Zeppelin-Ransomware Greift große Organisationen in Europa, den USA und Kanada an

Zeppelin Ransomware ist eine neue gefährliche Datei-Kodierungs-Malware, von der festgestellt wurde, dass sie große Gesundheits- und Technologieunternehmen weltweit infiziert. Die Opfer dieser tödlichen Kryptodrohung stammen größtenteils aus den USA, Kanada und Europa. Berichten von Cylance-Forschern zufolge handelt es sich bei diesem Virus um Delphi-basiertes RaaS, das zur Familie der Vega / Vegalocker-Ransomware gehört. Die ersten Vegalocker-Bedrohungen wurden Anfang 2019 entdeckt und griffen russischsprachige Benutzer an.

Innerhalb eines Zeitraums von nur etwas mehr als einem Monat wurde die Zeppelin Ransomware so stark modifiziert und auf Vegalocker erweitert. Laut den Sicherheitsforschern könnte es eine andere Hacker-Gruppe geben, die das Ganze verbreitet. Eine Malware-Analyse ergab, dass sie entwickelt wurde, um die Ausführung zu verhindern, wenn sie Ihren PC infiltriert, der sich in Russland oder in anderen Ländern befindet, die in der Vergangenheit unter die Sperre der UdSSR fielen. Im Gegensatz zur Vega-Kampagne werden alle Zeppelin-Binärdateien (sowie einige neuere Buran-Beispiele) beendet, wenn sie auf Maschinen ausgeführt werden, die in Russland und einigen anderen Ländern außerhalb der UdSSR stationiert sind.

Cylance behauptet, dass die ersten Spuren von Zeppelin-Ransomware am 6. November 2019 entdeckt wurden und die Hauptziele Gesundheits- und Technologieunternehmen aus der ganzen Welt waren. Ein weiteres interessantes Merkmal der Zeppelin-Ransomware war, dass sie in Bezug auf ihre Vertriebstaktiken, zu denen MSSPs (Managed Security Service Providers) in Lieferkettenversuchen [4] sowie gezielte Werbung zählen, mehrfach mit der Sodinokibi-Ransomware vergleichbar war Wasserlochversuche.

Zeppelin Ransomware verwendet denselben Verschlüsselungsalgorithmus wie Vegalocker – AES-256 im CBC-Modus. Jede der Dateien wird dann jedoch wiederholt mit einer benutzerdefinierten RSA-Verschlüsselung verschlüsselt, wie von Cylance-Forschern behauptet. Die Spezialisten haben auch eine weitere sehr interessante Tatsache bei der Zeppelin-Ransomware entdeckt: Sie sperrt nur die primären 0x1000-Bytes (4 KB), nicht jedoch die 0x10000-Bytes (65 KB). Die Forscher behaupten, dass diese Funktion ein Fehler im Malware-Modul oder eine beabsichtigte Maßnahme zur Beschleunigung der Verschlüsselung sein könnte.