ظهور مجدد باج‌افزار Zeppelin این بار با ترفندهای جدید

30 مرداد 1401 ظهور مجدد باج‌افزار Zeppelin این بار با ترفندهای جدید

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ باج‌افزار Zeppelin در آخرین کمپین‌های خود در برابر صنایع مختلف عمودی[1] -مشخصاً مراقبت‌های بهداشتی- و نیز زیرساخت‌های حیاتی سازمان‌ها با ترفندهای جدید دستکاری و رمزگذاری بازگشته است. به نقل از CISA[2]عاملین تهدید که از این باج‌افزار بعنوان RaaS استفاده می‌کنند این بار دست به اکسپلویت کردنِ RDD[3] و نیز بهره‌جویی از آسیب‌پذیری‌های فایروال SonicWall زده‌اند –در کنار کمپین‌های فیشینگی که قبلاً استفاده می‌شد- تا بتوانند شبکه‌های هدف را نقض کنند. همچنین به نظر می‌رسد که Zeppelin از تاکتیک‌های چندگانه‌ و جدید رمزگذاری برخوردار است که بدافزار را بیش از یک بار در شبکه قربانی اجرا و آی‌دی‌ها و افزونه‌های فایل مختلف را برای موارد متفاوت حمله ایجاد می‌کند. این باعث می‌شود قربانی به چندین کلید رمزگشایی منحصر به فرد نیاز پیدا کند. CISA چندین سویه از Zeppelin را از طریق بررسی‌های مختلف اف‌بی‌آی شناسایی کرده است (برخی حملات بسیار جدیدند و آخرینِ آن 21 ژوئن اتفاق افتاده است). در ادامه با ما همراه شوید تا این بدافزار را از حیث قابلیت‌های جدیدش مورد بررسی قرار دهیم.

تارگت‌ها و تاکتیک‌ها

Zeppelin گونه‌ای از خانواده باج‌افزار مبتنی بر Delphi (که یک RaaS است) می‌باشد که ابتدا با نام‌های  Vega یا VegaLocker شناخته می‌شد. این گروه باج‌افزاری اوایل سال 2019 سر و کله‌اش پیدا شد و به نقل از BlackBerry Cylance در تبلیغات  Yandex.Direct استفاده شد. کمپین‌های Zeppelin بر خلاف سویه قبلی‌اش به مراتب‌ هدف‌دارتر است و در حقیقت عاملین تهدید این بار شرکت‌های مراقبت بهداشتی و فناوری در اروپا و آمریکا را هدف گرفته‌اند. آخرین کمپین‌های این سویه بیش از هر مورد دیگری کمر به حمله به سازمان‌های دارویی سلامتی بسته‌اند. همانطور که بالاتر اشاره کردیم اما شرکت‌های فناوری نیز هنوز جزو لیست قربانیان Zeppelin هستند. عاملین تهدید همچنین دارند از RaaS در حملاتی علیه کنتراکتورهای دفاعی، مؤسسات آموزشی و تولیدکنندگان استفاده می‌کنند. آن‌ها به محض نفوذ موفقیت‌آمیز به شبکه یک یا دو هفته را صرف نقشه‌برداری یا محاسبه نحوه شناسایی محفظه‌های داده از جمله ذخیره‌گاه کلود و بک‌آپ شبکه می‌کنند. مهاجمین می‌توانند باج‌افزار Zeppelin را به عنوان یک  .dll یا فایل .exe به کار گیرند یا در آن لودر پاورشل بگذارند. همچنین ظاهراً Zeppelin از تاکتیک رایج بین باج‌افزارها یعنی اخاذیِ حداکثری در جدیدترین کمپین‌های خود استفاده می‌کند. طی این اقدام، پیش از رمزگذاری برای نشر احتمالی در فضای آنلاین (در صورتیکه قربانی از باج دادن خوددای کند) فایل‌های حاوی داده‌های حساس از تارگت استخراج می‌شود.

