باجافزار جدیدی به نام ZEPPELIN سازمانهای فناوری و خدمات درمانی را مورد هدف قرار میدهد
اخیرا گونهای جدیدی از باجافزارهای خانواده Vega موسوم به Zeppelin سازمانهای فناوری و خدمت درمانی را در سراسر اروپا، ایالات متحده و کانادا هدف قرار داده است. تمامی گونههای قبلی باجافزار Vega (موسوم به VegaLocker) کاربران روسیه را هدف قرار میداد درحالیکه این باجافزار جدید اگر موقعیت را یکی از کشورهای روسیه، اوکراین، قزاقستان و دیگر کشورهای پساشوروی تشخیص دهد فعالیت خود را متوقف میکند؛ این امر نشانگر این است که Zeppelin کار همان گروه که پشت پردهی حملات قبلی بودند نیست. به گزارش BlackBerry Cylance باجافزار Zeppelin یک باجافزار مبتنی بر زبان Delphi و کاملا تنظیمپذیر است؛ بصورتیکه با توجه به نیاز مهاجم در هدف قرار دادن هر گروهی از قربانیان امکان فعالسازی و غیرفعالسازی ویژگیهای متعددی را فراهم میکند. Zeppelin با ویژگیهای زیر میتواند در فایلهای DLL یا EXE قرار گرفته و یا در loaderهای powershell پنهان شود: ردیابی آدرسهای IP و موقعیت مکانی قربانیان (IP Logger) حفظ سطح دسترسی حتی پس از reboot شدن سیستم (StartUp) حذف کپی و پشتیبانهای فایلها، غیرفعالسازی بازیابی اطلاعات و غیره امکان توقف taskهای دلخواه مهاجم (Task-Killer) قفل کردن فایلها در فرآیند رمزنگاری (قفلسازی خودکار) تلاش برای اجرای باجافزار با سطح دسترسی بالا (UAC prompt) این باجافزار تعداد تمامی فایلهای موجود در همهی درایورها و شبکه را محاسبه کرده و با الگوریتم استفاده شده در دیگر گونههای مشابه Vega، رمز میکند. همچنین برای پنهان ماندن، از لایههای متعدد obfuscation (مبهمسازی) شامل استفاده از کلیدهای تصادفی pseudo، رشتههای رمز شده، استفاده از کدها با طولهای گوناگون، تاخیر در اجرا برای دور زدن sandboxها و فریب مکانیسمهای بازگشتی استفاده میکند. باجافزار Zeppline برای اولین بار یک ماه پیش زمانی که بین تعدادی وبسایت توسط payloadهای powershell توزیع شده بود، کشف شد و این در حالیست که به گفتهی محققان امنیتی حدود 30 درصد آنتی ویروسها قادر به شناسایی این باجافزار نیستند. برای آگاهی از جزییات فنی به آدرس زیر مراجعه کنید: https://nationalcybersecurity.com/new-zeppelin-ransomware-targeting-tech-and-health-companies/
مرکز ماهر
دانشگاه کردستان