Il CSIRT-Italia ha individuato una nuova versione del Ransomware-as-a-Service (RaaS) noto come Zeppelin (alias Buran), il malware identificato per la prima volta a novembre 2019 e utilizzato per colpire organizzazioni di tutto il mondo.

I metodi di distribuzione variano a seconda dell’operatore, rimanendo perlopiù nell’ambito dei più comuni: mail di phishing con allegato un documento di Office armato di macro malevola, sfruttamento di vulnerabilità di servizi di desktop remoto (RDP) e VPN.

Al momento dell’esecuzione, il ransomware:

  • determina la localizzazione del sistema impattato, attivandosi nel caso in cui la lingua rilevata sia fra quelle target;
  • contatta il server di Comando e Controllo, rimanendo in attesa del comando di avvio della cifratura del sistema;
  • enumera i file su tutte le unità e le condivisioni di rete;
  • avvia il processo di crittografia sul sistema impattato, aggiungendo ai file l’estensione “.zeppelin”.

Infine, Zeppelin deposita una nota di riscatto in formato testuale sul desktop dell’utente vittima.

Il CSIRT-Italia consiglia agli utenti e alle organizzazioni di attivare le misure di mitigazione descritte nel dettaglio nel documento “Ransomware: evoluzione e misure di mitigazione” disponibile alla seguente pagina, nonché di valutare l’implementazione sui propri apparati di sicurezza degli Indicatori di Compromissione (IoC) forniti in allegato.

 

https://csirt.gov.it/contenuti/individuata-una-nuova-versione-del-ransomware-zeppelin-al02-210525-csirt-ita

Twitter
Visit Us
LinkedIn
Share
YOUTUBE