Zeppelin ransomware: Επιστρέφει με updated εκδόσεις!

Οι προγραμματιστές του Zeppelin

ransomware


συνεχίζουν τη δραστηριότητά τους μετά από μία περίοδο σχετικής «σιωπής»

που ξεκίνησε το περασμένο φθινόπωρο και άρχισαν να διαφημίζουν



νέες εκδόσεις

του malware. Μία πρόσφατη παραλλαγή του malware διατέθηκε

σε



hacking φόρουμ

τον Απρίλιο

, προσφέροντας στους

χάκερς

του

ransomware

πλήρη ανεξαρτησία.

Το Zeppelin

ransomware


αναφέρεται και ως «Buran», ενώ προέρχεται από την οικογένεια του Vega / VegaLocker

, ενός

ransomware

-as-a-service (RaaS) που παρατηρήθηκε σε ρωσόφωνα



hacking φόρουμ


το 2019

.

Οι προγραμματιστές του στελέχους του Zeppelin

ransomware

,

το πωλούν σε υπόγεια φόρουμ

, δίνοντας στους αγοραστές τη δυνατότητα να αποφασίσουν πώς θέλουν να χρησιμοποιήσουν το malware. Έχουν επίσης κάποια

ατομική



συνεργασία

με συγκεκριμένους



χρήστες

του malware τους

.

Διαβάστε επίσης:

Η επιχείρηση του



DarkSide


ransomware

έκλεισε – οι συνεργάτες διαμαρτύρονται ότι δεν έχουν πληρωθεί

Αυτό έρχεται σε αντίθεση με τις κλασικές



επιχειρήσεις

RaaS

, όπου οι προγραμματιστές συνήθως αναζητούν συνεργάτες για να εισβάλουν στο δίκτυο ενός στόχου, να κλέψουν



δεδομένα

και να αναπτύξουν malware κρυπτογράφησης αρχείων. Στη συνέχεια, τα δύο μέρη μοιράστηκαν τα

κέρδη

που αποκόμισαν από τις πληρωμές λύτρων, με τους προγραμματιστές να παίρνουν το μικρότερο μερίδιο (έως και 30%).

Η Advanced Intel

(AdvIntel)

διαπίστωσε ότι οι προγραμματιστές του Zeppelin

ransomware


«αναζωογόνησαν» τη δραστηριότητά τους τον Μάρτιο

.

Ανακοίνωσαν «ένα σημαντικό update για το software»


μαζί με έναν νέο γύρο πωλήσεων

. Μετά το μεγάλο update, οι προγραμματιστές του Zeppelin κυκλοφόρησαν μία

νέα παραλλαγή του malware στις 27 Απριλίου

, η οποία επέφερε μικρή αλλαγή όσον αφορά τα



χαρακτηριστικά

, ενώ παράλληλα αύξησε τη σταθερότητα της κρυπτογράφησης.

Διαβεβαίωσαν επίσης τους τακτικούς πελάτες ότι

η δουλειά πάνω στο malware συνεχίζεται

και ότι οι μακροπρόθεσμοι



χρήστες

, που αναφέρονται ως «



συνδρομητές

», θα επωφεληθούν από ειδική μεταχείριση.

Το Zeppelin είναι μία από τις λίγες

ransomware




επιχειρήσεις

στην

αγορά

που δεν υιοθετεί το καθαρό μοντέλο RaaS, ενώ αποτελεί μία από τις πιο δημοφιλείς συμμορίες

.

Δείτε ακόμη:



Microsoft: Μαζική



εκστρατεία malware

διανέμει



fake


ransomware

!

Ο

Yelisey Boguslavskiy

, επικεφαλής της έρευνας της AdvIntel, εξήγησε πώς λειτουργούν οι προγραμματιστές του Zeppelin, επισημαίνοντας ότι εργάζονται πάνω σε «ένα πιο εκτεταμένο πεδίο λειτουργιών» με στενούς συνεργάτες που αγόρασαν το malware.

Η AdvIntel προειδοποιεί ότι παρά την έλλειψη οργάνωσης που είναι χαρακτηριστική για το μοντέλο RaaS,

το Zeppelin θα μπορούσε να καταστήσει πιο δύσκολη την καταπολέμηση της απειλής του

ransomware


, καθώς η πρόσβαση στο malware επιτρέπει σε άλλους προγραμματιστές να κλέψουν



χαρακτηριστικά

για τα «προϊόντα» τους.

Η



εταιρεία

αναφέρει επίσης ότι οι



χρήστες

του Zeppelin είναι μεμονωμένοι αγοραστές που δεν περιπλέκουν τις



επιθέσεις

τους και βασίζονται σε κοινά αρχικά διανύσματα επίθεσης όπως το RDP, οι



ευπάθειες

σε VPN και το phishing.

Πρόταση:

Έξι

ransomware

συμμορίες έχουν «χτυπήσει» 292 οργανισμούς το 2021!

Επιπλέον, οι φορείς εκμετάλλευσης του Zeppelin

δεν έχουν data leak site

, όπως οι περισσότερες

ομάδες

RaaS, ενώ παράλληλα

εστιάζουν στην



κρυπτογράφηση

των δεδομένων και όχι στην κλοπή τους

.

Η AdvIntel συνιστά την

παρακολούθηση

και τον έλεγχο remote desktop και VPN συνδέσεων, ως αποτελεσματική

άμυνα

ενάντια στην

απειλή

του Zeppelin

ransomware

.

Ακόμα και χωρίς να έχει την πολυπλοκότητα μιας επιχείρησης RaaS, το Zeppelin

ransomware

προκαλεί ανησυχία, καθώς οι



επιθέσεις

με αυτό το



στέλεχος

είναι δύσκολο να εντοπιστούν

, ειδικά όταν χρησιμοποιούνται νέα downloaders, όπως ανακάλυψε η Juniper Threat Labs τον περασμένο Αύγουστο.

Πηγή πληροφοριών: bleepingcomputer.com