Zeppelin ransomware Ataca grandes organizações na Europa, EUA e Canadá

Zeppelin ransomware é um novo malware perigoso de codificação de arquivos que infecta grandes organizações de assistência médica e tecnologia em todo o mundo. As vítimas dessa ameaça criptográfica mortal são em grande parte dos EUA, Canadá e Europa. Relatórios de pesquisadores da Cylance sugerem que esse vírus é conhecido como RaaS baseado em Delphi e pertence à família de ransomware Vega / Vegalocker. As ameaças iniciais do Vegalocker foram identificadas no início de 2019, atacando usuários de língua russa.

Dentro de um período de pouco mais de um mês, o Zeppelin ransomware foi muito modificado e aprimorado no Vegalocker. Segundo os pesquisadores de segurança, pode haver um grupo diferente de hackers espalhando-o por completo. A análise de malware mostrou que ela foi desenvolvida para impedir sua execução se ela se infiltrar no seu PC localizado na Rússia ou em outros países que se enquadram no bloco da URSS no passado. Em uma forte oposição à campanha da Vega, todos os binários do Zeppelin (assim como algumas amostras mais recentes de Buran) foram projetados para sair se rodarem em máquinas baseadas na Rússia e em alguns outros países da ex-URSS.

A Cylance afirma que os vestígios iniciais do ransomware Zeppelin foram descobertos em 6 de novembro de 2019, e seus principais objetivos eram empresas de assistência médica e tecnologia de todo o mundo. Outra característica interessante que foi identificada no ransomware do Zeppelin foi o fato de ter várias semelhanças com o ransomware Sodinokibi quando se trata de suas táticas de distribuição, que incluem MSSPs (Managed Security Service Providers) em tentativas da cadeia de suprimentos, malvertising, além de direcionamento tentativas de poço de água.

O Zeppelin ransomware usa o mesmo algoritmo de criptografia que o Vegalocker – AES-256 no modo CBC. No entanto, cada um dos arquivos é então criptografado repetidamente com uma cifra RSA personalizada, conforme reivindicado pelos pesquisadores da Cylance. Os especialistas também descobriram outro fato muito interessante sobre o ransomware Zeppelin – ele bloqueia apenas os bytes primários de 0x1000 (4KB), mas não o 0x10000 (65KB). Os pesquisadores afirmam que essa função pode ser um bug incluído no módulo do malware ou uma ação intencional para acelerar a criptografia.