ランサムウェア「Zeppelin」の開発者は、昨年秋から活動を再開し、マルウェアの新バージョンで活動を開始しています。
このマルウェアの最新バージョンは、2021年4月末にハッカーフォーラムで公開され、ランサムウェアビジネスに携わるサイバー犯罪者たちに提供されています。
Zeppelinランサムウェアは”Buran”とも呼ばれ、2019年にロシア語圏のハッカーフォーラムで公開されたDelphiベースのランサムウェア・アズ・ア・サービス(RaaS)であるVega/VegaLockerが起源になっています。
しかし、ランサムウェア「Zeppelin」の開発者は、アンダーグラウンドフォーラムで「Zeppelin」を販売し、購入者にマルウェアの使用方法を教えており、開発者は特定のユーザーと何らかの個別のパートナーシップを結んでいる模様です。
これは今までのRaaS事業とは対照的で、開発者は通常ランサムウェアを使って攻撃してくれるパートナーを探し、そのパートナーが被害者のネットワークに侵入してデータを盗みファイルを暗号化するマルウェアを展開します。
脅威防御を行う企業Advanced Intel社(AdvIntel)は、ランサムウェア「Zeppelin」の開発者が3月に活動を再開したことを捕捉しました。
AdvIntel社のリサーチ部門責任者であるYelisey Boguslavskiy氏は、インテリジェンスレポートの中で「彼らは新たな販売活動とともに「ソフトウェアのメジャーアップデート」を発表しており、現行のZeppelinバージョンはコアビルド1つにつき2,300ドルの価格設定になっている」と述べています。
メジャーアップデートに続き、Zeppelinの開発者は4月27日にこのマルウェアの新しいバージョンをリリースしました。このバージョンでは、機能面ではほとんど変化がありませんでしたが、暗号化の安定性が向上していました。
常連客への特典
また、Zeppelinの開発者は定期的に利用しているユーザに対しても、「サブスクライバー」と呼ばれる長期的なユーザーには、特別な待遇を提供することを確約しています。
「我々は作業を続けており各加入者に個別の条件を提供します。連絡をいただければ、お互いに有益な協力関係を築くことができると考えています」-ランサムウェア「Zeppelin」
Zeppelin は純粋な RaaS モデルを採用していない数少ないランサムウェアの 1 つであり、サイバー犯罪コミュニティのメンバーから推薦されている人気のあるランサムウェアの 1 つでもあります。
AdvIntel社は、RaaSモデル特有の組織化がなされていないが、Zeppelinの購入者がZeppelinを利用することで自社製品の機能に取り込むことができるため、ランサムウェアの脅威に対抗することがより困難になる可能性があると警告しています。
同社によると、Zeppelinのユーザーは個人であり攻撃を複雑にすることはなく、RDP、VPNの脆弱性、フィッシングなどの一般的な初期攻撃が主流とのことです。
さらにZeppelinの運営者は多くのRaaSグループのようにリークサイトを持たず、データを盗むのではなく暗号化することに注力しています。
AdvIntelは、Zeppelinランサムウェアの脅威に対する効率的な防御策として外部のリモートデスクトップやVPN接続の監視と監査を推奨しています。
ZeppelinランサムウェアはRaaS事業を行っていないにしても、ジュニパー・スレット・ラボが昨年8月に発見したように、新しいダウンローダーが使用された場合、検出が困難になることが懸念されます。
2020年8月28日、Juniper Threat Labsは、Zeppelinランサムウェアの新たな攻撃を検出しました。このランサムウェアは、新しいトロイの木馬型ダウンローダーを使用しているため、アンチウイルスアプリケーションではほとんど検出されません。このランサムウェアがコマンドアンドコントロール(C2)に使用しているドメイン、btcxchange[.]onlineは、2020年6月4日にNamecheapで登録されています。パッシブDNSデータによると、このドメインの最新の名前解決は2020年8月28日に行われており、このマルウェアがここ数日で新たなネットワークに感染していないことを示している可能性があります。DNSキャッシュがあるため、標的となったコンピュータのうち何台がC2ドメインを解決したかを評価することは困難ですが、ネームサーバーへの確認されたDNSクエリは64件のみであり、攻撃が標的化されており、広範囲に及んでいないことを示唆しています。
Comments