FBI warnt vor Zeppelin Ransomware-Bande

Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) und das Federal Bureau of Investigation (FBI) haben Details über die Taktik einer Ransomware-Gruppe namens Zeppelin veröffentlicht, die große Organisationen in den USA und Europa mit hohen Lösegeldforderungen ins Visier genommen hat.

Es ist bekannt, dass Zeppelin-Akteure Lösegelder von mehreren tausend Dollar bis zu über 1 Million Dollar gefordert haben. Die Empfehlung bezieht sich auf die Untersuchungen von Core Security, die Zeppelin als eine gut organisierte Bedrohung beschreiben.

Zeppelin tauchte Ende 2019 als Ransomware-as-a-Service-Doppelerpressung auf und wurde zuvor als VegaLocker-Ransomware bezeichnet. Sie war dafür bekannt, dass sie auf Organisationen im Gesundheitswesen in Europa und Nordamerika abzielte. Die Agenturen sagen, dass die Gruppe auch Verteidigungsunternehmen, Bildungseinrichtungen, Hersteller und Technologieunternehmen ins Visier genommen hat, stellen aber fest, dass sie insbesondere Organisationen im Gesundheitswesen und in der Medizinbranche ins Visier genommen hat.

Andere VegaLocker-Stämme nutzten Methoden wie Malvertising, bei dem mit Malware beladene Werbung direkt auf Webseiten oder über Werbenetzwerke platziert wird und jeden infiziert, der auf sie klickt. Bei Zeppelin hingegen geht man davon aus, dass er sich stark auf Waterholing-Angriffe stützt, bei denen Websites, die von den anvisierten Opfern wahrscheinlich besucht werden, mit Malware infiziert werden. Zeppelin wurde auch auf Pastebin gefunden, einer Klartextspeicher-Website, auf der Codeschnipsel zur Überprüfung veröffentlicht werden. Darüber hinaus ist Zeppelin leicht konfigurierbar und kann als .dll- oder .exe-Datei bereitgestellt oder in einen PowerShell-Loader verpackt werden.

Sobald Zeppelin in die Infrastruktur eingedrungen ist, installiert er sich in einem temporären Ordner namens .zeppelin und verbreitet sich auf dem infizierten Gerät. Sobald er sich verbreitet hat, beginnt er, Dateien zu verschlüsseln. Was verschlüsselt wird, kann zwar vom Bedrohungsakteur konfiguriert werden, standardmäßig werden jedoch Windows-Betriebssystemverzeichnisse, Webbrowser-Anwendungen, Systemstartdateien und Benutzerdateien verschlüsselt, um die Systemfunktion zu erhalten.

Sobald die Verschlüsselung abgeschlossen ist, erscheint eine Notiz in Notepad, in der die Opfer darüber informiert werden, dass sie angegriffen wurden und dass für die Rückgabe ihrer Daten Lösegeld gezahlt werden muss. Der Inhalt variiert von einer allgemeinen Nachricht mit dem Titel „!!! ALLE IHRE DATEIEN SIND VERSCHLÜSSELT !!!.TXT“, bis zu solchen, die mehr auf das Unternehmen zugeschnitten sind. Oft wird die kostenlose Entschlüsselung einer einzigen Datei angeboten, um zu beweisen, dass die Entschlüsselung möglicherweise als Lockmittel für eine Zahlung verwendet wird.

Dem gemeinsamen Bericht zufolge haben Zeppelin-Akteure die Netzwerke ihrer Opfer auch durch Ausnutzung des Remote-Desktop-Protokolls (RDP), von SonicWall-Firewall-Schwachstellen und durch Phishing kompromittiert. Der britische National Health Service (NHS) berichtete im vergangenen Jahr, dass die Gruppe bösartige Makros in Word-Dokumenten zur Verbreitung der Malware verwendet, was jedoch in Zukunft unwahrscheinlicher werden könnte, nachdem Microsoft kürzlich nicht vertrauenswürdige VBA-Makros in Office standardmäßig gesperrt hat.

Das FBI hat herausgefunden, dass die Angreifer in der Tat vor und während des Einsatzes von Ransomware besonders sorgfältig die Grundlagen schaffen. So verbringen sie beispielsweise bis zu zwei Wochen damit, ein Netzwerk zu kartieren und nach Cloud-Speichern und Netzwerk-Backups zu suchen. Anschließend wird die Malware als DLL oder ausführbare Datei in einem PowerShell-Loader bereitgestellt.

Zeppelin stellt sicher, dass die Opfer nicht nur einen, sondern möglicherweise mehrere Entschlüsselungsschlüssel benötigen, so dass ein Netzwerk oft mit Rechnern endet, die mit mehreren IDs gekennzeichnet sind. Nach der Ausführung wird jede Datei mit einer randomisierten neunstelligen Hexadezimalzahl als Dateierweiterung versehen, die als persönliche ID des Opfers dient.

„Das FBI hat Fälle beobachtet, in denen Zeppelin-Akteure ihre Schadsoftware mehrfach im Netzwerk eines Opfers ausgeführt haben, was dazu führte, dass für jeden Angriff eine andere ID oder Dateierweiterung erstellt wurde; dies hat zur Folge, dass das Opfer mehrere eindeutige Entschlüsselungsschlüssel benötigt“, heißt es in der Mitteilung.

ZDNet.de Redaktion

Recent Posts

Google schließt zwei Zero-Day-Lücken in Android

Betroffen sind Android 12, 13, 14 und 15. Google sind zielgerichtete Angriffe auf die beiden…

12 Stunden ago

Gefährliche Weiterentwicklung der APT36-Malware ElizaRAT

Schadprogramm der pakistanischen Hackergruppe APT36 weitet seine Aktivitäten aus und verbessert seine Techniken.

17 Stunden ago

Google schließt weitere schwerwiegende Sicherheitslücken in Chrome 130

Tenable vergibt für beide Schwachstellen einen CVSS-Basis-Score von 9,8. Zwei Use-after-free-Bugs erlauben möglicherweise das Einschleusen…

19 Stunden ago

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

2 Tagen ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

3 Tagen ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

3 Tagen ago