La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y la Oficina Federal de Investigaciones (FBI) advirtieron hoy a las organizaciones estadounidenses que los hackers que implementan el ransomware Zeppelin podrían cifrar sus archivos varias veces.
Las dos agencias federales también compartieron tácticas, técnicas y procedimientos (TTP) e indicadores de compromiso (IOC) para ayudar a los profesionales de la seguridad a detectar y bloquear ataques con esta variedad de ransomware.
“El FBI ha observado instancias en las que los actores de Zeppelin ejecutaron su malware varias veces dentro de la red de una víctima, lo que resultó en la creación de diferentes ID o extensiones de archivo para cada instancia de un ataque; esto hace que la víctima necesite varias claves de descifrado únicas”. comunicado conjunto publicado hoy .
Detectado por el FBI el 21 de junio, Zeppelin es una operación de ransomware como servicio (RaaS) cuyo malware pasó por varios cambios de nombre de VegaLocker a Buran, VegaLocker , Jamper y ahora Zeppelin.
Las filiales de Zeppelin han estado activas desde al menos 2019, apuntando a empresas y organizaciones de infraestructura crítica, como contratistas de defensa y empresas de tecnología, con un enfoque en entidades de las industrias médica y de atención médica .
También son conocidos por robar datos para doble extorsión y realizar solicitudes de rescate en Bitcoin, con demandas iniciales que van desde varios miles de dólares hasta más de un millón de dólares.
Solicitud de información vinculada a ataques de ransomware Zeppelin
El FBI también solicitó a los administradores de TI que detectan actividad de ransomware Zeppelin dentro de sus redes empresariales que recopilen y compartan cualquier información relacionada con su oficina de campo local del FBI .
Los datos valiosos que pueden ayudar a identificar a los atacantes detrás de esta pandilla de ransomware incluyen “registros de límites que muestran la comunicación hacia y desde direcciones IP extranjeras, una nota de rescate de muestra, comunicaciones con los actores de Zeppelin, información de la billetera Bitcoin, archivos de descifrado y/o una muestra benigna de un archivo encriptado.”
El FBI agregó que no fomenta el pago de las demandas de rescate de Zeppelin y aconsejó a las víctimas que no lo hagan, ya que no tendrán garantía de que pagar el rescate evitará fugas de datos o ataques futuros.
En cambio, ceder a sus demandas probablemente motivará a los atacantes a apuntar a más víctimas e incentivará a otros grupos de ciberdelincuencia a unirse a ellos en los ataques de ransomware.
CISA y el FBI también aconsejaron a las organizaciones que tomen medidas para defenderse de los ataques del ransomware Zeppelin, como:
- priorizar las vulnerabilidades de parcheo explotadas en la naturaleza,
- capacitar a sus empleados y usuarios para reconocer y reportar intentos de phishing,
- habilitar y hacer cumplir la autenticación multifactor.
Es especialista en ciberseguridad con más de 16 años de experiencia en seguridad de la información. Conoce muy bien la inteligencia de amenazas, la gestión de riesgos, la evaluación de vulnerabilidades y las pruebas de penetración, el análisis forense cibernético y la tecnología de seguridad en la nube (AWS, Azure, Google Cloud). Ocupó varios puestos de investigador de ciberseguridad en diferentes empresas. Tiene experiencia en diferentes industrias como finanzas, atención médica, marketing, gobierno, finanzas turísticas, aerolíneas, telecomunicaciones y biometría.