Le ransomware Zeppelin est de retour avec des versions mises à jour

0

Les développeurs du ransomware Zeppelin ont repris leur activité après une période de silence relatif qui a commencé l’automne dernier et a commencé à faire la publicité de nouvelles versions du malware.

Une variante récente du malware est devenue disponible sur un forum de hackers à la fin du mois dernier, offrant aux cybercriminels du secteur des ransomwares une indépendance totale.

Nouvelles versions du ransomware Zeppelin à vendre

Le ransomware Zeppelin est également appelé Buran et a des origines dans la famille Vega/VegaLocker, un ransomware-as-a-service (RaaS) basé sur Delphi observé sur les forums de hackers russophones en 2019.

Les développeurs de la souche de ransomware, cependant, la vendent sur des forums clandestins, laissant les acheteurs décider comment ils veulent utiliser le malware. Les développeurs ont également une sorte de partenariat individuel avec certains utilisateurs de leurs logiciels malveillants.

Cela contraste avec les opérations de RaaS classiques, où les développeurs recherchent généralement des partenaires pour pénétrer dans un réseau victime, pour voler des données et déployer le malware de cryptage de fichiers. Les deux parties ont ensuite divisé les rançons payées, les développeurs obtenant la plus petite partie (jusqu’à 30%).

La société de prévention des menaces et d’évitement des pertes Advanced Intel (AdvIntel) a constaté que les développeurs du ransomware Zeppelin avaient revigoré leur activité en mars.

Ils ont annoncé «une mise à jour majeure du logiciel» ainsi qu’un nouveau cycle de ventes. Dans un rapport de renseignement, le responsable de la recherche d’AdvIntel, Yelisey Boguslavskiy, déclare que la version actuelle de Zeppelin coûte 2300 $ par build de noyau.

Suite à la mise à jour majeure du ransomware, les développeurs de Zeppelin ont publié une nouvelle variante du malware le 27 avril qui apportait peu de changements en termes de fonctionnalités mais augmentait la stabilité du cryptage.

Avantages pour les clients réguliers

Ils ont également assuré aux clients réguliers que le travail sur le malware se poursuit et que les utilisateurs à long terme, appelés «abonnés», bénéficieront d’un traitement spécial.

«Nous continuons à travailler. Nous proposons des conditions individuelles et une approche loyale pour chaque abonné, les conditions sont négociables. Écrivez-nous, et nous pourrons nous mettre d’accord sur un terme de coopération mutuellement avantageux »

– Zeppelin

Zeppelin est l’une des rares opérations de ransomware sur le marché qui n’adopte pas le modèle pur RaaS et également l’une des plus populaires du groupe, bénéficiant des recommandations de membres de haut niveau de la communauté de la cybercriminalité.

Boguslavskiy a expliqué comment les développeurs de Zeppelin opèrent en disant qu’ils travaillent sur « un périmètre d’opérations plus étendu » avec des partenaires proches qui ont acheté le malware.

AdvIntel avertit que malgré le manque d’organisation typique du modèle RaaS, Zeppelin pourrait rendre plus difficile la lutte contre la menace de ransomware, car l’accès au malware permet à d’autres développeurs de voler des fonctionnalités pour leurs produits.

La société affirme que les utilisateurs de Zeppelin sont des acheteurs individuels qui ne compliquent pas leurs attaques et s’appuient sur des vecteurs d’attaque initiaux courants tels que RDP, les vulnérabilités VPN et le phishing.

De plus, les opérateurs de Zeppelin n’ont pas de site de fuite de données, comme la plupart des groupes RaaS, et ils se concentrent sur le chiffrement des données, pas sur leur vol.

AdvIntel recommande de surveiller et d’auditer les connexions externes des postes de travail distants et VPN comme une défense efficace contre la menace du ransomware Zeppelin.

Même sans la complexité d’une opération RaaS, le ransomware Zeppelin est préoccupant car les attaques avec cette souche peuvent être difficiles à détecter, en particulier lorsque de nouveaux téléchargeurs sont utilisés, comme Juniper Threat Labs l’a découvert en Août dernier.

Laisser un commentaire