Вымогатель Zeppelin атакует компании в сфере ИТ и здравоохранения в странах Европы, США и Канаде

Эксперты BlackBerry Cylance рассказали о вымогателе Zeppelin, который написан на Delphi, базируется на коде малвари VegaLocker и атакует технологические и медицинские компании в Европе и Северной Америке.

Исследователи пишут, что вредонос не будет работать на машинах в России, Украине и странах СНГ, включая Казахстан и Белоруссию. Это весьма интересный нюанс, так как другие варианты малвари из семейства Vega, также известного как VegaLocker и Buran, были ориентированы именно на русскоязычных пользователей.

Таким образом, Zeppelin, по всей видимости, не является разработкой той же хакерской группы, которая стояла за предыдущими атаками. Дело в том, что исходные коды Vega можно найти на черном рынке, и эксперты полагают, что создатели Zeppelin могли купить или украсть их, а также могли обнаружить некую утечку. Судя по всему, за Zeppelin стоит некая русскоязычная хак-группа.

Zeppelin легко поддается кастомизации и его можно настроить под конкретную  жертву или требования злоумышленника. Так, Zeppelin не имеет стандартной формы требования выкупа, а также малварь может быть развернута как EXE, DLL или использовать PowerShell, и обладает следующими функциями:

  • IP Logger — отслеживание IP-адресов и местонахождения жертв;
  • Startup — обеспечение постоянного присутствия в системе;
  • Delete backups — остановка определенных служб, отключение восстановления файлов, удаление резервных копий, теневых копий и так далее;
  • Task-killer —ликвидация указанные злоумышленником процессов;
  • Auto-unlock — разблокировка файлов, которые заблокированы во время шифрования;
  • Melt — самоуничтожение;
  • UAC prompt  — попытка запустить малварь с повышенными привилегиями.

Анализ кода показывает, что Zeppelin был впервые скомпилирован в начале ноября текущего года.

По словам исследователей, вымогатель распространяется через атаки на цепочку поставок, в частности, через поставщиков услуг управляемой безопасности (Managed Security Service Providers, MSSP), что делает его похожим на небезызвестного шифровальщика Sodinokibi. Также эксперты полагают, что Zeppelin распространяется и посредством атак типа watering hole («водопой»). Такие атаки названы по аналогии с тактикой хищников, которые охотятся у водопоя, поджидая добычу — животных, пришедших напиться. То есть злоумышленники размещают малварь на каких-либо ресурсах, которые посещает намеченная жертва.

Эксперты BlackBerry Cylance полагают, что на черном рынке Zeppelin предлагается как услуга, то есть преступники арендуют его у разработчиков, а затем адаптируют под свои нужды. И по крайней мере один из таких операторов использует Zeppelin для атак, направленных на медицинские и ИТ-компании.

«Пока мы не видели, чтобы для распространения малвари использовалась какая-либо масштабная кампания. Похоже, что злоумышленники достаточно осторожны в вопросах выбора целей. Но, вероятно, причина в том, что кампания еще не стартовала по-настоящему, и нынешние жертвы — это лишь “нулевые пациенты” в каком-то тестовом прогоне», — говорят аналитики.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.
Похожие материалы