skip to Main Content

Cybercrime, nuova versione per il Ransomware-as-a-Service Zeppelin

Il CSIRT-Italia: nuova versione per il Ransomware-as-a-Service Zeppelin. Il malware solitamente è distribuito tramite phishing o grazie a vulnerabilità di servizi RDP e VPN

Nuova versione per il Ransomware-as-a-Service (RaaS) Zeppelin (alias Buran). Lo denunciano gli esperti di cybersecurity del CSIRT-Italia. Il malware, identificato per la prima volta a novembre 2019, attacca organizzazioni di tutto il mondo. I suoi metodi di distribuzione variano a seconda dell’operatore, rimanendo perlopiù nell’ambito dei più comuni: mail di phishing con allegato un documento di Office armato di macro malevola, sfruttamento di vulnerabilità di servizi di desktop remoto (RDP) e VPN. Al momento dell’esecuzione, determina la localizzazione del sistema impattato, attivandosi nel caso in cui la lingua rilevata sia fra quelle target; contatta il server di Comando e Controllo, rimanendo in attesa del comando di avvio della cifratura del sistema; enumera i file su tutte le unità e le condivisioni di rete e avvia il processo di crittografia sul sistema impattato, aggiungendo ai file l’estensione “.zeppelin”. Infine, deposita una nota di riscatto in formato testuale sul desktop dell’utente vittima.

Back To Top