Срочно. Программа-вымогатель Zeppelin возвращается

Программа-вымогатель Zeppelin возвращается. Фото: Pixabay

Недавний вариант вредоносного ПО стал доступен на хакерском форуме в конце прошлого месяца, предлагая киберпреступникам, занимающимся программами-вымогателями, полную независимость, сообщает Bleeping Computer.

Программа-вымогатель Zeppelin также известна как Buran и происходит из семейства Vega / VegaLocker, программы-вымогателя как услуги (RaaS) на базе Delphi, которая наблюдалась на русскоязычных хакерских форумах в 2019 году.

Однако разработчики штамма вымогателя Zeppelin продают его на подпольных форумах, позволяя покупателям решать, как они хотят использовать вредоносное ПО. У разработчиков также есть своего рода индивидуальные партнёрские отношения с определёнными пользователями их вредоносных программ.

Это контрастирует с классическими операциями RaaS, где разработчики обычно ищут партнёров для проникновения в сеть жертвы, для кражи данных и развёртывания вредоносного ПО для шифрования файлов. Затем обе стороны разделили выплаченный выкуп, а разработчики получили меньшую часть (до 30%). 

Компания Advanced Intel по предотвращению угроз и предотвращению потерь обнаружила, что разработчики вымогателя Zeppelin активизировали свою деятельность в марте.

Они объявили о «крупном обновлении программного обеспечения» и о новом раунде продаж. В разведывательном отчёте руководитель отдела исследований AdvIntel Елисей Богуславский  говорит, что текущая версия Zeppelin стоит 2300 долларов за сборку ядра.

После крупного обновления разработчики Zeppelin 27 апреля выпустили новый вариант вредоносного ПО, который мало изменил функции, но повысил стабильность шифрования.

Они также заверили постоянных клиентов, что работа над вредоносным ПО продолжается и что постоянные пользователи, называемые «подписчиками», получат особое отношение.

«Мы продолжаем работать. К каждому абоненту мы предоставляем индивидуальные условия и лояльный подход, условия договорные. Напишите нам, и мы сможем договориться о взаимовыгодных условиях сотрудничества »- Zeppelin ransomware

Zeppelin - одна из немногих на рынке программ-вымогателей, не использующих чистую модель RaaS, а также одна из самых популярных из них, пользующаяся рекомендациями высокопоставленных членов сообщества киберпреступников.

Богуславский объяснил, как работают разработчики Zeppelin, сказав, что они работают над «расширенным набором операций» с близкими партнёрами, купившими вредоносное ПО.

AdvIntel предупреждает, что, несмотря на отсутствие организации, типичной для модели RaaS, Zeppelin может усложнить борьбу с угрозой вымогателей, поскольку доступ к вредоносной программе позволяет другим разработчикам красть функции их продуктов.

Компания заявляет, что пользователи Zeppelin - это отдельные покупатели, которые не усложняют свои атаки и полагаются на общие начальные векторы атак, такие как RDP, уязвимости VPN и фишинг.

Кроме того, у операторов Zeppelin нет места утечки, как у большинства групп RaaS, и они сосредоточены на шифровании данных, а не на их краже.

AdvIntel рекомендует мониторинг и аудит внешних удалённых рабочих столов и VPN-подключений в качестве эффективной защиты от угрозы вымогателей Zeppelin.

Программа-вымогатель Zeppelin вызывает опасения даже без учёта сложности операции RaaS, поскольку атаки с этим штаммом трудно обнаружить, особенно при использовании новых загрузчиков, как обнаружили Juniper Threat Labs в августе прошлого года.