Ransomware Zeppelin

13 August, 2022

Compartir

Ransomware Zeppelin

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA, por sus siglas en inglés) ha lanzado una alerta sobre el ransomware Zeppelin para difundir los indicadores de compromiso (IOC) y tácticas, técnicas y procedimientos (TTP) a los defensores de la red para ayudar a las organizaciones a protegerse contra el ransomware.

Alentamos a las organizaciones a implementar las recomendaciones de mitigación para reducir la probabilidad y el impacto de los incidentes de ransomware. 

El ransomware Zeppelin es un derivado de la familia de malware Vega basada en Delphi y funciona como Ransomware-as-a-service (RaaS). Desde 2019 hasta al menos junio de 2022, los actores han utilizado este malware para apuntar a una amplia gama de empresas y organizaciones de infraestructura crítica, tales como contratistas de defensa, instituciones educativas, fabricantes, empresas de tecnología y, especialmente, organizaciones en las industrias de salud y atención médica. Se sabe que los actores de Zeppelin solicitan pagos de rescate en Bitcoin, con cantidades iniciales que van desde varios miles de dólares hasta más de un millón de dólares. 

Los usuarios de Zeppelin obtienen acceso a las redes de las víctimas a través de la explotación de vulnerabilidades en sistemas orientados a Internet para obtener acceso y campañas de phishing. Antes de implementar el ransomware Zeppelin, los atacantes pasan de una a dos semanas mapeando o enumerando la red atacada para identificar enclaves de datos, incluido el almacenamiento en la nube y las copias de seguridad de la red. Los ciberdelincuentes pueden implementar el ransomware Zeppelin como un archivo .dll o .exe o contenido dentro de un cargador de PowerShell. 

Antes del cifrado, los actores de Zeppelin extraen archivos de datos confidenciales de la empresa para venderlos o publicarlos en caso de que la víctima se niegue a pagar el rescate. 

Una vez que Zeppelin ha ingresado a la infraestructura, se instala, se propaga por todo el dispositivo infectado y comienza el cifrado de archivos. Una vez completado, aparece una nota en el Bloc de notas que informa a las víctimas que han sido atacadas y que se debe pagar un rescate por la devolución de sus datos. A menudo hay una oferta de descifrado gratuito de un solo archivo que se ofrece como prueba de que el descifrado posiblemente se utilice como señuelo para fomentar el pago. 

Mitigaciones

  • Implementar un plan de recuperación para mantener y conservar múltiples copias de datos sensibles y servidores en una ubicación segura, segmentada y separada físicamente (es decir, disco duro, dispositivo de almacenamiento, la nube).
  • Requerir que todas las cuentas con inicios de sesión con contraseña cumplan con estándares de seguridad como usar contraseñas con al menos 8 caracteres, evitar la reutilización de contraseñas, implementar múltiples bloqueos de cuentas por intento fallido de inicio de sesión, deshabilitar las "sugerencias" de contraseña, entre otros.
  • Requerir credenciales de administrador para instalar el software.
  • Requerir autenticación multifactor para todos los servicios en la medida de lo posible, particularmente para correo web, redes privadas virtuales y cuentas que acceden a sistemas críticos.
  • Mantener todos los sistemas operativos, software y firmware actualizados. 
  • Segmentar las redes para evitar la propagación de ransomware. 
  • Identificar, detectar e investigar la actividad anormal y el posible cruce del ransomware indicado con una herramienta de monitoreo de redes
  • Instalar, actualizar periódicamente y habilitar la detección en tiempo real del software antivirus en todos los hosts.
  • Revisar los controladores de dominio, los servidores, las estaciones de trabajo y los directorios activos en busca de cuentas nuevas o no reconocidas.
  • Auditar cuentas de usuario con privilegios administrativos y configurar controles de acceso según el principio de mínimo privilegio.
  • Deshabilitar los puertos no utilizados.
  • Implementar el acceso basado en el tiempo para las cuentas establecidas en el nivel de administrador y superior. 
  • Deshabilitar las actividades y los permisos de línea de comandos y secuencias de comandos. 
  • Mantener copias de seguridad fuera de línea de los datos y realizar copias de seguridad y restauración con regularidad. 
  • Asegurarse de que todos los datos de respaldo estén encriptados, sean inmutables (es decir, no se puedan modificar ni eliminar) y cubran toda la infraestructura de datos de la organización. 


Para más información sobre acciones de mitigación y prevención, contacte con nuestros expertos. 


Fuente: https://www.cisa.gov/uscert/ncas/alerts/aa22-223a  

Imagen: www.visualhunt.com 


También te puede interesar