رمزگذاری چندگانه

وقتی Zeppelin روی شبکه اجرا می‌شود هر فایل رمزگذاری‌شده با یک عدد هگزا اعشاری نه رقمی (انتخاب‌شده به طور رندوم) بعنوان یک افزونه فایل اضافه می‌شود؛ برای مثال چیزی مانند  file.txt.txt.C59-E0C-929. عاملین تهدید همچنین فایل یادداشتی نیز می‌گذارند شامل یادداشت باج روی سیستم‌های دستکاری‌شده که معمولاً روی سیستم دسکتاپ کاربر قرار می‌گیرد. عاملین  Zeppelin معمولاً باج را به بیت‌کوین می‌خواهند (چیزی در محدوده قیمتی چند هزار دلار تا بیش از یک میلیون دلار). جدیدترین کمپین‌ها همچنین نشان می‌دهند عاملین تهدید از تاکتیک جدیدی مربوط به Zeppelin استفاده می‌کنند تا این بدافزار را چندین بار ر شبکه قربانی اجرا کنند و این یعنی قربانی به منظور آنلاک کردن فایل‌ها نه به یک کلید رمزگشایی که به چندین کلیدرمزگشایی نیاز دارد. با این وجود، چنین چیزی می‌تواند جنبه‌ی منحصر به فرد یک حمله باج‌افزاری باشد و شاید هم نباشد! روجر گرایمز مبشر دفاعی در بخش داده از شرکت امنیتی KnowBe4 اظهار دارد بین عاملین تهدید رایج است که چندین فایل مختلف را جداگانه رمزگذاری کرده و برای آنلاک کردن سیستم‌ها از یک کلیدِ مادر استفاده می‌کنند. به گفته‌ی او، «بیشتر برنامه‌های باج‌افزاریِ امروز از یک کلید مادر برخوردارند که کلی کلید دیگر را رمزگذاری می‌کند». وقتی قربانی برای اثبات اینکه مهاجم باج‌افزار دارای کلید رمزگشایی است (که از آن طریق در صورت پرداخت باج بشود با موفقیت فایل‌ها را آنلایک کرد) پرس و جو می‌کند آنوقت این گروه باج‌افزاری از یک کلید واحد برای آنلایک مجموعه‌ای واحد از فایل‌ها استفاده می‌کند تا حرف خود را ثابت کند.

 

[1]Vertical market or industry، به طورکلی بازارعمودی بازاری است که بخش مشخصی ازیک صنعت یابیشه ی کاری یاطیف مشخصی ازمشتریان راهدف گرفته است. برای مثال ارائه سرویس یامحصولی درحوزه ی صنایع نفت یاگازمیتواندیکی ازمصادیق ورودعمودی به بازارباشد.مثلاموتورنودل یک موتورجستجوی عمودی است چراکه صرفابه شماکمک می کندجستجوهایی بهینه درحوزه ی صنایع وخدمات آموزشی انجام دهید.

[2]آژانس امنیتی زیرساخت و امنیت سایبری

[3]پروتکل ریموت دسکتاپ

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security

    ایمن بمانید- هرآنچه در محل کار و خانه انجام می‌دهید هرآنچه در محیط آنلاین انجام می‌دهید- روی دستگاه‌های پی‌سی، مک و اندروید- بسته‌ی امنیتی پیشرفته و تک‌لایسنسیِ ما به شما کمک ...

    5,825,650 ریال11,651,300 ریال
    خرید
  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    1,940,650 ریال3,881,300 ریال
    خرید
  • Kaspersky Total Security

    قوی‌ترین و پرفروش‌ترین مجموعه‌‌ امنیتی ما امنیت خانواده چنددستگاهه مجهز به آنتی‌ویروس، ضدباج‌افزار، امنیت وبکم، مدیر کلمه‌عبور و 87 فناوری دیگر، همگی با یک لایسنس. ...

    6,214,520 ریال15,536,300 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    5,823,800 ریال
    خرید
  • Kaspersky Safe Kids

    شما می توانید بر ارتباطات اینترنتی کودکان از قبیل فعالیتهای عمومی در فیسبوک، کنترل تماسها و پیامها از طریق دستگاههای اندرویدی نظارت داشته باشید. کمک شما به کودکان بهترین راهنمایی برای آنها ...

    5,823,800 ریال
    خرید
  • Kaspersky Antivirus

    بهترین آنتی‌ویروس ما برای ویندوز پی‌سی شما جدیدترین ویروس‌ها، باج افزارها، جاسوس‌افزارها، رمزگرها و غیره را بلاک کرده و کمک می‌کند جلوی بدافزار ماینینگِ رمزارز -که به ...

    3,883,150 ریال7,766,300 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    4,195,800 ریال13,986,000 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد