Il codice sorgente di Zeppelin Ransomware è ora un’oggetto di mercato nei forum clandestini. Scopriamo di più su questa minaccia.
La cibercriminalità ha raggiunto un nuovo livello di mercato, con il codice sorgente e una versione crackata del costruttore del ransomware Zeppelin offerti per 500 dollari su un forum di hacking. La transazione, limitata a un unico acquirente, apre le porte alla creazione di nuove varianti del malware e sottolinea la necessità di una vigilanza sempre più stretta nel campo della cyber security.
Il malware Zeppelin, una variante del Vega RaaS scoperta per la prima volta nel novembre 2019 dai ricercatori di BlackBerry Cylance, si è dimostrato un attore malevolo significativo, prendendo di mira settori quali tecnologia, sanità e difesa, oltre a istituzioni educative e aziende in Europa, Stati Uniti e Canada. Distribuito inizialmente mediante attacchi di tipo “watering hole” con payload PowerShell su siti come Pastebin, Zeppelin ha dimostrato la sua capacità di sfuggire alla rilevazione e di causare danni significativi.
Gli attori di questa minaccia, prima di procedere con il rilascio del ransomware, impiegano settimane per cartografare le reti delle vittime e localizzare dati importanti. Capace di essere dispiegato sia come file .dll che .exe, oppure tramite un caricatore PowerShell, Zeppelin lascia un segno indelebile con un numero esadecimale di nove cifre aggiunto come estensione a ogni file crittografato.
Le richieste di riscatto fatte in Bitcoin variano da migliaia a oltre un milione di dollari, con gli attaccanti che non esitano a utilizzare un modello di estorsione doppia, minacciando la divulgazione dei file rubati nel caso in cui le vittime si rifiutino di pagare.
Una caratteristica distintiva del ransomware Zeppelin è stata la sua capacità di eseguire il malware più volte all’interno di una stessa rete di vittime, generando ID unici o estensioni di file differenti per ogni attacco; ciò ha reso necessario l’utilizzo di diverse chiavi di decrittazione uniche per le vittime colpite.
Fortunatamente, nel novembre 2022, l’applicazione della legge e aziende private di cybersecurity hanno individuato delle vulnerabilità nel schema di cifratura del malware, riuscendo così a rilasciare un decryptor per i file criptati da versioni risalenti al 2020.
Questo episodio mostra con chiarezza l’importanza di essere sempre aggiornati e preparati nel contrastare le minacce che emergono dal panorama digitale, il continuo aggiornamento dei sistemi di difesa e la consapevolezza delle metodologie usate dai cybercriminali.