اخیرا گونهای جدیدی از #باجافزار های خانواده Vega موسوم به Zeppelin سازمانهای فناوری و خدمت درمانی را در سراسر اروپا، ایالات متحده و کانادا هدف قرار داده است.
تمامی گونههای قبلی باجافزار Vega (موسوم به VegaLocker) کاربران روسیه را هدف قرار میداد درحالیکه این باجافزار جدید اگر موقعیت را یکی از کشورهای روسیه، اوکراین، قزاقستان و دیگر کشورهای پساشوروی تشخیص دهد فعالیت خود را متوقف میکند؛ این امر نشانگر این است که Zeppelin کار همان گروه که پشت پردهی حملات قبلی بودند نیست.
به گزارش BlackBerry Cylance باجافزار Zeppelin یک باجافزار مبتنی بر زبان Delphi و کاملا تنظیمپذیر است؛ بصورتیکه با توجه به نیاز مهاجم در هدف قرار دادن هر گروهی از قربانیان امکان فعالسازی و غیرفعالسازی ویژگیهای متعددی را فراهم میکند.
Zeppelin با ویژگیهای زیر میتواند در فایلهای DLL یا EXE قرار گرفته و یا در loaderهای powershell پنهان شود:
- ردیابی آدرسهای IP و موقعیت مکانی قربانیان (IP Logger)
- حفظ سطح دسترسی حتی پس از reboot شدن سیستم (StartUp)
- حذف کپی و پشتیبانهای فایلها، غیرفعالسازی بازیابی اطلاعات و غیره
- امکان توقف taskهای داخواه مهاجم (Task-Killer)
- قفل کردن فایلها در فرآیند رمزنگاری (قفلسازی خودکار)
- تلاش برای اجرای باجافزار با سطح دسترسی بالا (UAC prompt)
این باج افزار تعداد تمامی فایلهای موجود در همهی درایورها و شبکه را محاسبه کرده و با الگوریتم استفاده شده در دیگر گونههای مشابه Vega، رمز میکند. همچنین برای پنهان ماندن ، از لایههای متعدد obfuscation (درهم ریختگی) شامل استفاده از کلیدهای تصادفی pseudo، رشتههای رمز شده، استفاده از کدها با طولهای گوناگون، تاخیر در اجرا برای دور زدن sandboxها و فریب مکانیسمهای بازگشتی استفاده میکند.
باج افزار Zeppline برای اولین بار یک ماه پیش زمانی که بین تعدادی وبسایت توسط payloadهای powershell توزیع شده بود، کشف شد و این در حالیست که به گفتهی محققان امنیتی حدود 30 درصد آنتی ویروسها قادر به شناسایی این باجافزار نیستند.
برای آگاهی از جزییات فنی به آدرس زیر مراجعه کنید:
https://nationalcybersecurity.com/new-zeppelin-ransomware-targeting-tech-and-health-companies/
- 8