هشدار FBI و CISA درباره باج افزارهایی که می توانند میلیون ها دلار مطالبات داشته باشند

آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) و دفتر تحقیقات فدرال (FBI) جزئیات تاکتیک های یک گروه باج افزار به نام Zeppelin را منتشر کرده اند که سازمان های بزرگ در ایالات متحده و اروپا را با تقاضای باج هنگفتی هدف قرار داده است.

زپلین در اواخر سال 2019 پدیدار شد به عنوان یک باج افزار به عنوان یک سرویس عملیات اخاذی مضاعف و قبلا باج افزار VegaLocker نامیده می شد. این به دلیل هدف قرار دادن سازمان های بخش مراقبت های بهداشتی در سراسر اروپا و آمریکای شمالی شناخته شده بود. این آژانس ها می گویند که این گروه همچنین پیمانکاران دفاعی، مؤسسات آموزشی، تولیدکنندگان، شرکت های فناوری را هدف قرار داده است، اما خاطرنشان می کند که «به ویژه» سازمان های صنایع بهداشتی و پزشکی را هدف قرار داده است.

بر اساس این مشاوره مشترک، بازیگران زپلین همچنین با بهره‌برداری از پروتکل دسکتاپ راه دور (RDP)، آسیب‌پذیری‌های فایروال SonicWall و فیشینگ، شبکه‌های قربانی را به خطر انداخته‌اند. سرویس بهداشت ملی بریتانیا (NHS) سال گذشته گزارش داد که این گروه بوده است استفاده از ماکروهای مخرب در اسناد Word برای گسترش بدافزار، اما ممکن است در آینده بعد از این احتمال کمتر باشد بلوک پیش فرض اخیر مایکروسافت در ماکروهای VBA غیرقابل اعتماد در دفتر.

معروف است که بازیگران زپلین چندین هزار دلار تا بیش از یک میلیون دلار باج خواسته اند. این مشاوره به تحقیقات Core Security اشاره می کند که شرح می دهد زپلین به عنوان یک تهدید “به خوبی سازماندهی شده”..

اف‌بی‌آی دریافته است که مهاجمان در زمینه‌سازی قبل و در حین استقرار باج‌افزار دقت بیشتری می‌کنند. برای مثال، آنها تا دو هفته را صرف نقشه‌برداری از یک شبکه می‌کنند و به دنبال ذخیره‌سازی ابری و پشتیبان‌گیری از شبکه هستند. سپس بدافزار به‌عنوان یک فایل DLL یا فایل اجرایی موجود در یک بارگذار PowerShell مستقر می‌شود.

زپلین تضمین می‌کند که قربانیان نه تنها به یک کلید بلکه احتمالاً به چندین کلید رمزگشایی نیاز دارند و یک شبکه اغلب به ماشین‌هایی ختم می‌شود که با چندین شناسه برچسب‌گذاری شده‌اند. پس از اجرا، هر فایل با یک عدد هگزا دسیمال تصادفی نه رقمی به عنوان پسوند فایل برچسب گذاری می شود که به عنوان شناسه شخصی قربانی عمل می کند.

«اف‌بی‌آی مواردی را مشاهده کرده است که در آن بازیگران زپلین، بدافزار خود را چندین بار در شبکه قربانی اجرا می‌کنند، که منجر به ایجاد شناسه‌های مختلف یا پسوند فایل‌ها، برای هر نمونه از حمله می‌شود؛ این منجر به نیاز قربانی به چندین کلید رمزگشایی منحصربه‌فرد می‌شود.» کشورهای مشورتی

اف‌بی‌آی امیدوار است بتواند اطلاعاتی را از قربانیان بازیگران زپلین جمع‌آوری کند. قربانیان را تشویق می کند تا حوادث باج افزار را به یک گزارش دهند دفتر محلی FBI، CISA در us-cert.cisa.gov/report، یا سرویس مخفی ایالات متحده (USSS) در یک دفتر میدانی USSS.

«اف‌بی‌آی به دنبال هر گونه اطلاعاتی است که می‌تواند به اشتراک گذاشته شود، از جمله گزارش‌های مرزی که ارتباطات را به و از آدرس‌های IP خارجی نشان می‌دهد، یک نمونه یادداشت باج، ارتباطات با بازیگران زپلین، اطلاعات کیف پول بیت‌کوین، فایل‌های رمزگشا و/یا نمونه‌ای خوش‌خیم از یک فایل رمزگذاری شده است.»