CISA: жертвам программ-вымогателей Zeppelin может потребоваться несколько ключей дешифрования

Дата: 14.08.2022. Автор: Артем П. Категории: Отчеты и исследования по информационной безопасности
CISA: жертвам программ-вымогателей Zeppelin может потребоваться несколько ключей дешифрования
Изображение: Fotis Fotopoulos (unsplash)

В Агентстве кибербезопасности и защиты инфраструктуры (CISA) серьёзно обеспокоены распространением нового типа вымогательского ПО Zeppelin. Основная проблема в этом шифровальщике заключается в том, что жертвам вредоноса может потребоваться сразу несколько ключей дешифровки, чтобы иметь шанс вернуть свои данные.

В CISA выпустили новое предупреждение, согласно которому вариант вымогательского ПО Zeppelin существует по крайней мере с 2019 года, а выкупы варьируются от нескольких тысяч до 1 млн. долларов.

«ФБР регистрировало случаи, когда хакеры-операторы программы-вымогателя Zeppelin несколько раз запускали своё вредоносное ПО в сети одной жертвы, что приводило к созданию разных идентификаторов или расширений файлов для каждого отдельного случая атаки. Это приводит к тому, что жертве требуется несколько уникальных ключей дешифрования», – уточнили в CISA.

Программа-вымогатель Zeppelin, которая, как утверждается, является «ответвлением» от семейства вредоносного ПО Vega на основе Delphi, нацелена на довольно обширный круг организаций, в том числе в оборонном, образовательном, производственном и технологическом секторах. Вместе с этим, по данным CISA, основные цели Zeppelin были в здравоохранении и медицинской промышленности.

«Операторы вымогательского ПО Zeppelin получают доступ к сетям жертв с помощью эксплуатации RDP, использования уязвимостей брандмауэра SonicWall и фишинговых кампаний», — сказано в предупреждении CISA.

Перед развертыванием программы-вымогателя Zeppelin хакеры-операторы вредоноса тратят 1-2 недели на картографирование или изучение сети жертвы для выявления хранилищ данных, включая облачное хранилище и сетевые резервные копии. Участники группировки Zeppelin могут развертывать свою программы-вымогатель в виде файла .dll или .exe, любо включать её в загрузчик PowerShell, заявили в CISA.

В CISA также перечислили длинный список рекомендуемых мер по смягчению последствий для Zeppelin, начиная от передового управления паролями и многофакторной аутентификации, заканчивая регулярными исправлениями, сегментацией сети, отключением неиспользуемых портов и сохранением резервных копий данных в автономном режиме.

Об авторе Артем П

Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован.