Onderzoekers van BlackBerry Cylance hebben een nieuwe vorm van Vega-ransomware gevonden die voornamelijk lijkt te worden ingezet tegen bedrijven in de zorg- en techsectoren. Russische sites bieden ‘Zeppelin’ momenteel als ‘Attack as a Service’ aan.
Cylance vermoedt dat de ransomware afkomstig is uit Rusland. De software checkt namelijk eerst of het op een Russische, Wit-Russische, Kazachse of Oekraïense machine wordt gedraaid. Bij een ‘ja’ sluit de ransomware zichzelf af en vertrekt uit het systeem.
Breed platform voor ransomware
Zeppelin wordt gepresenteerd als een breed ransomware-platform dat multi-inzetbaar is. Criminelen krijgen een keuze om de ransomware via een .exe, een .dll of een PowerShell-loader te injecteren in het systeem van het slachtoffer. Vervolgens versleutelt Zeppelin de inhoud van de getroffen machine, op een manier die lijkt op voorganger Buran, een andere Vega-ransomware.
De ‘startup’-functie van de ransomware plaatst een bestand met een willekeurige naam in de directory %APPDATA%\Roaming\Microsoft\Windows. De naam wordt vervolgens in het registry geplaatst, onder HKCU\Software\Zeppelin.
Ten slotte probeert de ransomware zichzelf dan opnieuw op te starten vanuit de nieuwe directory, het liefst met hogere privileges.
Losgeldbrieven
Ook vond Cylance een IPLogger, een backup-delete-functie, een task-killer en een unlockmogelijkheid in het programma. Met een ‘.melt’-commando kan een zelfvernietigingsthread in Notepad.exe worden geplaatst, waarna de ransomware uit het systeem vertrekt.
De aanvallers kunnen via een speciale IPLogger-website op een later moment controleren wie ze getroffen hebben.
Cylance trof een gevarieerde collectie losgeldbrieven aan. Het gaat om zowel standaardbrieven als brieven gericht aan bepaalde organisaties. De ransomware lijkt sinds 6 november in gebruik.
De nieuwe ransomware is een voorbeeld van hoe “ransomware blijft evolueren”, concludeert Cylance. Het bedrijf wijst op de “precisie-aanvallen” die met Zeppelin worden uitgevoerd.
24 uur geleden
