Zeppelin Ransomware: cómo prepararse, responder y prevenir infecciones

El ransomware regresó con fuerza en 2019 después de su pausa en 2018. A fines de 2019 se informaron muchos ataques de alto perfil. En EE. UU., las víctimas del ransomware incluyen al menos 113 agencias gubernamentales, 89 establecimientos educativos y 764 proveedores de atención médica. El importe total de las demandas de rescate asciende a más de 7.5 mil millones de dólares. El coste promedio del pago del rescate aumentó en un 104% del tercer al cuarto trimestre de 2019.

Por lo tanto, no es de extrañar que los ciberdelincuentes se sientan atraídos una vez más a desarrollar y crear nuevas variantes de ransomware. Entre el ransomware prevalente el año pasado estaba el ransomware Buran que surgió a principios de mayo de 2019 y continúa proliferando hasta ahora. En cuestión de solo 9 meses, este ransomware lanzó más de 5 actualizaciones al cambiar su código y los vectores de ataque para mantenerse sigiloso y causar más daño.

A finaless del año 2019, se lanzó una nueva variante de ransomware conocido como Zeppelin. Tras el análisis inicial de Zeppelin, se ha descubierto que ciertos comportamientos y partes de su código fuente tienen similitudes con Buran.

Analizamos aquí qué es Zeppelin ransomware, cómo funciona, cómo evitar ser infectados y qué hacer si somos víctimas.

¿Qué es Zeppelin ransomware?

Zeppelin es el último miembro de la familia de ransomware VegaLocker, que también contiene cepas como Jamper, Storm o Buran. Zeppelin es un ejemplo de actores de amenazas bien organizados, ya que quienes están detrás de Zeppelin han sido increíblemente estratégicos al atacar cuidadosamente estos ataques de ransomware .

Visto por primera vez en noviembre de 2019, Zeppelin se ha dirigido principalmente a grandes empresas de Europa y Estados Unidos.

Zeppelin llega a sus redes objetivo principalmente a través de correos electrónicos de phishing. Estos correos electrónicos contienen documentos habilitados para macros que iniciarán la descarga y ejecución del archivo ransomware en la máquina de la víctima.

Además, otras muestras de Zeppelin también se distribuyeron a través de anuncios maliciosos  que están diseñados para engañar a sus víctimas para que hagan clic en anuncios falsos que activarán la descarga del archivo malicioso. Por último, Zeppelin, al igual que otros ransomware, utiliza el uso de software de escritorio remoto público a través de interfaces web para controlar de forma remota la máquina de una víctima y ejecutar el ransomware.

El ransomware Zeppelin se apodera de la computadora y la red de la víctima para cifrar todos los archivos a los que puede acceder. Luego, el atacante exige un rescate para restaurar el acceso a los datos. Sin embargo, incluso cuando se paga el rescate, no hay garantía de que los archivos se descifren.

Zeppelin es más sofisticado que el arma de ransomware promedio, derivada de un grupo organizado de ransomware-as-a-Service (RaaS) conocido como VegaLocker . Los objetivos originales de VegaLocker eran contadores de habla rusa.

Con cada generación, el ransomware amplía su alcance y cambia su firma, lo que dificulta su detección por parte de las herramientas antivirus.

Sin embargo, Zeppelin es quisquilloso en un aspecto. Antes de ejecutarse, verifica la geolocalización de la dirección IP de la computadora víctima y la configuración de idioma de la computadora para evitar infectar computadoras en Rusia, Bielorrusia, Kazajstán o Ucrania.

¿Cómo funciona?

La familia VegaLocker parece ser un ejemplo de un Ransomware-as-a-service (RaaS) cada vez más común, en el que los ciberdelincuentes crean ransomware y lo venden a otros o lo alquilan y toman una parte de cualquier recompensa recolectada cuando se usa. en un ataque exitoso.

Este modelo no solo permite que las personas que no saben cómo crear ransomware se conviertan en atacantes, sino que también significa que personas completamente diferentes pueden ejecutar cepas similares.

