou que não é incomum que ameaçadores cifrem arquivos separadamente, mas se valham de uma chave mestre para desencriptar os sistemas.
Ele disse a Threatpost por meio de um e-mail que a maioria dos programas de ransomware atuais tem uma chave-mestre geral que cifra várias outras chaves que realmente produzem a criptografia.
Quando a vítima solicita evidência de que o cibercriminoso ransomware possui chaves de descriptografia que conseguirão desbloquear com êxito os arquivos caso um resgate seja pago, o grupo ransomware logo usa uma chave única para desbloquear um único lote de arquivos a fim de provar sua utilidade, explicou Grimes.
Modifique: Divulgue esse artigo.
- Malware é um tipo de programa malicioso.
- Vulnerabilidades de segurança são brechas de segurança que podem ser aproveitadas por agressores para afetar a integridade do sistema.
