Твитнуть
Эксперты BlackBerry Cylance рассказали о вымогателе Zeppelin, который написан на Delphi, базируется на коде малвари VegaLocker и атакует технологические и медицинские компании в Европе и Северной Америке.
Исследователи пишут, что вредонос не будет работать на машинах в России, Украине и странах СНГ, включая Казахстан и Белоруссию. Это весьма интересный нюанс, так как другие варианты малвари из семейства Vega, также известного как VegaLocker и Buran, были ориентированы именно на русскоязычных пользователей.
Таким образом, Zeppelin, по всей видимости, не является разработкой той же хакерской группы, которая стояла за предыдущими атаками. Дело в том, что исходные коды Vega можно найти на черном рынке, и эксперты полагают, что создатели Zeppelin могли купить или украсть их, а также могли обнаружить некую утечку. Судя по всему, за Zeppelin стоит некая русскоязычная хак-группа.
Zeppelin легко поддается кастомизации и его можно настроить под конкретную жертву или требования злоумышленника. Так, Zeppelin не имеет стандартной формы требования выкупа, а также малварь может быть развернута как EXE, DLL или использовать PowerShell, и обладает следующими функциями:
IP Logger — отслеживание IP-адресов и местонахождения жертв;
Startup — обеспечение постоянного присутствия в системе;
Delete backups — остановка определенных служб, отключение восстановления файлов, удаление резервных копий, теневых копий и так далее;
Task-killer —ликвидация указанные злоумышленником процессов;
Auto-unlock — разблокировка файлов, которые заблокированы во время шифрования;
Melt — самоуничтожение;
UAC prompt — попытка запустить малварь с повышенными привилегиями.
Анализ кода показывает, что Zeppelin был впервые скомпилирован в начале ноября текущего года.
По словам исследователей, вымогатель распространяется через атаки на цепочку поставок, в частности, через поставщиков услуг управляемой безопасности (Managed Security Service Providers, MSSP), что делает его похожим на небезызвестного шифровальщика Sodinokibi. Также эксперты полагают, что Zeppelin распространяется и посредством атак типа watering hole («водопой»). Такие атаки названы по аналогии с тактикой хищников, которые охотятся у водопоя, поджидая добычу — животных, пришедших напиться. То есть злоумышленники размещают малварь на каких-либо ресурсах, которые посещает намеченная жертва.
Эксперты BlackBerry Cylance полагают, что на черном рынке Zeppelin предлагается как услуга, то есть преступники арендуют его у разработчиков, а затем адаптируют под свои нужды. И по крайней мере один из таких операторов использует Zeppelin для атак, направленных на медицинские и ИТ-компании.
«Пока мы не видели, чтобы для распространения малвари использовалась какая-либо масштабная кампания. Похоже, что злоумышленники достаточно осторожны в вопросах выбора целей. Но, вероятно, причина в том, что кампания еще не стартовала по-настоящему, и нынешние жертвы — это лишь “нулевые пациенты” в каком-то тестовом прогоне», — говорят аналитики.
Исследователи пишут, что вредонос не будет работать на машинах в России, Украине и странах СНГ, включая Казахстан и Белоруссию. Это весьма интересный нюанс, так как другие варианты малвари из семейства Vega, также известного как VegaLocker и Buran, были ориентированы именно на русскоязычных пользователей.
Таким образом, Zeppelin, по всей видимости, не является разработкой той же хакерской группы, которая стояла за предыдущими атаками. Дело в том, что исходные коды Vega можно найти на черном рынке, и эксперты полагают, что создатели Zeppelin могли купить или украсть их, а также могли обнаружить некую утечку. Судя по всему, за Zeppelin стоит некая русскоязычная хак-группа.
Zeppelin легко поддается кастомизации и его можно настроить под конкретную жертву или требования злоумышленника. Так, Zeppelin не имеет стандартной формы требования выкупа, а также малварь может быть развернута как EXE, DLL или использовать PowerShell, и обладает следующими функциями:
IP Logger — отслеживание IP-адресов и местонахождения жертв;
Startup — обеспечение постоянного присутствия в системе;
Delete backups — остановка определенных служб, отключение восстановления файлов, удаление резервных копий, теневых копий и так далее;
Task-killer —ликвидация указанные злоумышленником процессов;
Auto-unlock — разблокировка файлов, которые заблокированы во время шифрования;
Melt — самоуничтожение;
UAC prompt — попытка запустить малварь с повышенными привилегиями.
Анализ кода показывает, что Zeppelin был впервые скомпилирован в начале ноября текущего года.
По словам исследователей, вымогатель распространяется через атаки на цепочку поставок, в частности, через поставщиков услуг управляемой безопасности (Managed Security Service Providers, MSSP), что делает его похожим на небезызвестного шифровальщика Sodinokibi. Также эксперты полагают, что Zeppelin распространяется и посредством атак типа watering hole («водопой»). Такие атаки названы по аналогии с тактикой хищников, которые охотятся у водопоя, поджидая добычу — животных, пришедших напиться. То есть злоумышленники размещают малварь на каких-либо ресурсах, которые посещает намеченная жертва.
Эксперты BlackBerry Cylance полагают, что на черном рынке Zeppelin предлагается как услуга, то есть преступники арендуют его у разработчиков, а затем адаптируют под свои нужды. И по крайней мере один из таких операторов использует Zeppelin для атак, направленных на медицинские и ИТ-компании.
«Пока мы не видели, чтобы для распространения малвари использовалась какая-либо масштабная кампания. Похоже, что злоумышленники достаточно осторожны в вопросах выбора целей. Но, вероятно, причина в том, что кампания еще не стартовала по-настоящему, и нынешние жертвы — это лишь “нулевые пациенты” в каком-то тестовом прогоне», — говорят аналитики.