Các nhà phát triển của Zeppelin ransomware đã tiếp tục hoạt động của họ sau một thời gian tương đối im lặng bắt đầu từ mùa Thu năm ngoái và bắt đầu quảng cáo các phiên bản mới của phần mềm độc hại này.
Một biến thể gần đây của phần mềm độc hại đã xuất hiện trên một diễn đàn tin tặc vào cuối tháng trước, cung cấp cho tội phạm mạng trong lĩnh vực kinh doanh ransomware hoàn toàn độc lập.
Zeppelin ransomware còn được gọi là Buran và có nguồn gốc từ họ Vega / VegaLocker, một ransomware-as-a-service (RaaS) dựa trên Delphi được quan sát trên các diễn đàn hacker nói tiếng Nga vào năm 2019.
Tuy nhiên, các nhà phát triển của dòng ransomware Zeppelin lại bán nó trên các diễn đàn ngầm, cho phép người mua quyết định cách họ muốn sử dụng phần mềm độc hại. Các nhà phát triển cũng có một số mối quan hệ đối tác cá nhân với một số người dùng phần mềm độc hại nhất định của họ.
Điều này trái ngược với các hoạt động RaaS cổ điển, trong đó các nhà phát triển thường tìm kiếm các đối tác để xâm nhập vào mạng nạn nhân, đánh cắp dữ liệu và triển khai phần mềm độc hại mã hóa tệp. Sau đó, hai bên chia nhau tiền chuộc được trả, với các nhà phát triển nhận được phần nhỏ hơn (lên đến 30%).
Công ty phòng chống mối đe dọa và tránh mất mát Advanced Intel ( AdvIntel ) phát hiện ra rằng các nhà phát triển của Zeppelin ransomware đã hồi sinh hoạt động của họ vào tháng Ba.
Họ đã thông báo “một bản cập nhật lớn cho phần mềm” cùng với một đợt bán hàng mới. Trong một báo cáo tình báo, Yelisey Boguslavskiy, người đứng đầu bộ phận nghiên cứu của AdvIntel nói rằng phiên bản Zeppelin hiện tại đi kèm thẻ giá 2.300 USD cho mỗi bản xây dựng lõi.
Sau bản cập nhật lớn, các nhà phát triển Zeppelin đã phát hành một biến thể mới của phần mềm độc hại vào ngày 27 tháng 4, mang lại ít thay đổi về mặt tính năng nhưng tăng độ ổn định của mã hóa.
Đặc quyền dành cho khách hàng thường xuyên
Họ cũng đảm bảo với các khách hàng thường xuyên rằng công việc của phần mềm độc hại vẫn tiếp tục và những người dùng lâu dài, được gọi là “người đăng ký”, sẽ được hưởng lợi từ việc đối xử đặc biệt.
“Chúng tôi tiếp tục làm việc. Chúng tôi cung cấp các điều kiện riêng lẻ và cách tiếp cận trung thành cho từng người đăng ký, các điều kiện có thể thương lượng. Viết thư cho chúng tôi, và chúng tôi sẽ có thể đồng ý về một điều khoản hợp tác đôi bên cùng có lợi ”- Zeppelin ransomware
Zeppelin là một trong số ít các hoạt động ransomware trên thị trường không áp dụng mô hình RaaS thuần túy và cũng là một trong những hoạt động phổ biến nhất của nhóm, nhận được các khuyến nghị từ các thành viên nổi tiếng của cộng đồng tội phạm mạng.
Boguslavskiy giải thích cách các nhà phát triển Zeppelin làm việc bằng cách nói rằng họ làm việc trên "phạm vi hoạt động mở rộng hơn" với các đối tác thân thiết đã mua phần mềm độc hại.
AdvIntel cảnh báo rằng mặc dù thiếu tổ chức điển hình cho mô hình RaaS, Zeppelin có thể gây khó khăn hơn trong việc chống lại mối đe dọa ransomware vì quyền truy cập vào phần mềm độc hại cho phép các nhà phát triển khác ăn cắp các tính năng cho sản phẩm của họ.
Công ty nói rằng người dùng Zeppelin là những người mua cá nhân không làm phức tạp các cuộc tấn công của họ và dựa vào các vectơ tấn công ban đầu phổ biến như RDP, lỗ hổng VPN và lừa đảo.
Hơn nữa, các nhà khai thác Zeppelin không có trang web rò rỉ, giống như hầu hết các nhóm RaaS và họ tập trung vào việc mã hóa dữ liệu chứ không phải đánh cắp dữ liệu.
AdvIntel khuyến nghị giám sát và kiểm tra các kết nối VPN và máy tính để bàn từ xa bên ngoài như một biện pháp bảo vệ hiệu quả chống lại mối đe dọa ransomware Zeppelin.
Ngay cả khi không có sự phức tạp của một hoạt động RaaS, Zeppelin ransomware cũng lo ngại rằng các cuộc tấn công với chủng này có thể khó bị phát hiện, đặc biệt là khi các trình tải xuống mới được sử dụng, như Juniper Threat Labs đã phát hiện vào tháng 8 năm ngoái.
TRUNGTAMBAOHANH.COM hiện có khả năng giải mã dữ liệu virus mã hóa và đám phán với hackers để khôi phục dữ liệu cho các khách hàng bị tấn công và đòi hỏi tiền chuộc.