La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y la Oficina Federal de Investigaciones (FBI) han publicado un aviso conjunto para advertir sobre ataques de ransomware Zeppelin .
Antilavadodedinero / Securityaffairs.co
El ransomware Zeppelin apareció por primera vez en el panorama de amenazas en noviembre de 2019 cuando los expertos de BlackBerry Cylance encontraron una nueva variante de Vega RaaS, denominada Zeppelin.
El ransomware estuvo involucrado en ataques dirigidos a tecnología y atención médica, contratistas de defensa, instituciones educativas, fabricantes, empresas en toda Europa, Estados Unidos y Canadá. En el momento de su descubrimiento, Zeppelin se distribuía a través de ataques de abrevadero en los que las cargas útiles de PowerShell se alojaban en el sitio web de Pastebin.
Antes de implementar el ransomware Zeppelin, los actores de amenazas pasan un par de semanas mapeando o enumerando la red de la víctima para determinar dónde se almacenan los datos de interés. El ransomware se puede implementar como un archivo .dll o .exe o contenido dentro de un cargador de PowerShell.
Los actores de Zeppelin solicitan pagos de rescate en Bitcoin, que van desde varios miles de dólares hasta más de un millón de dólares.
El grupo utiliza múltiples vectores de ataque para obtener acceso a las redes de las víctimas, incluida la explotación de RDP, la explotación de vulnerabilidades del cortafuegos de SonicWall y los ataques de phishing.
Los actores de amenazas también implementan un modelo de doble extorsión, amenazando con filtrar los archivos robados en caso de que las víctimas se nieguen a pagar el rescate.
Zeppelin normalmente se implementa como un archivo .dll o .exe dentro de un cargador de PowerShell. A cada archivo encriptado, agrega un número hexadecimal aleatorio de nueve dígitos como extensión. Se deja caer una nota de rescate en los sistemas comprometidos, generalmente en el escritorio.
“El FBI ha observado instancias en las que los actores de Zeppelin ejecutaron su malware varias veces dentro de la red de una víctima, lo que resultó en la creación de diferentes ID o extensiones de archivo para cada instancia de un ataque; esto da como resultado que la víctima necesite varias claves de descifrado únicas”. lee el aviso conjunto .
Las agencias estadounidenses recomiendan no pagar el rescate porque no hay garantía de recuperar los archivos cifrados y pagar el ransomware fomentará la práctica ilegal de la extorsión.
El FBI también alienta a las organizaciones a informar cualquier interacción con los operadores de Zeppelin, incluidos los registros, la información de la billetera de Bitcoin, las muestras de archivos cifrados y los archivos de descifrado.
Para mitigar los riesgos de los ataques de ransomware, se recomienda a las organizaciones que definan un plan de recuperación, implementen la autenticación multifactor, mantengan actualizados todos los sistemas operativos, el software y el firmware, apliquen una política de contraseñas seguras, segmenten las redes, deshabiliten los puertos y servicios no utilizados. , auditar cuentas de usuario y controladores de dominio, implementar una política de acceso con privilegios mínimos, revisar controladores de dominio, servidores, estaciones de trabajo y directorios activos, mantener copias de seguridad de datos fuera de línea e identificar, detectar e investigar actividades anormales y el posible cruce del ransomware indicado con una herramienta de monitoreo de red.
“El FBI está buscando cualquier información que se pueda compartir, para incluir registros de límites que muestren la comunicación hacia y desde direcciones IP extranjeras, una nota de rescate de muestra, comunicaciones con actores de Zeppelin, información de billetera Bitcoin, archivos de descifrado y/o una muestra benigna de un archivo encriptado”, concluye la alerta.