Sikkerhedsfirmaet Cylance rapporterer nu om et nyt afpresningsprodukt, også kaldet ransomware, der specifikt er rettet mod sundheds- og teknologiselskaber i både USA og Europa.
Det nye afpresningsprodukt har fået navnet Zeppelin og er beskrevet som “Ransomware-as-a-Service” (RaaS). Softwaren omtales af sikkerhedsforskerne som meget målrettet. Systemet stammer angiveligt fra russiske hackere.
Konfigurerbart svindel værktøj
Ifølge Cylance hører softwaren til den samme familie som koden bag Vega / Vegalocker, som har givet anledning til flere andre typer ransomware for nylig – inklusive Buran-softwaren, der blev omtalt af McAfee i november.
Zeppelin vil dele meget af den samme kode og funktionalitet som Vegalocker, men er blevet udviklet til en helt ny type afpresningssoftware.
Cylance skriver, at softwaren er meget konfigurerbar og kan leveres enten som EXE, DLL eller i en PowerShell-læsser. ransomwarfe-produktet fungerer ved at inficere netværket og kryptere filer med en privat nøgle.
Efter infektion af systemet vises en Notepad-meddelelse, der instruerer brugeren om at kontakte angriberen via e-mail og vedhæfte det personlige ID-nummer. Hackerne bruger flere sikre e-mail-udbydere, der ofte er forbundet med afpresning, herunder firemail [.] Cc, Protonmail og Tutanota.
– En vigtig påmindelse
Der er ingen måde at dekryptere filerne ud over at faktisk betale hackerne for at få adgang til de private nøgler.
I følge Cylance er afpresningen nu begyndt at vende tilbage for alvor efter en tilbagegang i efteråret, det hænger ifølge Cylance sammen med at der er kommet flere nye og nytænkende hackere ind på ransomware markedet.
– Programmørerne bag Zeppelin viser en dedikation til deres håndværk ved at iværksætte præcise angreb mod højprofilerede mål inden for it- og sundhedssektoren. At gå efter specifikke organisationer i stedet for hver tilgængelig bruger er kun et eksempel på, hvordan afpresning fortsætter med at udvikle sig. Den igangværende raffinering af afpresning er en stærk påmindelse om, at cybersikkerhed skal implementeres proaktivt, skriver sikkerhedsfirmaet.
Det er uklart, hvor mange der er berørt af Zeppelin-virussen, og hvor ofrene befinder sig. Du kan finde alle de tekniske detaljer om, hvordan softwaren fungerer hos Cylance.