A diferencia del alcance más amplio de los ataques de la familia VegaLocker dirigidos a los hablantes de ruso, los actores de amenazas detrás de Zeppelin están ejecutando una campaña de precisión, dirigida a empresas de tecnología y atención médica de alto perfil en los países occidentales. Un ataque más reciente también puede indicar que las empresas inmobiliarias son su último objetivo.

Otras cepas de VegaLocker utilizaron métodos como la publicidad maliciosa, en los que los anuncios cargados de malware se colocan directamente en páginas web o a través de redes publicitarias, infectando a cualquiera que haga clic en ellos.

Se cree que Zeppelin, por otro lado, depende en gran medida de los ataques de agua, en los que los sitios web que probablemente sean visitados por víctimas específicas están incrustados con malware. También se ha encontrado en Pastebin, un sitio de almacenamiento de texto sin formato donde se publican fragmentos de código para su revisión.

Además, Zeppelin se puede configurar fácilmente y se puede implementar como un archivo .dll o .exe, o envuelto en un cargador de PowerShell.

Una vez que Zeppelin ha entrado en la infraestructura, se instala en una carpeta temporal llamada .zeppelin y se propaga por todo el dispositivo infectado. Una vez difundido, comienza a cifrar archivos.

Aunque lo que está cifrado puede ser configurado por el actor de amenazas, de forma predeterminada, cifra los directorios del sistema operativo Windows, las aplicaciones del navegador web, los archivos de inicio del sistema y los archivos de usuario para preservar la función del sistema.

Una vez que se completa el cifrado, aparece una nota en el Bloc de notas que informa a las víctimas que han sido atacadas y que se debe pagar un rescate por la devolución de sus datos. Los contenidos han variado de uno genérico titulado, !!! TODOS TUS ARCHIVOS ESTÁN CIFRADOS !!!. TXT, para los más personalizados de la organización.

Cómo prevenir los ataques de zepelín

La infección por ransomware puede ser difícil de prevenir, ya que a menudo se transmite a través de ataques de ingeniería social , que regularmente se reducen a usuarios descuidados o sin pretensiones.

Sin embargo, el ransomware suele estar al acecho durante algún tiempo, encontrando archivos confidenciales para robar o cifrar. El rescate solo ocurre al final del ataque, por lo que siempre que puedas detectar el ransomware antes de esa fecha, reduces significativamente el riesgo de daño permanente o a largo plazo.

Esto se puede lograr rápidamente con Network Insight, una solución de detección de dispositivos comprometidos sin agentes, independiente del sistema operativo / plataforma que es capaz de detectar infecciones de malware como Zeppelin con certeza.

Network Insight utiliza la inteligencia de amenazas recopilada por una red global de sensores para identificar y rastrear los indicadores de compromiso desde que apareció por primera vez en escena.

Zeppelin utiliza un IPLogger de dominio legítimo para rastrear las direcciones IP y la ubicación de las víctimas, utilizando URL abreviadas comprometidas que redirigen a descargas maliciosas. Podemos rastrear estas cadenas de URL maliciosas con Network Insight. Además, también podemos seguir el campo de agente de usuario en el tráfico HTTP, ya que utiliza «ZEPPELIN» en el campo.

Las pruebas de lápiz y las soluciones de prueba de lápiz como Core Impact también pueden ayudar a que los usuarios reconozcan mejor los métodos de infección de ransomware.

Zeppelin, por ejemplo, es capaz de transmitirse a través de ataques de phishing, cuando se engaña a un usuario para que haga clic en un enlace en un correo electrónico diseñado para que parezca que proviene de una fuente confiable.

Las pruebas de escritura de ingeniería social pueden descubrir quién es susceptible a estos ataques y recomendar capacitación adicional para que sus empleados estén más atentos antes de hacer clic en otro correo electrónico sospechoso.

