CISA, RDP ve güvenlik duvarı açıklarından yararlanarak çeşitli sektörleri ve kritik altyapı kuruluşlarını hedef alan kötü amaçlı yazılımların yeniden canlandığını gördü.
Federaller, Zeppelin fidye yazılımının geri döndüğünü ve başta sağlık hizmetleri olmak üzere çeşitli dikey sektörlere ve kritik altyapı kuruluşlarına karşı son kampanyalarında yeni uzlaşma ve şifreleme taktikleri kullandığı konusunda uyarıyor.
Hizmet olarak fidye yazılımını (RaaS) dağıtan tehdit aktörleri, hedef ağları ihlal etmek için daha önce kullanılan kimlik avı kampanyalarının yanı sıra uzak masaüstü protokolünden (RDD) yararlanma ve SonicWall güvenlik duvarı açıklarından da yararlanıyor. bir danışma Siber Güvenlik ve Altyapı Güvenliği Ajansı'ndan (CISA) Perşembe günü yayınlanan bir rapor.
CISA'ya göre Zeppelin ayrıca, kötü amaçlı yazılımı kurbanın ağında birden fazla kez çalıştırarak ve birden fazla örnek saldırısı için farklı kimlikler ve dosya uzantıları oluşturarak yeni bir çoklu şifreleme taktiğine sahip görünüyor.
Danışmana göre "Bu, kurbanın birkaç benzersiz şifre çözme anahtarına ihtiyaç duymasıyla sonuçlanıyor."
Ajans, CISA'nın çeşitli FBI araştırmaları yoluyla Zeplin'in birden fazla varyantını tespit ettiğini ve saldırıların 21 Haziran gibi yakın bir tarihte meydana geldiğini söyledi.
Hedefler ve Taktikler
Zeplin bir varyanttır Başlangıçta Vega veya VegaLocker olarak bilinen ve 2019'un başında Rusya merkezli Yandex.Direct'teki reklamlarda ortaya çıkan Delphi tabanlı hizmet olarak fidye yazılımı (RaaS) ailesinin bir üyesi. BlackBerry Cylance.
Selefinin aksine, Zeppelin'in kampanyaları çok daha hedefe yönelikti; tehdit aktörleri öncelikle teknolojiyi hedef alıyordu ve sağlık şirketleri Avrupa ve Amerika Birleşik Devletleri'nde.
CISA'ya göre en son kampanyalar çoğunlukla sağlık ve tıbbi kuruluşları hedef almaya devam ediyor. Ajans, teknoloji şirketlerinin de Zeppelin'in hedefinde kaldığını ve tehdit aktörlerinin savunma yüklenicilerine, eğitim kurumlarına ve üreticilere yönelik saldırılarda RaaS'ı kullandığını belirtti.
Teşkilat, bir ağa başarılı bir şekilde sızdıktan sonra, tehdit aktörlerinin bulut depolama ve ağ yedeklemesi de dahil olmak üzere veri alanlarını tanımlamak için ağın haritasını çıkarmak veya numaralandırmak için bir ila iki hafta harcadığını belirtiyor. Daha sonra Zeppelin fidye yazılımını bir .dll veya .exe dosyası olarak ya da bir PowerShell yükleyicisinin içinde barındırırlar.
Zeppelin ayrıca yaygın fidye yazılımı taktiğini kullanıyor gibi görünüyor çifte gasp CISA'ya göre, en son kampanyalarında, kurban ödemeyi reddederse daha sonra potansiyel olarak çevrimiçi yayınlanmak üzere şifrelemeden önce hassas veri dosyalarını bir hedeften sızdırıyor.
Çoklu Şifreleme
Zeppelin fidye yazılımı bir ağ üzerinde yürütüldüğünde, CISA'ya göre her şifrelenmiş dosyaya dosya uzantısı olarak rastgele dokuz basamaklı onaltılık bir sayı eklenir; örneğin file.txt.txt.C59-E0C-929.
Tehdit aktörlerinin, genellikle kullanıcının masaüstü sistemine, ele geçirilen sistemlere ilişkin fidye notu içeren bir not dosyası da bıraktığı belirtildi. Zeplin aktörleri genellikle Bitcoin cinsinden birkaç bin dolardan 1 milyon doların üzerinde ödemeler talep ediyor.
En son kampanyalar aynı zamanda tehdit aktörlerinin Zeppelin ile bağlantılı yeni bir taktiği kullanarak kötü amaçlı yazılımı kurbanın ağında birden fazla kez çalıştırdığını gösteriyor. Bu da CISA'ya göre kurbanın dosyaların kilidini açmak için bir değil birden fazla şifre çözme anahtarına ihtiyaç duyacağı anlamına geliyor.
Ancak bir güvenlik uzmanı, bunun fidye yazılımı saldırısının benzersiz bir özelliği olabileceğini veya olmayabileceğini belirtti. Roger Grimes, güvenlik firmasının veri odaklı savunma savunucusu BilBe4, tehdit aktörlerinin farklı dosyaları ayrı ayrı şifrelemesinin ancak sistemlerin kilidini açmak için tek bir ana anahtar kullanmasının alışılmadık bir durum olmadığını söyledi.
Threatpost'a bir e-postasında şunları söyledi: "Günümüzde çoğu fidye yazılımı programında, gerçekten şifrelemeyi gerçekleştiren bir dizi başka anahtarı şifreleyen genel bir ana anahtar var" dedi.
Grimes, kurban, fidye yazılımı saldırganının fidye ödenmesi durumunda dosyaların kilidini başarıyla açabilecek şifre çözme anahtarlarına sahip olduğuna dair kanıt istediğinde, fidye yazılımı grubunun değerini kanıtlamak için tek bir dosya kümesinin kilidini açmak için tek bir anahtar kullandığını söyledi.
