Sikkerhetsselskapet Cylance rapporterer nå om en ny utpressingvare, også kalt løsepengevirus, som retter seg spesifikt mot bedrifter innen helsetjenester og teknologi i både USA og Europa.
Den nye utpressingsvaren har fått navnet Zeppelin og beskrives som såkalt «Ransomware-as-a-Service» (RaaS). Den omtales av sikkerhetsforskerne som svært målrettet og stammer angivelig fra russiske hackere.
Konfigurerbar
Programvaren tilhører ifølge Cylance den samme familien som utpressingsvaren Vega/Vegalocker, som har gitt opphav til flere andre typer løsepengevirus den siste tiden – deriblant Buran-programvaren, omtalt av blant andre McAfee i november.
Zeppelin skal dele mye av den samme koden og funksjonaliteten som Vegalocker, men har videreutviklet seg til en helt nye type utpressingsvare.
Cylance skriver at programvaren er svært konfigurerbar og kan leveres både som EXE, DLL eller i en PowerShell-loader. Utpressingsvaren fungerer ved å infisere nettverket og kryptere filer med en privat nøkkel.
Etter å ha infisert systemet dukker det opp en Notepad-beskjed som instruerer brukeren til å kontakte angriperen via e-post og legge ved det personlige ID-nummeret. Hackerne benytter flere sikre e-posttilbydere som ofte assosieres med utpressingsvare, deriblant firemail[.]cc, Protonmail og Tutanota.
– En viktig påminnelse
Det skal ikke finnes noe måte å dekryptere filene på, annet enn å faktisk betale hackerne for å få tilgang til de private nøklene.
Ifølge Cylance har utpressingsvare nå begynt å komme tilbake for alvor, etter å ha hatt en nedgang i senere tid, som har sammenheng med at det har dukket opp stadig flere innovative aktører på feltet.
– Aktørene bak Zeppelin demonstrerer en dedikasjon til håndverket sitt ved å iverksette presise angrep mot høyprofil-mål i IT- og helsesektorene. Å gå etter spesifikke organisasjoner i stedet for hver eneste tilgjengelige bruker er bare ett eksempel på hvordan utpressingsvare fortsetter å utvikle seg. Den pågående raffineringen av utpressingsangrep er en sterk påminnelse om at cybersikkerhet bør være proaktiv, prediktiv, tilpasningsdyktig og semi-autonom, skriver sikkerhetsselskapet.
Det er uvisst akkurat hvor mange som er rammet av Zeppelin-viruset, og hvor de fleste ofrene befinner seg. Alle de tekniske detaljene om hvordan programvaren fungerer finner du hos Cylance.
