Il CSIRT-Italia ha individuato una nuova versione del Ransomware-as-a-Service (RaaS) noto come Zeppelin (alias Buran), il malware identificato per la prima volta a novembre 2019 e utilizzato per colpire organizzazioni di tutto il mondo.
I metodi di distribuzione variano a seconda dell’operatore, rimanendo perlopiù nell’ambito dei più comuni: mail di phishing con allegato un documento di Office armato di macro malevola, sfruttamento di vulnerabilità di servizi di desktop remoto (RDP) e VPN.
Al momento dell’esecuzione, il ransomware:
- determina la localizzazione del sistema impattato, attivandosi nel caso in cui la lingua rilevata sia fra quelle target;
- contatta il server di Comando e Controllo, rimanendo in attesa del comando di avvio della cifratura del sistema;
- enumera i file su tutte le unità e le condivisioni di rete;
- avvia il processo di crittografia sul sistema impattato, aggiungendo ai file l’estensione “.zeppelin”.
Infine, Zeppelin deposita una nota di riscatto in formato testuale sul desktop dell’utente vittima.
Il CSIRT-Italia consiglia agli utenti e alle organizzazioni di attivare le misure di mitigazione descritte nel dettaglio nel documento “Ransomware: evoluzione e misure di mitigazione” disponibile alla seguente pagina, nonché di valutare l’implementazione sui propri apparati di sicurezza degli Indicatori di Compromissione (IoC) forniti in allegato.