Una nueva variante de la familia del Ransomware Vega, apodada Zeppelin se ha encontrado atacando en la naturaleza a entidades tanto de salud como de tecnología en Europa, Estados Unidos y Canadá
Sin embargo si las víctimas residen en cualquier pais de la Ex Union Sovietica como Ucrania, Bielorrusia Kazajstán, el ransomware no tomará ninguna acción.
Es notable e interesante porque todas las variantes anteriores de la familia Vega, también conocida como VegaLocker, estaban dirigidas principalmente a usuarios de habla rusa, lo que indica que Zeppelin no es el trabajo del mismo grupo de pirateo detrás de los ataques anteriores.
Dado que el ransomware Vega y sus variantes anteriores se ofrecieron como un servicio en foros underground , los investigadores de BlackBerry Cylance creen que Zeppelin “terminó en manos de diferentes actores de amenazas” o “reconstruido a partir del origen”. Según un informe que BlackBerry Cylance compartió con The Hacker News, indica que Zeppelin es un ransomware programado en Delphi altamente configurable para habilitar o deshabilitar varias funciones, según las víctimas o los requisitos de los atacantes.
Zeppelin puede implementarse como un EXE, DLL o incluirse en un cargador de PowerShell e incluye las siguientes características:
- IP Logger: para rastrear las direcciones IP y la ubicación de las víctimas
- Inicio – para ganar persistencia
- Eliminar copias de seguridad: para detener ciertos servicios, deshabilitar la recuperación de archivos, eliminar copias de seguridad y instantáneas, etc.
- Terminador de tareas: elimina los procesos especificados por el atacante
- Desbloqueo automático: para desbloquear archivos que parecen bloqueados durante el cifrado
- Melt : para inyectar subproceso de eliminación automática en notepad.exe
- UAC: intente ejecutar el ransomware con privilegios elevados
Basado en las configuraciones establecidas por los atacantes desde la interfaz de usuario del constructor Zeppelin durante la generación del binario ransomware, el malware enumera los archivos en todas las unidades y recursos compartidos de red y los cifra con el mismo algoritmo utilizado por las otras variantes de Vega.e fuentes compradas / robadas / filtradas”.
“[Zeppelin] emplea una combinación estándar de cifrado simétrico de archivos con claves generadas aleatoriamente para cada archivo (AES-256 en modo CBC), y cifrado asimétrico utilizado para proteger la clave de sesión (utilizando una implementación RSA personalizada, posiblemente desarrollada internamente) “, explican los investigadores.
“Curiosamente, algunas de las muestras cifrarán solo los primeros 0x1000 bytes (4KB), en lugar de 0x10000 (65KB). Puede ser un error no intencionado o una elección consciente para acelerar el proceso de cifrado mientras que la mayoría de los archivos quedan inutilizables”.
Además de las características que se habilitarán y los archivos que se cifrarán, el constructor Zeppelin también permite a los atacantes configurar el contenido del archivo de texto de la nota de rescate, que se coloca en el sistema y se muestra a la víctima después de cifrar los archivos.
“Los investigadores de BlackBerry Cylance han descubierto varias versiones diferentes, que van desde mensajes breves y genéricos hasta notas de rescate más elaboradas y adaptadas a organizaciones individuales”, dicen los investigadores.
“Todos los mensajes le indican a la víctima que se comunique con el atacante a través de una dirección de correo electrónico proporcionada y que indique su número de identificación personal”.
Para evadir la detección, el ransomware Zeppelin se basa en múltiples capas de ofuscación, incluido el uso de claves pseudoaleatorias, cadenas encriptadas, que utilizan códigos de diferentes tamaños, así como retrasos en la ejecución para escapar de las cajas de arena y engañar a los mecanismos heurísticos.
Los investigadores creen que al menos algunos de los ataques de Zeppelin se llevaron a cabo a través de MSSP, que tendrían similitudes con otra campaña reciente altamente dirigida que utilizó ransomware llamado Sodinokibi , también conocido como Sodin o REvil .
Los investigadores también han compartido indicadores de compromiso (IoC) en su publicación de blog. Al momento de escribir este artículo, casi el 30 por ciento de las soluciones antivirus no pueden detectar esta amenaza particular de ransomware.