- Регистрация
- 20 Апр 2019
- Сообщения
- 1,618
- Реакции
- 112
- Репутация
- 0
- Род занятий
-
Готовые кошельки, Дебетовые карты
- ГАРАНТ
- 1
Эксперты BlackBerry Cylance рассказали о вымогателе Zeppelin, который написан на Delphi, базируется на коде малвари VegaLocker и атакует технологические и медицинские компании в Европе и Северной Америке.
Исследователи пишут, что вредонос не будет работать на машинах в России, Украине и странах СНГ, включая Казахстан и Белоруссию. Это весьма интересный нюанс, так как другие варианты малвари из семейства Vega, также известного как VegaLocker и Buran, были ориентированы именно на русскоязычных пользователей.
Таким образом, Zeppelin, по всей видимости, не является разработкой той же хакерской группы, которая стояла за предыдущими атаками. Дело в том, что исходные коды Vega можно найти на черном рынке, и эксперты полагают, что создатели Zeppelin могли купить или украсть их, а также могли обнаружить некую утечку. Судя по всему, за Zeppelin стоит некая русскоязычная хак-группа.
Zeppelin легко поддается кастомизации и его можно настроить под конкретную жертву или требования злоумышленника. Так, Zeppelin не имеет стандартной формы требования выкупа, а также малварь может быть развернута как EXE, DLL или использовать PowerShell, и обладает следующими функциями:
По словам исследователей, вымогатель распространяется через атаки на цепочку поставок, в частности, через поставщиков услуг управляемой безопасности (Managed Security Service Providers, MSSP), что делает его похожим на небезызвестного шифровальщика Sodinokibi. Также эксперты полагают, что Zeppelin распространяется и посредством атак типа watering hole («водопой»). Такие атаки названы по аналогии с тактикой хищников, которые охотятся у водопоя, поджидая добычу — животных, пришедших напиться. То есть злоумышленники размещают малварь на каких-либо ресурсах, которые посещает намеченная жертва.
Эксперты BlackBerry Cylance полагают, что на черном рынке Zeppelin предлагается как услуга, то есть преступники арендуют его у разработчиков, а затем адаптируют под свои нужды. И по крайней мере один из таких операторов использует Zeppelin для атак, направленных на медицинские и ИТ-компании.
«Пока мы не видели, чтобы для распространения малвари использовалась какая-либо масштабная кампания. Похоже, что злоумышленники достаточно осторожны в вопросах выбора целей. Но, вероятно, причина в том, что кампания еще не стартовала по-настоящему, и нынешние жертвы — это лишь “нулевые пациенты” в каком-то тестовом прогоне», — говорят аналитики.
Исследователи пишут, что вредонос не будет работать на машинах в России, Украине и странах СНГ, включая Казахстан и Белоруссию. Это весьма интересный нюанс, так как другие варианты малвари из семейства Vega, также известного как VegaLocker и Buran, были ориентированы именно на русскоязычных пользователей.
Таким образом, Zeppelin, по всей видимости, не является разработкой той же хакерской группы, которая стояла за предыдущими атаками. Дело в том, что исходные коды Vega можно найти на черном рынке, и эксперты полагают, что создатели Zeppelin могли купить или украсть их, а также могли обнаружить некую утечку. Судя по всему, за Zeppelin стоит некая русскоязычная хак-группа.
Zeppelin легко поддается кастомизации и его можно настроить под конкретную жертву или требования злоумышленника. Так, Zeppelin не имеет стандартной формы требования выкупа, а также малварь может быть развернута как EXE, DLL или использовать PowerShell, и обладает следующими функциями:
- IP Logger — отслеживание IP-адресов и местонахождения жертв;
- Startup — обеспечение постоянного присутствия в системе;
- Delete backups — остановка определенных служб, отключение восстановления файлов, удаление резервных копий, теневых копий и так далее;
- Task-killer —ликвидация указанные злоумышленником процессов;
- Auto-unlock — разблокировка файлов, которые заблокированы во время шифрования;
- Melt — самоуничтожение;
- UAC prompt — попытка запустить малварь с повышенными привилегиями.
По словам исследователей, вымогатель распространяется через атаки на цепочку поставок, в частности, через поставщиков услуг управляемой безопасности (Managed Security Service Providers, MSSP), что делает его похожим на небезызвестного шифровальщика Sodinokibi. Также эксперты полагают, что Zeppelin распространяется и посредством атак типа watering hole («водопой»). Такие атаки названы по аналогии с тактикой хищников, которые охотятся у водопоя, поджидая добычу — животных, пришедших напиться. То есть злоумышленники размещают малварь на каких-либо ресурсах, которые посещает намеченная жертва.
Эксперты BlackBerry Cylance полагают, что на черном рынке Zeppelin предлагается как услуга, то есть преступники арендуют его у разработчиков, а затем адаптируют под свои нужды. И по крайней мере один из таких операторов использует Zeppelin для атак, направленных на медицинские и ИТ-компании.
«Пока мы не видели, чтобы для распространения малвари использовалась какая-либо масштабная кампания. Похоже, что злоумышленники достаточно осторожны в вопросах выбора целей. Но, вероятно, причина в том, что кампания еще не стартовала по-настоящему, и нынешние жертвы — это лишь “нулевые пациенты” в каком-то тестовом прогоне», — говорят аналитики.