• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Malware / Zeppelin: Un nuevo ransomware que apunta a grandes tecnológicas y sanitarias

Zeppelin: Un nuevo ransomware que apunta a grandes tecnológicas y sanitarias

19 diciembre, 2019 Por Francisco Salido 1 comentario

Se ha detectado actividad de una nueva variante del ransomware de la familia Vega que afecta a empresas tecnológicas y sanitarias de Europa, Estados Unidos y Canadá.

El ransomware Zeppelin está preparado para detener su actividad si se ejecuta desde Rusia u otros países de la antigua Unión Soviética como Ucrania o Bielorrusia. Lo que resulta curioso, ya que su antecesor, Vega o VegaLocker ponía su foco en víctimas de habla rusa a través de campañas de «malvertising» que utilizaban la plataforma de anuncios Yandex.Direct. Lo que es un claro indicio de que se trata de un grupo de atacantes distinto.

De acuerdo con el informe ofrecido por BlackBerry Cylance, Zeppelin es un ransomware escrito en Delphi altamente configurable.

Zeppelin puede ser desplegado en formato EXE en una DLL o ejecutado a través de PowerShell y puede ser configurado con diferentes características:

  • Registro de las IP y localización de las víctimas.
  • Persistente al reinicio.
  • Eliminación de copias de seguridad.
  • Detención de procesos específicos.
  • Desbloquea ficheros que se encuentran en ejecución o bloqueados para poder cifrarlos.
  • Auto-borrado: elimina el ejecutable y las entradas del registro.
  • Elevación de privilegios: el malware intentará elevar privilegios al inicio.

Todos estos parámetros, además de la clave pública RSA utilizada para cifrar los archivos, son configurables a través de una interfaz que permite además construir el binario.

Ejemplo de configuración. Fuente: https://threatvector.cylance.com

También es posible configurar algunos parámetros a la hora de ejecutar el binario:

  • Cifrar un fichero específico.
  • Cifrar un directorio específico.
  • -start, permite saltar la fase de instalación y cifrar directamente los archivos
  • -agent , cifra los ficheros especificados en la clave de registro ‘HKCU/Software/Zeppelin/Paths’ donde es el nombre del valor.
  • Sin parámetros se ejecutaría la rutina de cifrado por defecto.

Las muestras de Zeppelin se alojaban en páginas web comprometidas o en sitios de Pastebin en el caso de su formato en PowerShell.

BlackBerry Cylance

Al iniciar la instalación en el sistema, el malware comprueba si se está ejecutando en una máquina localizada en alguno de los países siguiente:

  • Rusia
  • Ucrania
  • Bielorrusia
  • Kazajistán
Rutina comprobación de país. Fuente: https://threatvector.cylance.com

En caso contrario, el malware crea un fichero «.zeppelin» en la carpeta temporal %TEMP% cuyo nombre coincidirá con el hash CRC32 de la ruta del malware.

Si se ha configurado la opción de persistencia, el malware se copiará al directorio ‘%APPDATA%\Roaming\Microsoft\Windows’ utilizando un nombre aleatorio de alguno de los procesos en ejecución para pasar desapercibido.

El nombre del proceso se cifra con una clave RC4, se codifica en base64 y se guarda en el registro con la clave «Process», dentro de ‘HKCU\Software\Zeppelin’.

Del mismo modo, si se han configurado las opciones de «auto-borrado» o de «elevación de privilegios» el malware realizará las acciones necesarias para hacerlo posible.

Una vez instalado y ejecutado, el ransomware sigue un proceso que comienza por comunicar la IP y la localización de la víctima al servidor de control. Esta información quedará registrada si se ha activado el módulo de ‘IP Logger’.

Una vez registrada la víctima, comenzará el cifrado de los archivos. Como dato interesante, apuntan los investigadores de BlackBerry Cylance, se ha utilizado una implementación «custom» de RSA, posiblemente desarrollada por el creador del virus.

Cabe destacar también que algunas muestras cifran sólo los primeros 0x1000 (4KB), en lugar de los habituales 65KB. No sabemos si es un fallo del desarrollador o una elección en base a acelerar el proceso de cifrado.

Respecto a la nota de rescate, la herramienta para construir el binario permite su configuración. Muchas de las muestras analizadas por el equipo de BlackBerry contenían una variedad de mensajes: algunos más genéricos y otros más elaborados y que apuntaban a organizaciones concretas. Al final siempre se pedía a la víctima que contactara con el atacante a través de una dirección de correo con un ID generado para cada víctima.

Zeppelin utiliza varias técnicas de evasión. Las principales incluyen varias capas de ofuscación: uso de claves pseudo-aleatorias, cadenas cifradas, uso de códigos de diferentes tamaños, etc. Además introduce retrasos intencionados en la ejecución de las rutinas para engañar a los sistemas de análisis automáticos.

Al momento de escribir este artículo, aproximadamente un 80% de los motores antivirus de VirusTotal detectarían esta amenaza.

Lejos de estar en declive, el ransomware continua evolucionando. No sólo encontramos mejoras técnicas y software cada vez más sofisticado. También se observa una tendencia de ataques más dirigidos y a objetivos mayores.

La seguridad proactiva, mantener una buena política de copias de seguridad y sobre todo no ceder a los chantajes, son algunas de las recomendaciones que ayudarían a mitigar y acabar con este tipo de ataques en el futuro.

Más información:

  • Zeppelin: Russian Ransomware Targets High Profile Users in the U.S. and Europe
    https://research.checkpoint.com/2019/breakingapp-whatsapp-crash-data-loss-bug/

Acerca de Francisco Salido

Francisco Salido Ha escrito 140 publicaciones.

  • View all posts by Francisco Salido →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Malware Etiquetado como: ransomware

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Vulnerabilidad zero-day en AWS Glue
  • Técnica permite modificar ficheros PDF con firma digital
  • Tamagotchi para hackers: Flipper Zero
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades

Entradas recientes

  • Vulnerabilidad zero-day en AWS Glue
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR
 

Cargando comentarios...