CISA: жертвам программ-вымогателей Zeppelin может потребоваться несколько ключей дешифрования
Изображение: Fotis Fotopoulos (unsplash)
В Агентстве кибербезопасности и защиты инфраструктуры (CISA) серьёзно обеспокоены распространением нового типа вымогательского ПО Zeppelin. Основная проблема в этом шифровальщике заключается в том, что жертвам вредоноса может потребоваться сразу несколько ключей дешифровки, чтобы иметь шанс вернуть свои данные.
В CISA выпустили новое предупреждение, согласно которому вариант вымогательского ПО Zeppelin существует по крайней мере с 2019 года, а выкупы варьируются от нескольких тысяч до 1 млн. долларов.
«ФБР регистрировало случаи, когда хакеры-операторы программы-вымогателя Zeppelin несколько раз запускали своё вредоносное ПО в сети одной жертвы, что приводило к созданию разных идентификаторов или расширений файлов для каждого отдельного случая атаки. Это приводит к тому, что жертве требуется несколько уникальных ключей дешифрования», – уточнили в CISA.
Программа-вымогатель Zeppelin, которая, как утверждается, является «ответвлением» от семейства вредоносного ПО Vega на основе Delphi, нацелена на довольно обширный круг организаций, в том числе в оборонном, образовательном, производственном и технологическом секторах. Вместе с этим, по данным CISA, основные цели Zeppelin были в здравоохранении и медицинской промышленности.
«Операторы вымогательского ПО Zeppelin получают доступ к сетям жертв с помощью эксплуатации RDP, использования уязвимостей брандмауэра SonicWall и фишинговых кампаний», — сказано в предупреждении CISA.
Перед развертыванием программы-вымогателя Zeppelin хакеры-операторы вредоноса тратят 1-2 недели на картографирование или изучение сети жертвы для выявления хранилищ данных, включая облачное хранилище и сетевые резервные копии. Участники группировки Zeppelin могут развертывать свою программы-вымогатель в виде файла .dll или .exe, любо включать её в загрузчик PowerShell, заявили в CISA.
В CISA также перечислили длинный список рекомендуемых мер по смягчению последствий для Zeppelin, начиная от передового управления паролями и многофакторной аутентификации, заканчивая регулярными исправлениями, сегментацией сети, отключением неиспользуемых портов и сохранением резервных копий данных в автономном режиме.