Qué hacer si eres víctima de este ataque

Los investigadores han descubierto que, en algunos casos, los archivos solo se cifraron parcialmente, lo que puede ser un error o una característica intencional para inutilizar los archivos.

En un caso reciente , los datos ni siquiera se cifraron, sino que simplemente se robaron, ya sea para agregar presión adicional para pagar el rescate o para intentar vender los datos en la web oscura si el pago no se realizaba.

De cualquier manera, una vez que recibes la nota de rescate, solo hay dos opciones: pagar el rescate o reconstruir a partir de copias de seguridad o desde cero.

Independientemente de tu decisión, se recomienda encarecidamente que te comuniques con las autoridades. Estas agencias suelen ser las más capaces de difundir información ampliamente, poniendo a otras organizaciones en alerta máxima. A partir de ahí, la atención debe centrarse en la reconstrucción con salvaguardias más sólidas con un fuerte énfasis en la detección temprana.

Eliminar Zeppelin

A continuación, se detallan las instrucciones paso a paso para eliminar el Zeppelin de computadoras Windows y Mac. Sigue estos pasos cuidadosamente y elimina los archivos y carpetas que pertenecen a Zeppelin.

En primer lugar, debes ejecutar el sistema en modo seguro. Luego busca y elimina los archivos y carpetas necesarios.

Desinstalar Zeppelin de Windows o Mac

Aquí puedes encontrar la lista de claves de registro y archivos de ransomware confirmados. Debes eliminarlos para eliminar el virus. La lista:

  • Zeppelin .dll
  • _readme.txt
  • readme.txt
Windows 7 / Vista
  • Reinicia la computadora
  • Presiona el botón Configuración
  • Elige Modo seguro
  • Programas donde se encuentran potencialmente archivos relacionados con Cum mediante el uso de la Herramienta de eliminación
  • Eliminar archivos encontrados;
Windows 8 / 8.1
  • Reinicia la computadora
  • Presiona el botón Configuración
  • Elige Modo seguro
  • Programas donde se encuentran potencialmente archivos relacionados con Cum mediante el uso de la Herramienta de eliminación
  • Eliminar archivos encontrados
Windows 10
  • Reinicia la computadora
  • Presiona el botón Configuración
  • Elige Modo seguro
  • Programas donde se encuentran potencialmente archivos relacionados con Cum mediante el uso de la Herramienta de eliminación
  • Eliminar archivos encontrados
Windows XP
  • Reinicia la computadora
  • Presiona el botón Configuración
  • Elige Modo seguro
  • Programas donde se encuentran potencialmente archivos relacionados con Cum mediante el uso de la Herramienta de eliminación
  • Eliminar archivos encontrados
Mac OS
  • Reinicia la computadora
  • Presiona y mantén presionado el botón Shift , antes de que se cargue el sistema
  • Suelta el botón Shift cuando aparezca el logotipo de Apple
  • Programas donde se encuentran potencialmente archivos relacionados con Cum mediante el uso de la Herramienta de eliminación
  • Eliminar archivos encontrados

Restaurar archivos cifrados

Puedes intentar restaurar tus archivos con herramientas especiales. Estos programas pueden ayudarte a restaurar archivos que fueron infectados y encriptados por ransomware.

Restaurar datos con Stellar Data Recovery

Stellar Data Recovery puede encontrar y restaurar diferentes tipos de archivos cifrados, incluidos los correos electrónicos eliminados.

  • Descarga e instala Stellar Data Recovery
  • Elige unidades y carpetas con sus datos, luego presiona Escanear
  • Selecciona todos los archivos en una carpeta, luego haz clic en el botón Restaurar
  • Administrar la ubicación de la exportación.

Aiseesoft Data Recovery

Recupera archivos eliminados (como fotos, documentos, correos electrónicos, audio, video) y también se recupera de una computadora, disco duro, unidad flash, tarjeta de memoria, cámaras digitales. Recuperarse de eliminación accidental, partición formateada, problema del disco duro, disco duro RAW, fallo de la computadora.