Nový ransomware zvaný Zeppelin útočí na IT a zdravotnické organizace

V listopadu 2019 byl v “technologickém pralese” poprvé spatřen nový typ kryptoviru z rodiny ransomware Vega, jak cíleně útočí na technologické společnosti a zdravotnická zařízení v Evropě, USA a Kanadě. Dostal název Zeppelin.

Zeppelin v Rusku neútočí

Zeppelin je teritoriální predátor a působí jen ve některých částech technologického pralesa. Vědci totiž vypozorovali, že okamžitě přestane útočit, pakliže zjistí, že napadl počítač společnosti sídlící v Rusku nebo v jiné ze zemí bývalého Sovětského svazu, například na Ukrajině nebo v Kazachstánu.

A v tom je tento nový druh opravdu pozoruhodný, protože všechny předchozí kryptoviry z rodiny Vega, známé také jako VegaLocker, řádily primárně v rusky hovořící části světa. To naznačuje, že za Zeppelinem stojí jiná skupina hackerů, než za předchozími útoky.

Předchozí varianty ransomware Vega se nabízely jako služba na ilegálních fórech, a proto se vědci ze společnosti BlackBerry Cylance domnívají, že Zeppelin buďto „skončil v rukou jiných útočníků“ nebo „byl přeprogramován na základě zakoupeného, ukradeného, nebo uniklého zdroje.“

Konfigurovatelný a nebezpečný

Podle zprávy, kterou tito výzkumníci poskytli The Hacker News, je Zeppelin vysoce konfigurovatelný kryptovirus založený na metodě Delphi, což znamená, že se dají jeho jednotlivé funkcionality lehce vypnout nebo zapnout, a to podle požadavků útočníka nebo typu jeho oběti.

Zeppelin lze nasadit ve formátech EXE a DLL, nebo se dá zabalit a nahrát přes PowerShell. Vybrané funkcionality, které z něj dělají opravdu nebezpečného predátora, zahrnují:

• IP Logger — sleduje IP adresy a polohu obětí,
• Startup — zajišťuje, aby se udržel co nejdéle,
• Delete backups — ukončí vybrané služby, zablokuje obnovu souborů, smaže zálohy, kopie, atd.,
• Task-killer — zastaví procesy, které útočník určil,
• Auto-unlock — odemkne soubory, které se během šifrování jeví jako zamčené,
• Melt — vloží do notepad.exe pokyn, kterým sám sebe smaže,
• UAC prompt — zkusí spustit ransomware pod účtem s vyšším oprávněním.

Na základě konfigurací, které útočníci nastaví v uživatelském rozhraní builderu Zeppelinu během generování jeho binárního kódu, pak tento malware vytvoří seznam souborů na všech discích a síťových sdílených složkách napadeného počítače a poté je zašifruje stejným algoritmem, jaký používají ostatní varianty Vega.

„Zeppelin používá standardní kombinaci symetrického šifrování souborů s náhodně generovanými klíči ke každému souboru (AES-256 v režimu CBC) a asymetrického šifrování, které chrání klíč příslušné session (pomocí RSA implementace, pravděpodobně vyvinuté interně na zakázku” vysvětlují vědci.

„Je zajímavé, že některé ze vzorků zašifrují pouze prvních 0x1000 bytů (4KB), namísto 0x10000 (65KB) souboru. To je buďto neúmyslná chyba, nebo chytrý způsob jak zrychlit proces šifrování, protože většina souborů se i tak stane nepoužitelnou.“

Kromě toho, že si útočníci mohou nastavit, které funkcionality povolit, a které soubory zašifrovat, mohou si v builderu Zeppelinu nakonfigurovat obsah textového souboru se žádostí o výkupné, který vloží do systému a zobrazí oběti poté, co byly soubory zašifrovány.

„My v BlackBerry Cylance jsme objevili několik různých verzí, a to od krátkých generických zpráv, až po propracovanější žádosti o výkupné psané na míru jednotlivým organizacím,“ říkají vědci.
„Všechny zprávy oběti nařizují, aby kontaktovala útočníka na uvedené e-mailové adrese s uvedením jejich osobního identifikátoru.“

Kryptovirus Zeppelin se skvěle maskuje, a to pomocí několika vrstev mlžení, kdy využívá např. pseudo-náhodné klíče a šifrované řetězce, dále různé formáty kódu a zpoždění při provádění příkazů tak, aby předběhnul sandboxy a ošálil heuristické mechanismy.

Zeppelin útočí od listopadu 2019

Zeppelin byl v technologickém pralese poprvé objeven v listopadu 2019 a ke svému šíření chytře využívá strategii watering hole, neboli “strategii napajedla”, kdy si útočník zjistí, že uživatelé z cílové organizace často navštěvují určité webové stránky, a ty poté infikuje PowerShellovovými „výbušnými hlavicemi“ hostovanými na webu Pastebin.

Vědci věří, že alespoň některé z útoků Zeppelinu „se uskutečnily přes MSSP společnosti [IT poskytovatele zajištující služby v oblasti monitoringu a řízení kybersecurity ], což by se podobalo další aktuální přesně cílené kampani, která používala ransomware s názvem Sodinokibi,” také známý jako Sodin nebo REvil.

Vědci se ve svém příspěvku na blogu podělili také o indikátory kompromitace (IoC). V době, kdy jej psali, nebylo až 30 procent antivirových řešení schopno tohoto ransomware predátora odhalit.