Een ransomware-strain van de Zeppelin-groep kan data stelen en die vervolgens versleutelen. Bij veel vormen van ransomware wordt data alleen versleuteld, maar niet eerst nog gestolen.
Onder meer REvil, Maze, en Snatch zijn voorbeelden van ransomware die de versleutelde data eerst steelt. Zeppelin kan dit dus nu ook. Cybersecurity-firma Morphisec heeft de ontdekking gedaan toen het bedrijf incident response-diensten verleende aan een bedrijf in de vastgoedsector.
“In dit geval zien we een threat actor die soortgelijke technieken gebruikt als bij het Wipro-incident – het richten op servers, het stoppen van alle database-processen, het kopiëren van de back-up, en dan het inzetten van de ransomware, en dit alles met een legitieme IT-tool op afstand,” zegt Michael Gorelik, CTO bij Morphisec.
Er zijn ook links gevonden naar een server waar de gestolen data werd opgeslagen. Volgens Morphisec wijst dit op significante datalekken voor sommige bedrijven. Het bedrijf heeft contact opgenomen met de autoriteiten over de ontdekking.
Data-diefstal vóór versleuteling
Morphisecs rapport over de ontdekking is te vinden op de blog van het bedrijf. Het rapport en de bevindingen komen volgens ZDNet overeen met een rapport van Blackberry Cylance van vorige week, waarin de Zeppelin-ransomware werd gedocumenteerd, maar niet de data-diefstal.
Dit komt omdat deze plaatsvindt vóór de uitvoering van de ransomware-binary die de gegevens versleutelt. De tactiek wordt “big game hunting ransomware” genoemd. Deze term verwijst naar ransomware-groepen die zich niet meer richten op consumenten, maar nu achter grote ondernemingen aan gaan.
De groepen breken in bij de infrastructuur van een bedrijf, proberen vervolgens via het netwerk toegang te krijgen tot zoveel mogelijk computers, en draaien dan hun ransomware om gegevens te versleutelen en enorme hoeveelheden losgeld te eisen.