Se ha detectado actividad de una nueva variante del ransomware de la familia Vega que afecta a empresas tecnológicas y sanitarias de Europa, Estados Unidos y Canadá.
El ransomware Zeppelin está preparado para detener su actividad si se ejecuta desde Rusia u otros países de la antigua Unión Soviética como Ucrania o Bielorrusia. Lo que resulta curioso, ya que su antecesor, Vega o VegaLocker ponía su foco en víctimas de habla rusa a través de campañas de «malvertising» que utilizaban la plataforma de anuncios Yandex.Direct. Lo que es un claro indicio de que se trata de un grupo de atacantes distinto.
De acuerdo con el informe ofrecido por BlackBerry Cylance, Zeppelin es un ransomware escrito en Delphi altamente configurable.
Zeppelin puede ser desplegado en formato EXE en una DLL o ejecutado a través de PowerShell y puede ser configurado con diferentes características:
- Registro de las IP y localización de las víctimas.
- Persistente al reinicio.
- Eliminación de copias de seguridad.
- Detención de procesos específicos.
- Desbloquea ficheros que se encuentran en ejecución o bloqueados para poder cifrarlos.
- Auto-borrado: elimina el ejecutable y las entradas del registro.
- Elevación de privilegios: el malware intentará elevar privilegios al inicio.
Todos estos parámetros, además de la clave pública RSA utilizada para cifrar los archivos, son configurables a través de una interfaz que permite además construir el binario.
También es posible configurar algunos parámetros a la hora de ejecutar el binario:
- Cifrar un fichero específico.
- Cifrar un directorio específico.
- -start, permite saltar la fase de instalación y cifrar directamente los archivos
- -agent , cifra los ficheros especificados en la clave de registro ‘HKCU/Software/Zeppelin/Paths’ donde es el nombre del valor.
- Sin parámetros se ejecutaría la rutina de cifrado por defecto.
Las muestras de Zeppelin se alojaban en páginas web comprometidas o en sitios de Pastebin en el caso de su formato en PowerShell.
BlackBerry Cylance
Al iniciar la instalación en el sistema, el malware comprueba si se está ejecutando en una máquina localizada en alguno de los países siguiente:
- Rusia
- Ucrania
- Bielorrusia
- Kazajistán
En caso contrario, el malware crea un fichero «.zeppelin» en la carpeta temporal %TEMP% cuyo nombre coincidirá con el hash CRC32 de la ruta del malware.
Si se ha configurado la opción de persistencia, el malware se copiará al directorio ‘%APPDATA%\Roaming\Microsoft\Windows’ utilizando un nombre aleatorio de alguno de los procesos en ejecución para pasar desapercibido.
El nombre del proceso se cifra con una clave RC4, se codifica en base64 y se guarda en el registro con la clave «Process», dentro de ‘HKCU\Software\Zeppelin’.
Del mismo modo, si se han configurado las opciones de «auto-borrado» o de «elevación de privilegios» el malware realizará las acciones necesarias para hacerlo posible.
Una vez instalado y ejecutado, el ransomware sigue un proceso que comienza por comunicar la IP y la localización de la víctima al servidor de control. Esta información quedará registrada si se ha activado el módulo de ‘IP Logger’.
Una vez registrada la víctima, comenzará el cifrado de los archivos. Como dato interesante, apuntan los investigadores de BlackBerry Cylance, se ha utilizado una implementación «custom» de RSA, posiblemente desarrollada por el creador del virus.
Cabe destacar también que algunas muestras cifran sólo los primeros 0x1000 (4KB), en lugar de los habituales 65KB. No sabemos si es un fallo del desarrollador o una elección en base a acelerar el proceso de cifrado.
Respecto a la nota de rescate, la herramienta para construir el binario permite su configuración. Muchas de las muestras analizadas por el equipo de BlackBerry contenían una variedad de mensajes: algunos más genéricos y otros más elaborados y que apuntaban a organizaciones concretas. Al final siempre se pedía a la víctima que contactara con el atacante a través de una dirección de correo con un ID generado para cada víctima.
Zeppelin utiliza varias técnicas de evasión. Las principales incluyen varias capas de ofuscación: uso de claves pseudo-aleatorias, cadenas cifradas, uso de códigos de diferentes tamaños, etc. Además introduce retrasos intencionados en la ejecución de las rutinas para engañar a los sistemas de análisis automáticos.
Al momento de escribir este artículo, aproximadamente un 80% de los motores antivirus de VirusTotal detectarían esta amenaza.
Lejos de estar en declive, el ransomware continua evolucionando. No sólo encontramos mejoras técnicas y software cada vez más sofisticado. También se observa una tendencia de ataques más dirigidos y a objetivos mayores.
La seguridad proactiva, mantener una buena política de copias de seguridad y sobre todo no ceder a los chantajes, son algunas de las recomendaciones que ayudarían a mitigar y acabar con este tipo de ataques en el futuro.
Más información:
- Zeppelin: Russian Ransomware Targets High Profile Users in the U.S. and Europe
https://research.checkpoint.com/2019/breakingapp-whatsapp-crash-data-loss-bug/
