Nuevo ransomware Zeppelin dirigido a empresas de tecnología y salud

Zepelín ransomware

Una nueva variante de la familia de ransomware Vega, denominada zepelínse ha visto recientemente en empresas de tecnología y atención médica salvajes en Europa, Estados Unidos y Canadá.

Sin embargo, si reside en Rusia o en otros países de la ex URSS como Ucrania, Bielorrusia y Kazajstán, respire aliviado, ya que el ransomware finaliza sus operaciones si se encuentra en máquinas ubicadas en estas regiones.

Es notable e interesante porque todas las variantes anteriores de la familia Vega, también conocida como VegaLocker, estaban dirigidas principalmente a usuarios de habla rusa, lo que indica que Zeppelin no es obra del mismo grupo de hackers detrás de los ataques anteriores.

Dado que el ransomware Vega y sus variantes anteriores se ofrecieron como un servicio en foros clandestinos, los investigadores de BlackBerry Cylance creen que Zeppelin «terminó en manos de diferentes actores de amenazas» o «redesarrollado a partir de fuentes compradas, robadas o filtradas».

Según un informe que BlackBerry Cylance compartió con The Hacker News, Zeppelin es un ransomware altamente configurable basado en Delphi que se puede personalizar fácilmente para habilitar o deshabilitar varias funciones, según las víctimas o los requisitos de los atacantes.

Zeppelin se puede implementar como EXE, DLL o envuelto en un cargador de PowerShell e incluye las siguientes funciones:

  • Registrador de IP: para rastrear las direcciones IP y la ubicación de las víctimas
  • Inicio – para ganar persistencia
  • Eliminar copias de seguridad: para detener ciertos servicios, deshabilitar la recuperación de archivos, eliminar copias de seguridad y instantáneas, etc.
  • Task-killer: elimina los procesos especificados por el atacante
  • Desbloqueo automático: para desbloquear archivos que aparecen bloqueados durante el cifrado
  • Melt: para inyectar un hilo de eliminación automática en notepad.exe
  • Indicación de UAC: intente ejecutar el ransomware con privilegios elevados

Según las configuraciones que los atacantes establecieron desde la interfaz de usuario del creador de Zeppelin durante la generación del binario de ransomware, el malware enumera los archivos en todas las unidades y recursos compartidos de red y los cifra con el mismo algoritmo que utilizan las otras variantes de Vega.

Zepelín ransomware

«[Zeppelin] emplea una combinación estándar de cifrado de archivos simétrico con claves generadas aleatoriamente para cada archivo (AES-256 en modo CBC) y cifrado asimétrico utilizado para proteger la clave de sesión (utilizando una implementación RSA personalizada, posiblemente desarrollada internamente), «los investigadores explicar.

«Curiosamente, algunas de las muestras cifrarán solo los primeros 0x1000 bytes (4 KB), en lugar de 0x10000 (65 KB). Puede ser un error no intencionado o una elección consciente para acelerar el proceso de cifrado y, de todos modos, inutilizar la mayoría de los archivos».

Además de las funciones que se habilitarán y los archivos que se cifrarán, el creador de Zeppelin también permite a los atacantes configurar el contenido del archivo de texto de la nota de rescate, que se coloca en el sistema y se muestra a la víctima después de cifrar los archivos.

«Los investigadores de BlackBerry Cylance han descubierto varias versiones diferentes, que van desde mensajes breves y genéricos hasta notas de rescate más elaboradas adaptadas a organizaciones individuales», dicen los investigadores.

«Todos los mensajes le indican a la víctima que se comunique con el atacante a través de las direcciones de correo electrónico proporcionadas y que indique su número de identificación personal».

Para evadir la detección, el ransomware Zeppelin se basa en múltiples capas de ofuscación, incluido el uso de claves pseudoaleatorias, cadenas cifradas, el uso de códigos de diferentes tamaños, así como retrasos en la ejecución para superar los sandboxes y engañar a los mecanismos heurísticos.

Zeppelin se descubrió por primera vez hace casi un mes cuando se distribuía a través de sitios web con agujeros de agua con sus cargas útiles de PowerShell alojadas en el sitio web de Pastebin.

Los investigadores creen que al menos algunos de los ataques de Zeppelin «se llevaron a cabo a través de MSSP, lo que tendría similitudes con otra campaña reciente muy específica que utilizó ransomware llamado Sodinokibi», también conocido como Sodin o REvil.

Los investigadores también han compartido indicadores de compromiso (IoC) en su publicación de blog. Al momento de escribir este artículo, casi el 30 por ciento de las soluciones antivirus no pueden detectar esta amenaza de ransomware en particular.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática