O novo ransomware Zeppelin tem como alvo empresas nos EUA e na Europa

Zeppelin ransomwareSeus pesquisadores BlackBerry Cylance eles descobriram um novo tipo de ransomware usado por criminosos cibernéticos e direcionado empresas de saúde e tecnologia na Europa, EUA e Canadá. Os pesquisadores disseram que era Alvos e ataques “cuidadosamente selecionados”. O nome do novo ransomware é zepelim e é baseado em outra “família” maliciosa de software (VegaLocker). No entanto, os pesquisadores chamam de “nova espécie” porque tem muitas diferenças em relação ao VegaLocker, pois evoluiu muito e possui muitos outros recursos.

Os pesquisadores descobriram que o Zeppelin ransomware apareceu pela primeira vez no início de novembro, mas em um mês foi usado para atacar redes de empresas de tecnologia e saúde na Europa e na América do Norte.

De acordo com a análise, o Zeppelin está se espalhando com “Ataques da cadeia de suprimentos” via Provedores de serviços de segurança gerenciada (MSSP). Esse modo de ataque lembra o Sodinokibi ransomware. Acredita-se também que o ransomware se espalhe através campanhas de malvertising e “Ataques no poço de água”, que compartilham carga útil maliciosa nos sistemas de destino.

O Zeppelin é instalado com uma pasta temporária chamada .zeppelin e depois se espalha para a máquina de destino.

Quando o ransomware entra na rede, ele criptografa os arquivos. Os atacantes garantem que estão mirando a vítima certa, monitorando o endereço IP.

Após criptografar os arquivos, o Zeppelin aparece para a vítima a mensagem para resgate. Os pesquisadores observaram que a mesma mensagem não é exibida para todas as vítimas. Pode ser uma mensagem geral curta ou especialmente projetada para cada empresa. Além disso, o valor era diferente em cada negócio, mas sempre em bitcoin.

Esses dados mostram que O Zeppelin ransomware é distribuído como um serviço. Os invasores terão que “comprar o certo” para usá-lo em fóruns clandestinos. Então eles são capazes de adaptá-lo às suas necessidades.

“Parece haver um número limitado de vítimas e não vimos malware usado em nenhuma campanha de larga escala até agora. Os atacantes parecem ter mais cuidado com seus objetivos “, disse Josh Lemos, chefe de pesquisa e informações do BlackBerry Cylance.

Os pesquisadores acreditam que o Zeppelin ransomware está sendo testado e que os ataques ainda não atingiram o pico.

O ransomware Zeppelin provavelmente vem de Rússia, porque durante a execução inicial, o programa malicioso verifica o código do país da vítima para garantir que não afeta uma máquina na Rússia, Ucrânia, Bielorrússia ou Cazaquistão. Se ele se encontrar nesses países, ele não continua com os ataques.

O Zeppelin é uma nova forma de ransomware, então ainda não existe uma ferramenta de descriptografia gratuita. No entanto, os organismos podem ser protegidos por algumas práticas simples de segurança.

“O conselho é sempre o mesmo: use-o soluções completas de segurança, atualizar o sistema operacional, faça backups regulares, treinar funcionários Em suas práticas básicas de segurança, tenha cuidado vigilânciaDisse Lemos.