Sun. Jan 19th, 2020

DEFCON62231

a defCon group Indonesia

Ransomware Terbaru “Zeppelin”

1 min read

Varian baru keluarga ransomware Vega, yang dijuluki Zeppelin, baru-baru ini terlihat di perusahaan teknologi layanan kesehatan di seluruh Eropa, Amerika Serikat, dan Kanada.
Namun, jika Anda tinggal di Rusia atau negara bekas Uni Sovyet lainnya seperti Ukraina, Belorussia, dan Kazakhstan, tarik napas lega, karena ransomware menghentikan operasinya jika ditemukan pada mesin yang berlokasi di wilayah ini.
Ini penting dan menarik karena semua varian sebelumnya dari keluarga Vega, juga dikenal sebagai VegaLocker, terutama menargetkan pengguna berbahasa Rusia, yang menunjukkan Zeppelin bukan karya kelompok peretasan yang sama di balik serangan sebelumnya.
Karena ransomware Vega dan varian sebelumnya ditawarkan sebagai layanan di forum bawah tanah, para peneliti di BlackBerry Cylance percaya bahwa Zeppelin “berakhir di tangan yang berbeda” atau “dikembangkan kembali dari sumber yang dibeli / dicuri / bocor.”

Zeppelin dapat berbentuk file EXE, DLL atau didalalam file PowerShell loader dan memiliki fitur sebagai berikut:

  • IP Logger — to track the IP addresses and location of victims
  • Startup — to gain persistence
  • Delete backups — to stop certain services, disable the recovery of files, delete backups and shadow copies, etc.
  • Task-killer — kill attacker-specified processes
  • Auto-unlock — to unlock files that appear locked during encryption
  • Melt — to inject self-deletion thread to notepad.exe
  • UAC prompt — try running the ransomware with elevated privileges

Referensi:


Thehackernews.com
Microdepot.com
Trendmicro.com

Leave a Reply

Your email address will not be published. Required fields are marked *