Новый дирижабль на рынке программ-вымогателей

CISA и ФБР предупредили организации США , что операторы программы-вымогателя Zeppelin могут многократно шифровать файлы. По наблюдениям ФБР, операторы Zeppelin несколько раз запускали свое вредоносное ПО в сети жертвы, что приводило к созданию разных идентификаторов или расширений файлов для каждой атаки. В результате жертве требовалось несколько уникальных ключей дешифрования .

Обнаруженный ФБР 21 июня вредонсоное ПО Zeppelin представляет собой программу-вымогатель как услугу (RaaS) и действует по крайней мере с 2019 года, ориентируясь на предприятия и организации критической инфраструктуры, такие как оборонные подрядчики и технологические компании. Также злоумышленники уделяют особое внимание организациям из сферы здравоохранения и медицины.

Они также известны кражей данных для двойного вымогательства и запросами выкупа в биткойнах, причем первоначальные требования варьируются от нескольких тысяч до более миллиона долларов.

Активность программы-вымогателя Zeppelin

ФБР также порекомендовало жертвам не платить выкуп вымогателям, поскольку у них не будет гарантии, что выплата выкупа предотвратит утечку данных или будущие атаки. Более того, уплата выкупа побудит киберпреступников атаковать больше целей и привлечет другие группировки.

Два федеральных агентства поделились тактиками, техниками и процедурами (TTP) и индикаторами компрометации (IOC) , чтобы помочь специалистам по кибербезопасности обнаруживать и блокировать атаки с использованием этого штамма программ-вымогателей.

CISA и ФБР также рекомендовали организациям принять меры для защиты от атак программ-вымогателей Zeppelin:

• приоритетное исправление уязвимостей, эксплуатируемых в дикой природе;
• обучение своих сотрудников и пользователей распознавать попытки фишинга и сообщать о них;
• применение многофакторной аутентификации .