Le ransomware Zeppelin fait des dégâts important

Zeppelin est une nouvelle variante de la famille de ransomware Vega. Ce nouveau ransomware cible les compagnies de technologies et de santé en Europe, aux Etats-Unis et au Canada.

Cependant, si vous résidez en Russie ou dans un pays de l’ex-URSS comme l’Ukraine, la Bielorussie ou le Kazakhstan, vous n’êtes pas concerné car le ransomware stoppe son activité si il se trouve sur une machine dans l’un de ces pays.

C’est intéressant car les précédentes versions de la famille Vega, aussi connu sous le nom de VegaLocker, ciblaient les utilisateurs se trouvant dans les pays de l’ex-URSS. Cela pourrait signifier que Zeppelin n’a pas été créé par le même groupe qui était responsables des précédentes attaques.

Le ransomware Vega et ses précédentes variantes étaient offerts en tant que service sur les forums du marché noir. Les chercheurs de BlackBerry Cylance pensent que Zeppelin a terminé entre les mains de différents hackers ou a été re-développé.

Selon un rapport que BlackBerry Cylance a partagé, Zeppelin est programmé en Delphi et peut être facilement customisé pour activer ou désactiver certaines fonctionnalités, en fonction des victimes ou des besoins des hackers.

Zeppelin peut être déployé en tant que EXE, DLL, ou intégré dans un loader PowerShell et contient les fonctionnalités suivantes:

  • IP Logger – pour traquer les adresses IP et la localisation des victimes
  • Startup – pour obtenir la persistance
  • Delete Backups – pour stopper certains services, désactiver la récupération de fichiers, supprimer les sauvegardes et les Shadow Copies, etc…
  • Task-Killer – tuer les processus spécifiés
  • Auto-unlock – pour débloquer les fichiers qui semblent être bloqué lors du chiffrement
  • Melt – pour injecter un fil de suppression automatique à notepad.exe
  • UAC prompt – essayer d’exécuter le ransomware avec des permissions élevées

En se basant sur les configurations mises en place par les hackers dans l’interface utilisateur lors de la génération de la version binaire du ransomware, le malware énumère les fichiers sur tout les disques et les dossiers de partages réseaux et les chiffre avec le même algorithme utilisé par les autres variantes de Vega.

zeppelin

“Zeppelin utilise une combinaison standard de chiffrement symétrique de fichiers avec des clés générés au hasard pour chaque fichier (AES-256 en mode CBC). Il utilise aussi un chiffrement asymétrique pour protéger la clé de session (en utilisant une implémentation spéciale de RSA),” ont expliqué les chercheurs.

“Ce qui est intéressant c’est que certains échantillons chiffreront seulement les premiers 0x100 octets (4 Ko), au lieu de 0x10000 (65 Ko). Cela pourrait être un bug ou un choix qui accélère le processus de chiffrement en rendant la plupart des fichiers inutilisables.”

Il est aussi possible de configurer le contenu du fichier texte de la demande de rançon. Cette dernière est affichée sur l’écran de la victime après que les fichiers soient chiffrés.

“Les chercheurs de BlackBerry Cylance ont découvert plusieurs versions différentes allant de messages courts et génériques à des demandes de rançon plus élaborées et adaptées aux organisations,” ont déclaré les chercheurs.

Pour échapper à la détection, le ransomware Zeppelin utilise plusieurs couches d’offuscation, y compris l’utilisation de clés pseudo-aléatoires, de chaines de caractère chiffrées, de code de tailles variées, ainsi que des délais d’exécution pour distancer les sandboxes et tromper les mécanismes heuristiques.

Zeppelin est très récent

Zeppelin a été découvert pour la première fois il y’a un mois quand il a été distribué par le biais de sites web vulnérables avec ses payloads PowerShell hébergés sur le site Pastebin.

Les chercheurs pensent qu’au moins quelques attaques Zeppelin ont été lancé via des MSSP(Managed Security Service Provider – Fournisseur de Service de Sécurité Géré). Ce dernier partagerait des similarités avec une autre campagne ciblée qui a utilisé un ransomware nommé Sodinokibi, aussi connu sous le nom de Sodin ou REvil.

Les chercheurs ont aussi partagé des indicateurs de compromis (IoC) dans leur rapport.

Si cet article vous a plu, jetez un œil à notre article précédent.