Uma nova variante da fam\u00edlia de ransomware Vega, apelidada de Zeppelin, foi nativa na Europa, nos Estados Unidos e no Canad\u00e1.<\/p>\n
<\/p>\n
No entanto, se voc\u00ea reside na R\u00fassia ou em alguns outros pa\u00edses da ex-URSS, como Ucr\u00e2nia, Bielorr\u00fassia e Cazaquist\u00e3o, respira aliviado, pois o ransomware encerra suas opera\u00e7\u00f5es se estiver em m\u00e1quinas localizadas nessas regi\u00f5es.<\/p>\n
<\/p>\n
\u00c9 not\u00e1vel e interessante, porque todas as variantes anteriores da fam\u00edlia Vega, tamb\u00e9m conhecidas como VegaLocker, tinham como alvo principal os usu\u00e1rios de l\u00edngua russa, o que indica que o Zeppelin n\u00e3o \u00e9 o trabalho do mesmo grupo de hackers por tr\u00e1s dos ataques anteriores.<\/p>\n
<\/p>\n
Como o Vega ransomware e suas variantes anteriores foram oferecidos como um servi\u00e7o em f\u00f3runs clandestinos, os pesquisadores do BlackBerry Cylance acreditam que o Zeppelin “acabou nas m\u00e3os de diferentes atores de amea\u00e7as” ou “redesenhado a partir de fontes compradas\/roubadas\/vazadas”.<\/p>\n
<\/p>\n
Segundo um relat\u00f3rio que o BlackBerry Cylance compartilhou com o The Hacker News, o Zeppelin \u00e9 um ransomware altamente configur\u00e1vel baseado em Delphi que pode ser facilmente personalizado para ativar ou desativar v\u00e1rios recursos, dependendo das v\u00edtimas ou dos requisitos dos invasores.<\/p>\n
<\/p>\n
O Zeppelin pode ser implantado como um EXE, DLL ou agrupado em um carregador do PowerShell e inclui os seguintes recursos:<\/p>\n
<\/p>\n
IP Logger – para rastrear os endere\u00e7os IP e a localiza\u00e7\u00e3o das v\u00edtimas<\/p>\n
Startup – para obter persist\u00eancia.<\/p>\n
Delete backups – para interromper certos servi\u00e7os, desativar a recupera\u00e7\u00e3o de arquivos, excluir backups e c\u00f3pias de sombra, etc.<\/p>\n
Task-killer – mata processos especificados pelo invasor.<\/p>\n
Auto-unlock – para desbloquear arquivos que parecem bloqueados durante a criptografia.<\/p>\n
Melt – para injetar thread de auto-exclus\u00e3o no notepad.exe.<\/p>\n
UAC prompt – tente executar o ransomware com privil\u00e9gios elevados.<\/p>\n
<\/p>\n
Com base nas configura\u00e7\u00f5es definidas pelos atacantes da interface do usu\u00e1rio do Zeppelin builder durante a gera\u00e7\u00e3o do bin\u00e1rio ransomware, o malware enumera arquivos em todas as unidades e compartilhamentos de rede e os criptografa com o mesmo algoritmo usado pelas outras variantes do Vega.<\/p>\n
<\/p>\n
“[Zeppelin] emprega uma combina\u00e7\u00e3o padr\u00e3o de criptografia de arquivo sim\u00e9trica com chaves geradas aleatoriamente para cada arquivo (AES-256 no modo CBC) e criptografia assim\u00e9trica usada para proteger a chave da sess\u00e3o (usando uma implementa\u00e7\u00e3o RSA personalizada, possivelmente desenvolvida internamente) “, explicam os pesquisadores.<\/p>\n
<\/p>\n
“Curiosamente, algumas das amostras criptografam apenas os primeiros 0x1000 bytes (4KB), em vez de 0x10000 (65KB). Pode ser um bug n\u00e3o intencional ou uma escolha consciente para acelerar o processo de criptografia, tornando a maioria dos arquivos inutiliz\u00e1veis.”<\/p>\n
<\/p>\n
Al\u00e9m dos recursos a serem ativados e dos arquivos a serem criptografados, o construtor Zeppelin tamb\u00e9m permite que os invasores configurem o conte\u00fado do arquivo de texto da nota de resgate, que \u00e9 descartado no sistema e exibido \u00e0 v\u00edtima ap\u00f3s a criptografia dos arquivos.<\/p>\n
<\/p>\n
“Os pesquisadores do BlackBerry Cylance descobriram v\u00e1rias vers\u00f5es diferentes, desde mensagens curtas e gen\u00e9ricas at\u00e9 notas de resgate mais elaboradas e personalizadas para organiza\u00e7\u00f5es individuais”, afirmam os pesquisadores.<\/p>\n
<\/p>\n
“Todas as mensagens instruem a v\u00edtima a entrar em contato com o atacante por meio de um endere\u00e7o de e-mail fornecido e citar seu n\u00famero de identifica\u00e7\u00e3o pessoal”.<\/p>\n
<\/p>\n
Para evitar a detec\u00e7\u00e3o, o Zeppelin ransomware conta com v\u00e1rias camadas de ofusca\u00e7\u00e3o, incluindo o uso de chaves pseudo-aleat\u00f3rias, sequ\u00eancia criptografada, c\u00f3digo de tamanhos variados, al\u00e9m de atrasos na execu\u00e7\u00e3o para ultrapassar sandboxes e enganar mecanismos heur\u00edsticos.<\/p>\n
<\/p>\n
O Zeppelin foi descoberto pela primeira vez h\u00e1 quase um m\u00eas, quando foi distribu\u00eddo atrav\u00e9s de sites water-holed com suas cargas do PowerShell hospedadas no site da Pastebin.<\/p>\n
<\/p>\n
Os pesquisadores acreditam que pelo menos alguns dos ataques do Zeppelin foram “conduzidos por meio de MSSPs, que teriam semelhan\u00e7as com outra campanha recente e altamente direcionada que usava ransomware chamado Sodinokibi”, tamb\u00e9m conhecido como Sodin ou REvil.<\/p>\n
<\/p>\n
Os pesquisadores tamb\u00e9m compartilharam indicadores de compromisso (IoC) em seu blog. No momento da reda\u00e7\u00e3o deste artigo, quase 30% das solu\u00e7\u00f5es antiv\u00edrus n\u00e3o s\u00e3o capazes de detectar essa amea\u00e7a espec\u00edfica ao ransomware.<\/p>\n
<\/p>\n