Ransomware Zeppelin nhắm vào các công ty công nghệ và chăm sóc sức khỏe

Nhằm hỗ trợ và đồng hành cùng doanh nghiệp đẩy lùi hậu quả của đại dịch Covid-19, CyStack hỗ trợ: miễn phí 3 tháng bảo mật website & server với phần mềm Cloud Security. > Đăng ký ngay.

Gần đây, một biến thể mới của ransomware Vega, được đặt tên là Zeppelin, đã được phát hiện đang nhắm đến các công ty trong lĩnh vực chăm sóc sức khỏe và công nghệ tại Châu Âu, Mỹ và Canada. 

zeppelin feature

Người dùng tại Nga và các nước Liên Xô cũ không bị ảnh hưởng

Tuy nhiên, nếu bạn cư trú ở Nga hoặc một số quốc gia thuộc Liên Xô cũ khác như Ukraine, Belorussia và Kazakhstan, hãy yên tâm vì ransomware sẽ tự dừng hoạt động nếu phát hiện máy chủ tại các quốc gia này. Đây là một phát hiện khá thú vị vì các biến thể trước đây của ransomware Vega (hay còn gọi là VegaLocker), chủ yếu đều nhắm vào người dùng nói tiếng Nga. Điều này cho thấy Zeppelin không phải là tác phẩm của cùng một nhóm hacker đứng đằng sau các cuộc tấn công trước đó. 

Kể từ khi Vega và các biến thể trước đó của nó được cung cấp dưới dạng dịch vụ trên các diễn đàn ngầm, các nhà nghiên cứu tại BlackBerry Cylance tin rằng Zeppelin hoặc “đã kết thúc trong tay các tác nhân đe dọa khác nhau” hoặc “được phát triển lại từ các nguồn bị mua/đánh cắp/rò rỉ”.

Cơ chế hoạt động của ransomware Zeppelin

Theo báo cáo từ BlackBerry Cylance, Zeppelin là một ransomware có khả năng tùy chỉnh cao, dựa trên Delphi, có thể dễ dàng bật hoặc tắt các tính năng khác nhau, tùy thuộc vào đặc điểm của nạn nhân hoặc yêu cầu của kẻ tấn công.

Zeppelin có thể được triển khai dưới dạng EXE, DLL hoặc được bọc trong trình tải PowerShell và bao gồm các tính năng sau:

  • IP Logger – theo dõi địa chỉ IP và vị trí của nạn nhân
  • Startup – thu thập persistence
  • Xóa các bản sao lưu – để dừng một số dịch vụ nhất định, vô hiệu hóa việc khôi phục các tệp, xóa các bản sao lưu và bản sao bóng, v.v.
  • Task-killer – tiêu diệt các quy trình do kẻ tấn công chỉ định
  • Tự động mở khóa – để mở khóa các tệp bị khóa trong quá trình mã hóa
  • Melt – để tiêm luồng tự xóa vào notepad.exe
  • Dấu nhắc UAC – thử chạy ransomware với các đặc quyền nâng cao

Dựa trên cấu hình mà kẻ tấn công thiết lập từ giao diện người dùng của trình tạo Zeppelin trong quá trình tạo nhị phân ransomware, malware sẽ liệt kê các tệp trên tất cả các ổ đĩa và chia sẻ mạng và mã hóa chúng bằng thuật toán tương tự như các biến thể Vega khác sử dụng.

Zeppelin builder

“[Zeppelin] sử dụng kết hợp tiêu chuẩn mã hóa tệp đối xứng với các khóa được tạo ngẫu nhiên cho mỗi tệp (AES-256 ở chế độ CBC) và mã hóa bất đối xứng được sử dụng để bảo vệ khóa phiên (tùy chỉnh bổ sung RSA, có thể được phát triển nội bộ)” – Các nhà nghiên cứu giải thích.

“Một số mẫu sẽ chỉ mã hóa 0x1000 byte (4KB) đầu tiên, thay vì 0x10000 (65KB). Đây có thể là một lỗi vô ý hoặc là một chủ ý tăng tốc quá trình mã hóa trong khi vẫn render hầu hết các tệp không sử dụng được.”

Bên cạnh việc cho phép lựa chọn các tệp và dữ liệu được mã hóa, trình tạo Zeppelin cũng cho phép kẻ tấn công soạn nội dung của note đòi tiền chuộc sau đó xuất hiện trên hệ thống và sẽ hiển thị cho nạn nhân sau khi dữ liệu đã bị mã hóa.

Các nhà nghiên cứu cho biết: “Các nhà nghiên cứu của BlackBerry Cylance đã phát hiện ra một số phiên bản khác nhau, từ các tin nhắn ngắn, chung chung đến các ghi chú phức tạp hơn để đòi tiền chuộc được soạn thảo riêng cho mỗi tổ chức”.

“Tất cả các tin nhắn đều hướng dẫn nạn nhân liên hệ với kẻ tấn công thông qua một địa chỉ email được cho trước và phải để lại số ID cá nhân của họ.”

Để tránh bị phát hiện, ransomware Zeppelin dựa vào nhiều lớp obfuscation (lập trình mã hóa nhằm bảo vệ mã nguồn), bao gồm sử dụng các khóa giả ngẫu nhiên, chuỗi được mã hóa, sử dụng mã có kích thước khác nhau, cũng như trì hoãn thực thi để vượt qua các hộp cát và đánh lừa thuật toán heuristic.

30% các giải pháp Antivirus không phát hiện được ransomware Zeppelin

Zeppelin được phát hiện lần đầu tiên cách đây gần một tháng khi nó được phân phối thông qua các trang web bị khai thác water-hole với payloads PowerShell được lưu trữ trên trang Pastebin.

Các nhà nghiên cứu tin rằng ít nhất một số cuộc tấn công Zeppelin đã được “thực hiện thông qua MSSP và có những điểm tương đồng với một chiến dịch nhắm mục tiêu gần đây khác sử dụng ransomware Sodinokibi, hay còn được gọi là Sodin hoặc REvil.”

Các nhà nghiên cứu cũng đã chia sẻ các chỉ số gây hại (IoC) trong bài đăng trên blog của mình. Tại thời điểm viết, gần 30% các giải pháp chống vi-rút không thể phát hiện mối đe dọa đến từ ransomware đặc biệt này.

Nguồn: https://thehackernews.com/2019/12/zeppelin-ransomware-attacks.html