El ransomware Zeppelin vuelve a la vida con versiones actualizadas

Los desarrolladores de ransomware Zeppelin han reanudado su actividad después de un período de relativo silencio que comenzó el otoño pasado y comenzó a anunciar nuevas versiones del malware.

Una variante reciente del malware estuvo disponible en un foro de piratas informáticos a fines del mes pasado, dando a los ciberdelincuentes en la industria del ransomware total independencia.

Nuevas versiones a la venta

El ransomware Zeppelin también se llama Buran y tiene su origen en la familia Vega / VegaLocker, un ransomware-as-a-service (RaaS) basado en Delphi observado en foros de hackers de habla rusa en 2019.

Sin embargo, los desarrolladores de la variedad de ransomware Zeppelin la venden en foros clandestinos, lo que permite a los compradores decidir cómo quieren utilizar el malware. Los desarrolladores también tienen algún tipo de asociación individual con algunos usuarios de su malware.

Esto contrasta con las operaciones clásicas de RaaS, donde los desarrolladores suelen buscar socios para entrar en una red de víctimas, robar datos y distribuir malware de cifrado de archivos. Las dos partes luego dividieron los rescates pagados, y los desarrolladores obtuvieron la pieza más pequeña (hasta un 30%).

Compañía Intel Advanced Threat Prevention and Loss Prevention Company (AdvIntel) descubrió que los desarrolladores del ransomware Zeppelin revivieron su negocio en marzo.

Anunciaron "una importante actualización de software" junto con una nueva ronda de ventas. En un informe de inteligencia, el jefe de investigación de AdvIntel Yelisey Boguslavskiy afirma que la versión actual de Zeppelin tiene un precio de $ 2,300 por construcción base.

Después de la actualización principal, los desarrolladores de Zeppelin lanzaron una nueva variante del malware el 27 de abril que realizó cambios menores en la funcionalidad pero aumentó la estabilidad del cifrado.

Beneficios para los clientes habituales

También aseguraron a los clientes habituales que el trabajo con el malware continúa y que los usuarios a largo plazo, denominados "suscriptores", se beneficiarán de un trato especial.

“Seguimos trabajando. Ofrecemos condiciones individuales y un enfoque justo para cada suscriptor, las condiciones son negociables. Escríbanos y podremos acordar un término de cooperación mutuamente beneficioso "- Zeppelin ransomware

Zeppelin es una de las pocas operaciones de ransomware en el mercado que no adopta el modelo RaaS puro y también una de las más populares del grupo, disfrutando de los consejos de miembros de alto perfil de la comunidad del cibercrimen.

Boguslavskiy explicó cómo trabajan los desarrolladores de Zeppelin diciendo que trabajan en "un ámbito de operaciones más amplio" con socios cercanos que han comprado el malware.

AdvIntel advierte que, a pesar de la falta de organización típica del modelo RaaS, Zeppelin podría dificultar la lucha contra la amenaza del ransomware, ya que el acceso al malware permite a otros desarrolladores robar funcionalidad para sus productos.

La compañía dice que los usuarios de Zeppelin son compradores individuales que no complican sus ataques y dependen de vectores de ataque temprano comunes como RDP, vulnerabilidades de VPN y phishing.

Además, los operadores de Zeppelin no tienen un sitio de escape, como la mayoría de los grupos RaaS, y se enfocan en el cifrado de datos, no en el robo.

AdvIntel recomienda monitorear y controlar los escritorios remotos externos y las conexiones VPN como una defensa eficiente contra la amenaza del ransomware Zeppelin.

Incluso sin la complejidad de una operación RaaS, el ransomware Zeppelin es preocupante ya que los ataques con esta cepa pueden ser difíciles de detectar, especialmente cuando se utilizan nuevos descargadores, ya que Juniper Threat Labs descubierto el pasado agosto.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir