Zeppelin هو ممثل برنامج فدية منظم بشكل جيد ويقضي أسبوعين في رسم خرائط لشبكة – قبل أن يصيبها بمثيلات متعددة من البرامج الضارة.
أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) ومكتب التحقيقات الفيدرالي (FBI) تفاصيل عن تكتيكات مجموعة برامج الفدية التي تسمى Zeppelin والتي كانت تستهدف المؤسسات الكبيرة في الولايات المتحدة وأوروبا بمطالب فدية ضخمة.
ظهرت Zeppelin في أواخر عام 2019 كعملية ابتزاز مزدوج لبرامج الفدية كخدمة وكان يُطلق عليها سابقًا اسم VegaLocker ransomware. اشتهرت باستهداف مؤسسات قطاع الرعاية الصحية في جميع أنحاء أوروبا وأمريكا الشمالية. وتقول الوكالات إن المجموعة استهدفت أيضًا مقاولي الدفاع والمؤسسات التعليمية والمصنعين وشركات التكنولوجيا ، لكنها تشير إلى أنها تستهدف “بشكل خاص” المنظمات المستهدفة في مجال الرعاية الصحية والصناعات الطبية.
وفقًا للاستشارة المشتركة ، قام ممثلو Zeppelin أيضًا بخرق شبكات الضحايا من خلال استغلال بروتوكول سطح المكتب البعيد (RDP) ، ونقاط ضعف جدار الحماية SonicWall ، والتصيد الاحتيالي. أفادت خدمة الصحة الوطنية في المملكة المتحدة (NHS) العام الماضي أن المجموعة كانت تستخدم وحدات ماكرو ضارة في مستندات Word لنشر البرامج الضارة ، ولكن قد يكون ذلك أقل احتمالًا في المستقبل بعد الحظر الافتراضي الأخير لـ Microsoft على وحدات ماكرو VBA غير الموثوق بها في Office.
من المعروف أن ممثلي زيبلين طالبوا بفدية تصل إلى عدة آلاف من الدولارات بما يزيد عن مليون دولار. تشير الاستشارات إلى بحث Core Security ، الذي يصف Zeppelin بأنه تهديد “منظم جيدًا”.
وجد مكتب التحقيقات الفيدرالي (FBI) أن المهاجمين يتوخون بالفعل عناية إضافية في وضع الأساس قبل وأثناء عمليات نشر برامج الفدية. على سبيل المثال ، يقضون ما يصل إلى أسبوعين في تعيين شبكة بحثًا عن التخزين السحابي والنسخ الاحتياطية للشبكة. ثم يتم نشر البرنامج الضار كملف DLL أو ملف تنفيذي مضمن في مُحمل PowerShell.
يضمن Zeppelin أن الضحايا لا يحتاجون إلى مفتاح واحد فقط ، بل ربما عدة مفاتيح لفك التشفير وغالبًا ما تنتهي الشبكة بآلات تم تمييزها بمعرفات متعددة. بمجرد التنفيذ ، يتم تمييز كل ملف برقم عشري عشوائي مكون من تسعة أرقام كملحق ملف يعمل كمعرف شخصي للضحية.
“لاحظ مكتب التحقيقات الفيدرالي حالات نفذ فيها ممثلو Zeppelin برامجهم الضارة عدة مرات داخل شبكة الضحية ، مما أدى إلى إنشاء معرفات مختلفة أو امتدادات ملفات ، لكل حالة هجوم ؛ وهذا يؤدي إلى احتياج الضحية إلى عدة مفاتيح فريدة لفك التشفير ،” الدول الاستشارية.
يأمل مكتب التحقيقات الفيدرالي في جمع المعلومات من ضحايا ممثلي زيبلين. يشجع الضحايا على الإبلاغ عن حوادث برامج الفدية لمكتب التحقيقات الفيدرالي الميداني المحلي ، أو CISA على us-cert.cisa.gov/report ، أو الخدمة السرية الأمريكية (USSS) في المكتب الميداني USSS.
“يبحث مكتب التحقيقات الفيدرالي عن أي معلومات يمكن مشاركتها ، لتضمين سجلات الحدود التي تعرض الاتصال من وإلى عناوين IP الأجنبية ، وعينة مذكرة فدية ، والاتصالات مع ممثلي Zeppelin ، ومعلومات محفظة Bitcoin ، وملفات فك التشفير ، و / أو عينة حميدة من ملف مشفر “.