FBI warnt vor Zeppelin Ransomware-Bande

Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) und das Federal Bureau of Investigation (FBI) haben Details über die Taktik einer Ransomware-Gruppe namens Zeppelin veröffentlicht, die große Organisationen in den USA und Europa mit hohen Lösegeldforderungen ins Visier genommen hat.

Es ist bekannt, dass Zeppelin-Akteure Lösegelder von mehreren tausend Dollar bis zu über 1 Million Dollar gefordert haben. Die Empfehlung bezieht sich auf die Untersuchungen von Core Security, die Zeppelin als eine gut organisierte Bedrohung beschreiben.

Zeppelin tauchte Ende 2019 als Ransomware-as-a-Service-Doppelerpressung auf und wurde zuvor als VegaLocker-Ransomware bezeichnet. Sie war dafür bekannt, dass sie auf Organisationen im Gesundheitswesen in Europa und Nordamerika abzielte. Die Agenturen sagen, dass die Gruppe auch Verteidigungsunternehmen, Bildungseinrichtungen, Hersteller und Technologieunternehmen ins Visier genommen hat, stellen aber fest, dass sie insbesondere Organisationen im Gesundheitswesen und in der Medizinbranche ins Visier genommen hat.

Andere VegaLocker-Stämme nutzten Methoden wie Malvertising, bei dem mit Malware beladene Werbung direkt auf Webseiten oder über Werbenetzwerke platziert wird und jeden infiziert, der auf sie klickt. Bei Zeppelin hingegen geht man davon aus, dass er sich stark auf Waterholing-Angriffe stützt, bei denen Websites, die von den anvisierten Opfern wahrscheinlich besucht werden, mit Malware infiziert werden. Zeppelin wurde auch auf Pastebin gefunden, einer Klartextspeicher-Website, auf der Codeschnipsel zur Überprüfung veröffentlicht werden. Darüber hinaus ist Zeppelin leicht konfigurierbar und kann als .dll- oder .exe-Datei bereitgestellt oder in einen PowerShell-Loader verpackt werden.

Sobald Zeppelin in die Infrastruktur eingedrungen ist, installiert er sich in einem temporären Ordner namens .zeppelin und verbreitet sich auf dem infizierten Gerät. Sobald er sich verbreitet hat, beginnt er, Dateien zu verschlüsseln. Was verschlüsselt wird, kann zwar vom Bedrohungsakteur konfiguriert werden, standardmäßig werden jedoch Windows-Betriebssystemverzeichnisse, Webbrowser-Anwendungen, Systemstartdateien und Benutzerdateien verschlüsselt, um die Systemfunktion zu erhalten.

Sobald die Verschlüsselung abgeschlossen ist, erscheint eine Notiz in Notepad, in der die Opfer darüber informiert werden, dass sie angegriffen wurden und dass für die Rückgabe ihrer Daten Lösegeld gezahlt werden muss. Der Inhalt variiert von einer allgemeinen Nachricht mit dem Titel „!!! ALLE IHRE DATEIEN SIND VERSCHLÜSSELT !!!.TXT“, bis zu solchen, die mehr auf das Unternehmen zugeschnitten sind. Oft wird die kostenlose Entschlüsselung einer einzigen Datei angeboten, um zu beweisen, dass die Entschlüsselung möglicherweise als Lockmittel für eine Zahlung verwendet wird.

Dem gemeinsamen Bericht zufolge haben Zeppelin-Akteure die Netzwerke ihrer Opfer auch durch Ausnutzung des Remote-Desktop-Protokolls (RDP), von SonicWall-Firewall-Schwachstellen und durch Phishing kompromittiert. Der britische National Health Service (NHS) berichtete im vergangenen Jahr, dass die Gruppe bösartige Makros in Word-Dokumenten zur Verbreitung der Malware verwendet, was jedoch in Zukunft unwahrscheinlicher werden könnte, nachdem Microsoft kürzlich nicht vertrauenswürdige VBA-Makros in Office standardmäßig gesperrt hat.

Das FBI hat herausgefunden, dass die Angreifer in der Tat vor und während des Einsatzes von Ransomware besonders sorgfältig die Grundlagen schaffen. So verbringen sie beispielsweise bis zu zwei Wochen damit, ein Netzwerk zu kartieren und nach Cloud-Speichern und Netzwerk-Backups zu suchen. Anschließend wird die Malware als DLL oder ausführbare Datei in einem PowerShell-Loader bereitgestellt.

Zeppelin stellt sicher, dass die Opfer nicht nur einen, sondern möglicherweise mehrere Entschlüsselungsschlüssel benötigen, so dass ein Netzwerk oft mit Rechnern endet, die mit mehreren IDs gekennzeichnet sind. Nach der Ausführung wird jede Datei mit einer randomisierten neunstelligen Hexadezimalzahl als Dateierweiterung versehen, die als persönliche ID des Opfers dient.

„Das FBI hat Fälle beobachtet, in denen Zeppelin-Akteure ihre Schadsoftware mehrfach im Netzwerk eines Opfers ausgeführt haben, was dazu führte, dass für jeden Angriff eine andere ID oder Dateierweiterung erstellt wurde; dies hat zur Folge, dass das Opfer mehrere eindeutige Entschlüsselungsschlüssel benötigt“, heißt es in der Mitteilung.