Le rançongiciel Zeppelin attaque de grandes organisations en Europe, aux États-Unis et au Canada

Le rançongiciel Zeppelin est un nouveau malware dangereux pour l’encodage de fichiers qui infecte de grandes organisations technologiques et de soins de santé dans le monde entier. Les victimes de cette crypto-menace mortelle proviennent en grande partie des États-Unis, du Canada et de l’Europe. Les rapports des chercheurs de Cylance suggèrent que ce virus est connu pour être RaaS basé sur Delphi et appartient à la famille des rançongiciels Vega / Vegalocker. Les menaces initiales de Vegalocker ont été repérées au début de 2019 contre des utilisateurs russophones.

En seulement un peu plus d’un mois, le rançongiciel Zeppelin a été tellement modifié et amélioré sur Vegalocker. Selon les chercheurs en sécurité, il pourrait y avoir un autre groupe de hackers qui le propagerait complètement. L’analyse des logiciels malveillants a montré qu’il est développé pour empêcher son exécution s’il s’infiltre dans votre PC qui se trouve en Russie ou dans d’autres pays tombés sous le bloc de l’URSS dans le passé. Dans une nette opposition à la campagne Vega, tous les binaires Zeppelin (ainsi que certains échantillons Buran plus récents) sont conçus pour se fermer s’ils fonctionnent sur des machines basées en Russie et dans certains autres pays de l’ex-URSS.

Cylance affirme que les traces initiales du rançongiciel Zeppelin ont été repérées le 6 novembre 2019, et que ses cibles principales étaient les entreprises de soins de santé et de technologie du monde entier. Un autre trait intéressant qui a été repéré dans le ransomware Zeppelin était qu’il présentait de nombreuses similitudes avec le ransomware Sodinokibi en ce qui concerne ses tactiques de distribution, qui incluent les MSSP (Managed Security Service Providers) dans les tentatives de chaîne d’approvisionnement, la publicité malveillante, ainsi que ciblée tentatives de points d’eau.

Le rançongiciel Zeppelin utilise le même algorithme de cryptage que Vegalocker – AES-256 en mode CBC. Cependant, chacun des fichiers est ensuite chiffré à plusieurs reprises avec un chiffrement RSA personnalisé, comme l’ont affirmé les chercheurs de Cylance. Les spécialistes ont également découvert un autre fait très intéressant à propos du rançongiciel Zeppelin – il ne verrouille que les octets primaires 0x1000 (4 Ko), mais pas le 0x10000 (65 Ko). Les chercheurs affirment que cette fonction pourrait être un bogue inclus dans le module du logiciel malveillant ou une action intentionnelle pour accélérer le cryptage.