giovedì 12 dicembre 2019

Il ransomware Zeppelin attacca aziende sanitarie e IT in Europa e negli U.S.A


E' in diffusione in questi giorni una nuova variante della famiglia di ransomware Buran: la nuova versione, chiamata Zeppelin, è stata individuata nel corso di attacchi reali contro aziende statunitensi ed europee. Nessuna campagna massiva di email vettore per questo ransomware, che anzi, viene distribuito quasi esclusivamente tramite attacchi mirati. 

Buran è una famiglia di ransomware della quale abbiamo già parlato, che ha debuttato come ransomware as a service (RaaS) , pubblicizzato dal Maggio 2019 su molteplici forum di hacking in lingua russa. Il "business" funziona bene, gli affiliati sono già centinaia: il RaaS Buran infatti garantisce ben il 75% di guadagno dal pagamento del riscatto per gli affiliati, riservando invece per i propri operatori solo un 25%. Da Maggio sono state rilasciate almeno tre nuove varianti della famiglia, Vegalocker e Jamper, quindi la versione attualmente in distribuzione, Zeppelin appunto. 

Zeppelin in dettaglio
Qualche giorno fa è stato pubblicato, da parte di BlackBerry Cylance, un approfondimento su Zeppelin. I ricercatori spiegano come questo ransomware sia usato in attacchi mirati contro aziende sanitarie e IT, in alcuni casi anche di alto profilo, ma si delinea anche un nuovo filone di attacchi che mira agli MSP (Managed Service Provider): un sistema "ottimo" per poter diffondere ulteriormente il ransomware sfruttando i software di assistenza remota in uso in tutti gli MPS. 

Le modalità di diffusione potrebbero essere molteplici: una certa è l'attacco ad aziende che hanno server di Desktop Remoto esposti pubblicamente in Internet. 

Come spesso accade per quei ransomware proveniente dai paesi dell' Ex Unione Sovietica, anche Zeppelin verifica le impostazioni linguistiche del sistema sotto attacco, terminando le operazioni se l'azienda target risulta in Russia, Ucraina, Bielorussia o Kazakistan. Se, invece, nel sistema viene individuata una lingua diversa da quelle elencate, il ransomware, per prima cosa, terminerà molteplici processi inclusi quelli collegati a database, backup e mail server. 

La particolarità è che, quando cripta i file, Zeppelin non aggiunge una estensione propria al file né ne modifica il nome: inserirà, tuttavia, un marcatore nel file, chiamato appunto Zeppelin, che può essere circondato da simboli differenti a seconda dell'editor hex in uso e del formato del carattere in uso.

Fonte: bleepingcomputer.com

La nota di riscatto è chiamata !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT e contiene le informazioni di pagamento e i contatti degli attaccanti. 

Fonte: bleepingcomputer.com

Attualmente non c'è modo di decriptare i file senza pagare il riscatto, in quanto non è stata individuata alcuna vulnerabilità nell'algoritmo di criptazione. La buona notizia è che, per quanto questo ransomware stia prendendo campo, non è paragonabile ad altri ransomware come Ryuk o Maze in termini di ampiezza della scala di distribuzione. 

Il builder degli affiliati
Ulteriori analisi hanno condotto il ricercatore di sicurezza Vitali Kremez a rintracciare il builder per Zeppelin che viene utilizzato dagli affiliati alla famiglia Buran per costruire differenti tipi di payload. Il payload può essere impostato in vari formati come .exe, .dll, .ps1 ecc... in base a quello più adatto secondo la tipologia di attacco che l'affiliato vuole portare. 

Fonte: bleepingcomputer.com
Il builder permette persino la personalizzazione della nota di riscatto, strumento molto utile per quegli affiliati che preferiscono gli attacchi mirati rispetto a quelli che colpiscono "nel mucchio".

Nessun commento:

Posta un commento