De Zeppelin-ransomware is terug en gebruikt nieuwe compromis- en versleutelingstactieken in zijn recente campagnes tegen verschillende verticale industrieën, met name de gezondheidszorg, en kritieke infrastructuurorganisaties, waarschuwen de federale autoriteiten.

Bedreigingsactoren die de ransomware as a service (RaaS) inzetten, maken gebruik van remote desktop protocol (RDD)-exploitatie en SonicWall-firewallkwetsbaarheden - naast eerder gebruikte phishing-campagnes - om doelnetwerken te doorbreken, volgens een adviserende van de Cybersecurity and Infrastructure Security Agency (CISA) die donderdag is vrijgegeven.

Zeppelin lijkt ook een nieuwe multi-encryptie-tactiek te hebben, waarbij de malware meer dan eens wordt uitgevoerd binnen het netwerk van een slachtoffer en verschillende ID's en bestandsextensies maakt voor aanvallen met meerdere instanties, aldus de CISA.

"Hierdoor heeft het slachtoffer verschillende unieke decoderingssleutels nodig", aldus het advies.

De CISA heeft meerdere varianten van Zeppelin geïdentificeerd door middel van verschillende FBI-onderzoeken, met aanvallen die pas op 21 juni plaatsvonden, aldus het bureau.

Doelen en tactieken

Zeppelin is een variant van de op Delphi gebaseerde ransomware-as-a-service (RaaS)-familie, aanvankelijk bekend als Vega of VegaLocker, die begin 2019 opdook in advertenties op het in Rusland gevestigde Yandex.Direct, volgens BlackBerry Cylance.

In tegenstelling tot zijn voorganger waren de campagnes van Zeppelin veel gerichter, waarbij bedreigingsactoren zich eerst richtten op technologie en... zorgbedrijven in Europa en de Verenigde Staten.

Volgens de CISA blijven de nieuwste campagnes gericht op gezondheidszorg en medische organisaties. Techbedrijven blijven ook in het vizier van Zeppelin, waarbij bedreigingsactoren de RaaS ook gebruiken bij aanvallen op defensie-aannemers, onderwijsinstellingen en fabrikanten, aldus het bureau.

Zodra ze met succes een netwerk hebben geïnfiltreerd, besteden dreigingsactoren één tot twee weken aan het in kaart brengen of opsommen ervan om gegevensenclaves te identificeren, inclusief cloudopslag en netwerkback-up, aldus het bureau. Vervolgens zetten ze de Zeppelin-ransomware in als een .dll- of .exe-bestand of in een PowerShell-lader.

Zeppelin lijkt ook de gebruikelijke ransomware-tactiek te gebruiken: dubbele afpersing in zijn nieuwste campagnes, het exfiltreren van gevoelige gegevensbestanden van een doelwit voorafgaand aan versleuteling voor mogelijke publicatie later online als het slachtoffer weigert te betalen, volgens de CISA.

Meerdere codering

Zodra de Zeppelin-ransomware op een netwerk is uitgevoerd, wordt aan elk versleuteld bestand een willekeurig negencijferig hexadecimaal getal toegevoegd als bestandsextensie, bijvoorbeeld file.txt.txt.C59-E0C-929, volgens de CISA.

Bedreigingsactoren laten ook een notitiebestand achter met een losgeldbrief over gecompromitteerde systemen, meestal op een desktopsysteem van een gebruiker, aldus het bureau. Zeppelin-acteurs vragen doorgaans om betalingen in Bitcoin van enkele duizenden dollars tot meer dan $ 1 miljoen.

De nieuwste campagnes laten ook zien dat bedreigingsactoren een nieuwe tactiek gebruiken die is gekoppeld aan Zeppelin om de malware meerdere keren uit te voeren binnen het netwerk van een slachtoffer, wat betekent dat een slachtoffer volgens de CISA niet één maar meerdere decoderingssleutels nodig heeft om bestanden te ontgrendelen.

Dit kan echter wel of niet een uniek aspect van een ransomware-aanval zijn, merkte een beveiligingsprofessional op. Roger Grimes, datagedreven defensie-evangelist voor beveiligingsbedrijf KnowBe4, zei dat het niet ongebruikelijk is dat bedreigingsactoren verschillende bestanden afzonderlijk versleutelen, maar één hoofdsleutel gebruiken om systemen te ontgrendelen.

"De meeste ransomware-programma's hebben tegenwoordig een algemene hoofdsleutel die een aantal andere sleutels versleutelt die echt de versleuteling doen", vertelde hij aan Threatpost in een e-mail.

Wanneer het slachtoffer om bewijs vraagt ​​dat de ransomware-aanvaller decoderingssleutels heeft die met succes bestanden kunnen ontgrendelen als er losgeld wordt betaald, gebruikt de ransomware-groep vervolgens een enkele sleutel om een ​​enkele set bestanden te ontgrendelen om zijn waarde te bewijzen, zei Grimes.