Разработчики вымогателя Zeppelin возобновили свою деятельность после периода относительного молчания, начавшегося прошлой осенью, и начали рекламировать новые версии вредоносного ПО.
Недавний вариант вредоносного ПО стал доступен на хакерском форуме в конце прошлого месяца, предлагая киберпреступникам, занимающимся программами-вымогателями, полную независимость.
Новые версии в продаже
Программа-вымогатель Zeppelin также известна как Buran и происходит из семейства Vega / VegaLocker, программы-вымогателя как услуги (RaaS) на базе Delphi, которая наблюдалась на русскоязычных хакерских форумах в 2019 году.Однако разработчики штамма вымогателя Zeppelin продают его на подпольных форумах, позволяя покупателям решать, как они хотят использовать вредоносное ПО. У разработчиков также есть своего рода индивидуальные партнерские отношения с определенными пользователями их вредоносных программ.
Это контрастирует с классическими операциями RaaS, где разработчики обычно ищут партнеров для проникновения в сеть жертвы, для кражи данных и развертывания вредоносного ПО для шифрования файлов. Затем обе стороны разделили выплаченный выкуп, а разработчики получили меньшую часть (до 30%).
Компания Advanced Intel ( AdvIntel ), занимающаяся предотвращением угроз и предотвращением потерь, обнаружила, что разработчики вымогателя Zeppelin активизировали свою деятельность в марте.
Они объявили о «крупном обновлении программного обеспечения» вместе с новым раундом продаж. В разведывательном отчете руководитель отдела исследований AdvIntel Елисей Богуславский говорит, что текущая версия Zeppelin стоит 2300 долларов за сборку ядра.
После крупного обновления разработчики Zeppelin 27 апреля выпустили новый вариант вредоносного ПО, который мало изменил функции, но повысил стабильность шифрования.
Бонусы для постоянных клиентов
Они также заверили постоянных клиентов, что работа над вредоносным ПО продолжается и что постоянные пользователи, называемые «подписчиками», получат особое отношение.«Мы продолжаем работать. К каждому абоненту мы предоставляем индивидуальные условия и лояльный подход, условия договорные. Напишите нам, и мы сможем договориться о взаимовыгодных условиях сотрудничества »- Zeppelin ransomware
Zeppelin - одна из немногих на рынке программ-вымогателей, не использующая чистую модель RaaS, а также одна из самых популярных из них, пользующаяся рекомендациями высокопоставленных членов сообщества киберпреступников.
Богуславский объяснил, как работают разработчики Zeppelin, сказав, что они работают над «расширенным набором операций» с близкими партнерами, купившими вредоносное ПО.
AdvIntel предупреждает, что, несмотря на отсутствие организации, типичной для модели RaaS, Zeppelin может усложнить борьбу с угрозой вымогателей, поскольку доступ к вредоносной программе позволяет другим разработчикам красть функции их продуктов.
Компания заявляет, что пользователи Zeppelin - это индивидуальные покупатели, которые не усложняют свои атаки и полагаются на общие исходные векторы атак, такие как RDP, уязвимости VPN и фишинг.
Кроме того, у операторов Zeppelin нет места утечки, как у большинства групп RaaS, и они сосредоточены на шифровании данных, а не на их краже.
AdvIntel рекомендует мониторинг и аудит внешних удаленных рабочих столов и VPN-подключений в качестве эффективной защиты от угрозы вымогателей Zeppelin.
Программа-вымогатель Zeppelin вызывает опасения даже без учета сложности операции RaaS, поскольку атаки с этим штаммом трудно обнаружить, особенно при использовании новых загрузчиков, как обнаружили Juniper Threat Labs в августе прошлого года.
Перевод - Google
Bleeping Computer
