Usuarios de alto perfil son atacados por el ransomware Zeppelin

  • Endpoint

ransomware

Los actores detrás de esta amenaza atacan selectivamente a empresas de tecnología y de atención médica de Estados Unidos y Europa. Una vez comprobada que la máquina infectada no se encuentra en un país de la antigua Unión Soviética, Zeppelin cifra los archivos y solicita un rescate.

Investigadores de Blackberry Cylance han descubierto una variante de ransomware bautizada como Zeppelin dirigido a usuarios de alto perfil con sede en Estados Unidos y Europa. Los actores de amenazas, muy posiblemente de origen ruso, usan el malware para atacar selectivamente a empresas de tecnología y atención médica de ambas regiones.

En su análisis, los investigadores observaron que todas las muestras de Zeppelin dejan de funcionar si detectan que la máquina infectada se encuentra en Rusia u otro país de la antigua Unión Soviética. De lo contrario, continua con sus rutinas de cifrado y luego deja una nota de rescate en la máquina infectada. Algunas de esas notas usaban mensajes genéricos, mientras que otras eran más específicas. En general, las muestras instan a las víctimas a contactar una dirección de correo electrónico controlada por el atacante y proporcionar su número de identificación de infección único.

La firma de seguridad descubrió que el ransomware Zeppelin estaba alojado en sitios de watering hole y Pastebin en el momento de su análisis. Además, descubrió que la amenaza era desplegable como un EXE, DLL o un paquete envuelto en un cargador de PowerShell.

Los investigadores de Blackberry Cylance determinaron que Zeppelin era la última variante de una conocida familia de ransomware como servicio (RaaS) llamada Vega o VegaLocker, descubierta en abril de 2019, la cual había sido responsable de encriptar los equipos de los usuarios como parte de una campaña de publicidad maliciosa que involucraba a la red de publicidad directa rusa Yandex.

TAGS Ransomware

Suscríbete a nuestro Newsletter

* Todos los campos son requeridos