Zeppelin 랜섬웨어, 약간의 휴식 후 활동 재개해

 

 

Zeppelin ransomware gang is back after a temporary pause

 

작업을 일시적으로 중단했던 Buran으로도 알려진 서비스형 랜섬웨어인 Zeppelin이 다시 활동을 재개한 것으로 나타났습니다.

 

다른 랜섬웨어와는 달리 Zeppelin의 운영자는 피해자의 데이터를 훔치지 않으며 유출 사이트를 운영하지도 않습니다.

 

Zeppelin 랜섬웨어는 2019년 11월 처음 등장했습니다. BlackBerry Cylance의 전문가들은 서비스형 랜섬웨어인 Vega의 새로운 변종을 발견한 후 이를 Zeppelin이라 명명했습니다.

 

이후 이 새로운 변종은 유럽, 미국, 캐나다 전역의 기술 및 의료 업계 조직을 노린 공격에 사용되었습니다.

 

Zeppelin은 11월 처음 발견되었을 당시 Pastebin 웹사이트에서 운영되는 PowerShell 페이로드를 이용한 워터링 홀 공격을 통해 배포되었습니다.

 

다른 Vega 랜섬웨어의 변종과는 다르게 Zeppelin 랜섬웨어는 러시아의 사용자나 우크라이나, 벨로루시, 카자흐스탄과 같은 구소련 국가의 사용자를 감염시키지 않습니다.

 

이 랜섬웨어가 실행되면 모든 드라이브 및 네트워크 공유의 파일을 열거한 후 암호화를 시도합니다.

 

연구원들은 이 랜섬웨어가 사용하는 암호화 알고리즘이 다른 Vega 변종 중 하나와 동일하다는 사실을 발견했습니다.

 

지난달, 전문가들은 해커 포럼에서 구매자가 악성코드 사용 방법을 선택하여 구매할 수 있는 해당 랜섬웨어의 새로운 변종을 발견했습니다.

 

“이는 고전적인 서비스형 랜섬웨어 작업과는 차이가 있습니다. 보통 개발자들은 데이터를 훔치고, 파일을 암호화하는 악성코드를 배포하기 위해 피해자의 네트워크에 침투할 수 있는 파트너를 찾습니다. 이 두 그룹은 랜섬머니를 나누어 가지며, 일반적으로 개발자가 더 낮은 금액(최대 30%)을 가져갑니다.”

 

Advanced Intel (AdvIntel)의 연구원들은 Zeppelin 랜섬웨어가 지난 4월 일부 개선사항을 구현해 업데이트했다고 보고했습니다.

 

이 악성코드는 코어 빌드 당 $2,300에 판매되고 있으나, 구독자에게 개별적인 조건을 제공합니다.

 

Advanced Intel의 연구원들은 Zeppelin 그룹이 일반적인 서비스형 랜섬웨어 모델을 구현하지 않았더라도 전 세계 조직에 심각한 위협이 될 수 있다고 지적했습니다.

 

현재 알약에서는 해당 악성코드 샘플에 대해 ’Trojan.Ransom.VegaLocker’로 탐지 중입니다.

 

 

 

 

출처:

https://securityaffairs.co/wordpress/118215/cyber-crime/zeppelin-ransomware-return.html

https://www.bleepingcomputer.com/news/security/zeppelin-ransomware-comes-back-to-life-with-updated-versions/