I dag advarede Cybersecurity and Infrastructure Security Agency (CISA) og Federal Bureau of Investigation (FBI) om, at angribere, der implementerer Zeppelin ransomware, kan kryptere deres filer flere gange. Flergangskryptering er et af de våben som kriminelle Ransomware grupper i stigende grad.
De to føderale agenturer delte også taktik, teknikker og procedurer (TTP’er) og indikatorer for kompromis (IOC’er) for at hjælpe sikkerhedsprofessionelle med at opdage og blokere angreb ved hjælp af denne ransomware-stamme.
“FBI har observeret tilfælde, hvor Zeppelin-aktører udførte deres malware flere gange inden for et offers netværk, hvilket resulterede i oprettelsen af forskellige id’er eller filtypenavne for hvert tilfælde af et angreb; dette resulterer i, at offeret har brug for flere unikke dekrypteringsnøgler,”
siges i en fælles rådgivning, der blev offentliggjort i dag.
FBI opdagede så sent som den 21. juni at Zeppelin en Ransomware as a Service (RaaS) operation, hvis malware gennemgik flere navneændringer fra VegaLocker til Buran, VegaLocker, Jamper og nu Zeppelin.
Zeppelin-affiliates har været aktive siden mindst 2019 og er målrettet mod virksomheder og kritiske infrastrukturorganisationer såsom forsvarsentreprenører og teknologivirksomheder med fokus på enheder fra sundheds- og medicinalindustrien.
De er også kendt for at stjæle data til dobbelt afpresning og fremsætte anmodninger om løsepenge i Bitcoin, hvor de oprindelige krav spænder fra flere tusinde dollars til mere end en million dollars.
Zeppelin ransomware aktivitet (Kilde: ID-Ransomware)
Anmodning om oplysninger knyttet til Zeppelin ransomware-angreb
FBI bad også [PDF] IT-administratorer, der registrerer Zeppelin ransomware-aktivitet inden for deres virksomhedsnetværk, om at indsamle og dele relaterede oplysninger med deres lokale FBI kontor.
Værdifulde data, der kan hjælpe med at identificere angriberne bag denne ransomware-bande, inkluderer “grænselogfiler, der viser kommunikation til og fra udenlandske IP-adresser, en prøve løsesumnote, kommunikation med Zeppelin-aktører, Bitcoin-tegnebogsoplysninger, dekrypteringsfiler og / eller en godartet prøve af en krypteret fil. “
FBI tilføjede, at man ikke skal betale Zeppelin-løsepengekrav og rådede ofre mod det, da de ikke har nogen garanti for, at betaling af løsesummen forhindrer datalækager eller fremtidige angreb, eller at selve overvågninssoftwaren slettes.
I stedet vil det sandsynligvis motivere angriberne til at målrette mod flere ofre og tilskynde andre cyberkriminalitetsgrupper til at slutte sig til dem i ransomware-angreb.
CISA og FBI rådede også organisationer til at træffe foranstaltninger til at forsvare sig mod Zeppelin ransomware-angreb, såsom:
- prioritering af patching sårbarheder udnyttet i miljøet
- træne dine medarbejdere og brugere til at genkende og rapportere phishing-forsøg,
- aktivering og håndhævelse af multifaktorgodkendelse.
Kilde: Icare, FBI, CISA, Bleebing Computer m.fl.
Fotokredit: Zeppelin Germansk stik