Fed: Zeppelin Ransomware riemerge con un nuovo compromesso, tattiche di crittografia.

Diverse organizzazioni di infrastrutture critiche hanno assistito a una recrudescenza del software dannoso a cui sono state esposte. I federali avvertono delle recenti campagne contro l’assistenza sanitaria e le organizzazioni di infrastrutture critiche. Secondo un avviso della Cybersecurity and Infrastructure Security Agency, gli attori delle minacce stanno sfruttando lo sfruttamento del protocollo RDD (Remote Desktop Protocol) e le vulnerabilità di SonicWall per violare le reti di destinazione. Una nuova tattica di crittografia multipla, eseguita più di una volta all’interno della rete di una vittima e la creazione di ID ed estensioni di file diversi per attacchi a più istanze, sembra essere una nuova tattica di Zeppelin. L’agenzia ha affermato che il 21 giugno ci sono stati più attacchi che sono stati identificati attraverso varie indagini dell’FBI. Gli attori delle minacce hanno preso di mira prima le aziende tecnologiche e sanitarie in Europa e negli Stati Uniti. Le ultime campagne si concentrano maggiormente sulle organizzazioni sanitarie e mediche. L’agenzia ha affermato che gli attori delle minacce stanno anche utilizzando il RaaS negli attacchi contro appaltatori della difesa, istituzioni educative e produttori. Gli attori delle minacce trascorrono da una a due settimane a mappare o enumerare la rete per identificare le enclavi di dati, inclusi l’archiviazione su cloud e il backup di rete. La tattica comune della doppia estorsione nelle sue ultime campagne è l’esfiltrazione di file di dati sensibili da un obiettivo prima della crittografia per un’eventuale pubblicazione online in seguito se la vittima si rifiuta di pagare. L’agenzia ha affermato che gli attori delle minacce lasciano una nota sul sistema desktop dell’utente che include una richiesta di riscatto. Le ultime campagne mostrano gli attori delle minacce che utilizzano una nuova tattica per eseguire il malware più volte all’interno della rete di una vittima, il che significa che una vittima avrebbe bisogno non di una ma di più chiavi di decrittazione per sbloccare i file, secondo la CISA. Non è raro che gli attori delle minacce utilizzino un’unica chiave master per proteggere i propri sistemi, secondo Roger.