CISA ha visto un resurgimiento del malware dirigido a una variedad de verticales y organizaciones de infraestructura crítica mediante la explotación de las vulnerabilidades de firewall de RDP.
El ransomware Zeppelin está de regreso y emplea nuevas tácticas de encriptación y compromiso en sus campañas recientes contra varias industrias verticales, particularmente la atención médica, así como organizaciones de infraestructura crítica, advierten los federales.
Los actores de amenazas que implementan el ransomware como servicio (RaaS) están aprovechando la explotación del protocolo de escritorio remoto (RDD) y las vulnerabilidades del firewall de SonicWall, junto con las campañas de phishing utilizadas anteriormente, para violar las redes de destino, según un aviso de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) publicado el jueves.
Zeppelin también parece tener una nueva táctica de cifrado múltiple, ejecutando el malware más de una vez dentro de la red de la víctima y creando diferentes ID y extensiones de archivo para múltiples instancias de ataque, según CISA.
“Esto da como resultado que la víctima necesite varias claves de descifrado únicas”, según el aviso.
La CISA ha identificado múltiples variantes de Zeppelin a través de varias investigaciones del FBI, y los ataques ocurrieron el 21 de junio, dijo la agencia.
Objetivos y tácticas
Zeppelin es una variante de la familia de ransomware-as-a-service (RaaS) basada en Delphi inicialmente conocida como Vega o VegaLocker, que surgió a principios de 2019 en anuncios en Yandex.Direct con sede en Rusia, según BlackBerry Cylance.
A diferencia de su predecesor, las campañas de Zeppelin han sido mucho más específicas, y los actores de amenazas apuntan primero a la tecnología y empresas sanitarias en Europa y Estados Unidos.
Las últimas campañas siguen teniendo como objetivo a las organizaciones médicas y de atención de la salud con mayor frecuencia, según la CISA. Las empresas tecnológicas también permanecen en el punto de mira de Zeppelin, y los actores de amenazas también utilizan RaaS en ataques contra contratistas de defensa, instituciones educativas y fabricantes, dijo la agencia.
Una vez que se infiltran con éxito en una red, los actores de amenazas pasan de una a dos semanas cartografiándola o enumerándola para identificar enclaves de datos, incluido el almacenamiento en la nube y la copia de seguridad de la red, según la agencia. Luego implementan el ransomware Zeppelin como un archivo .dll o .exe o contenido dentro de un cargador PowerShell.
Zeppelin también parece estar usando la táctica común de ransomware de doble extorsión en sus últimas campañas, exfiltrando archivos de datos confidenciales de un objetivo antes del cifrado para su posible publicación en línea más adelante si la víctima se niega a pagar, según CISA.
Cifrado múltiple
Una vez que se ejecuta el ransomware Zeppelin en una red, a cada archivo cifrado se le agrega un número hexadecimal aleatorio de nueve dígitos como extensión de archivo, por ejemplo, file.txt.txt.C59-E0C-929, según CISA.
Los actores de amenazas también dejan un archivo de notas que incluye una nota de rescate en los sistemas comprometidos, generalmente en un sistema de escritorio del usuario, dijo la agencia. Los actores de Zeppelin suelen solicitar pagos en Bitcoin en el rango de varios miles de dólares a más de $ 1 millón.
Las últimas campañas también muestran a los actores de amenazas que utilizan una nueva táctica asociada con Zeppelin para ejecutar el malware varias veces dentro de la red de la víctima, lo que significa que la víctima no necesitaría una, sino varias claves de descifrado para desbloquear archivos, según CISA.
Sin embargo, esto puede o no ser un aspecto único de un ataque de ransomware, señaló un profesional de seguridad. Roger Grimes, evangelista de defensa basado en datos para empresa de seguridad KnowBe4, dijo que no es raro que los actores de amenazas cifren diferentes archivos por separado pero usan una clave maestra para desbloquear los sistemas.
“La mayoría de los programas de ransomware de hoy en día tienen una clave maestra general que encripta un montón de otras claves que realmente hacen el encriptado”, dijo a Threatpost en un correo electrónico.
Cuando la víctima solicita una prueba de que el atacante del ransomware tiene claves de descifrado que pueden desbloquear archivos con éxito si se paga un rescate, el grupo de ransomware luego usa una sola clave para desbloquear un solo conjunto de archivos para demostrar su valor, dijo Grimes.
