Uma nova variante da família de ransomware Vega, apelidada de Zeppelin, foi nativa na Europa, nos Estados Unidos e no Canadá.
No entanto, se você reside na Rússia ou em alguns outros países da ex-URSS, como Ucrânia, Bielorrússia e Cazaquistão, respira aliviado, pois o ransomware encerra suas operações se estiver em máquinas localizadas nessas regiões.
É notável e interessante, porque todas as variantes anteriores da família Vega, também conhecidas como VegaLocker, tinham como alvo principal os usuários de língua russa, o que indica que o Zeppelin não é o trabalho do mesmo grupo de hackers por trás dos ataques anteriores.
Como o Vega ransomware e suas variantes anteriores foram oferecidos como um serviço em fóruns clandestinos, os pesquisadores do BlackBerry Cylance acreditam que o Zeppelin “acabou nas mãos de diferentes atores de ameaças” ou “redesenhado a partir de fontes compradas/roubadas/vazadas”.
Segundo um relatório que o BlackBerry Cylance compartilhou com o The Hacker News, o Zeppelin é um ransomware altamente configurável baseado em Delphi que pode ser facilmente personalizado para ativar ou desativar vários recursos, dependendo das vítimas ou dos requisitos dos invasores.
O Zeppelin pode ser implantado como um EXE, DLL ou agrupado em um carregador do PowerShell e inclui os seguintes recursos:
IP Logger – para rastrear os endereços IP e a localização das vítimas
Startup – para obter persistência.
Delete backups – para interromper certos serviços, desativar a recuperação de arquivos, excluir backups e cópias de sombra, etc.
Task-killer – mata processos especificados pelo invasor.
Auto-unlock – para desbloquear arquivos que parecem bloqueados durante a criptografia.
Melt – para injetar thread de auto-exclusão no notepad.exe.
UAC prompt – tente executar o ransomware com privilégios elevados.
Com base nas configurações definidas pelos atacantes da interface do usuário do Zeppelin builder durante a geração do binário ransomware, o malware enumera arquivos em todas as unidades e compartilhamentos de rede e os criptografa com o mesmo algoritmo usado pelas outras variantes do Vega.
“[Zeppelin] emprega uma combinação padrão de criptografia de arquivo simétrica com chaves geradas aleatoriamente para cada arquivo (AES-256 no modo CBC) e criptografia assimétrica usada para proteger a chave da sessão (usando uma implementação RSA personalizada, possivelmente desenvolvida internamente) “, explicam os pesquisadores.
“Curiosamente, algumas das amostras criptografam apenas os primeiros 0x1000 bytes (4KB), em vez de 0x10000 (65KB). Pode ser um bug não intencional ou uma escolha consciente para acelerar o processo de criptografia, tornando a maioria dos arquivos inutilizáveis.”
Além dos recursos a serem ativados e dos arquivos a serem criptografados, o construtor Zeppelin também permite que os invasores configurem o conteúdo do arquivo de texto da nota de resgate, que é descartado no sistema e exibido à vítima após a criptografia dos arquivos.
“Os pesquisadores do BlackBerry Cylance descobriram várias versões diferentes, desde mensagens curtas e genéricas até notas de resgate mais elaboradas e personalizadas para organizações individuais”, afirmam os pesquisadores.
“Todas as mensagens instruem a vítima a entrar em contato com o atacante por meio de um endereço de e-mail fornecido e citar seu número de identificação pessoal”.
Para evitar a detecção, o Zeppelin ransomware conta com várias camadas de ofuscação, incluindo o uso de chaves pseudo-aleatórias, sequência criptografada, código de tamanhos variados, além de atrasos na execução para ultrapassar sandboxes e enganar mecanismos heurísticos.
O Zeppelin foi descoberto pela primeira vez há quase um mês, quando foi distribuído através de sites water-holed com suas cargas do PowerShell hospedadas no site da Pastebin.
Os pesquisadores acreditam que pelo menos alguns dos ataques do Zeppelin foram “conduzidos por meio de MSSPs, que teriam semelhanças com outra campanha recente e altamente direcionada que usava ransomware chamado Sodinokibi”, também conhecido como Sodin ou REvil.
Os pesquisadores também compartilharam indicadores de compromisso (IoC) em seu blog. No momento da redação deste artigo, quase 30% das soluções antivírus não são capazes de detectar essa ameaça específica ao ransomware.
Este artigo é uma tradução de: https://thehackernews.com/2019/12/zeppelin-ransomware-attacks.html
