ប្រភេទថ្មីនៃក្រុមគ្រួសារមេរោគ Vega ransomware ដែលមានឈ្មោះថា Zeppelin ថ្មីៗនេះត្រូវគេ ប្រទះឃើញនៅក្នុងក្រុមហ៊ុនបច្ចេកវិទ្យា និងក្រុមហ៊ុនថែទាំសុខភាពដែលផ្តោតលើទ្វីបអឺរ៉ុប អាមេរិក និងកាណាដា។ ទោះយ៉ាងណាក៏ដោយប្រសិនបើអ្នករស់នៅក្នុងប្រទេសរុស្ស៊ី ឬប្រទេសមួយចំនួន ផ្សេងទៀតនៃអតីតសហភាពសូវៀតដូចជាអ៊ុយក្រែន Belorussia និង Kazakhstan ព្រោះមរោគនេះ បញ្ចប់ប្រតិបត្តិការរបស់អ្នក ប្រសិនបើរកឃើញដោយខ្លួនឯងនៅលើម៉ាស៊ីនដែលមានទីតាំងនៅតំបន់ទាំងនេះ។
វាគួរឱ្យកត់សម្គាល់ និងគួរឱ្យចាប់អារម្មណ៍ពីព្រោះរាល់វ៉ារ្យ៉ង់មុនៗ នៃក្រុមគ្រួសារ Vega ដែលត្រូវគេស្គាល់ថា VegaLocker ត្រូវគេផ្តោតសំខាន់លើអ្នកប្រើនិយាយភាសារុស្ស៊ី ដែល បង្ហាញថា Zeppelin មិនមែនជាការងាររបស់ក្រុមលួចស្តាប់ដូចគ្នានៅពីក្រោយការវាយប្រហារមុនទេ។ ចាប់តាំងពីកម្មវិធី Vega ransomware និងវ៉ារ្យ៉ង់មុនរបស់វាត្រូវគេផ្តល់ជូនជាសេវាកម្មនៅលើ underground forum អ្នកស្រាវជ្រាវនៅឯក្រុមហ៊ុន BlackBerry Cylance ជឿជាក់ថា Zeppelin “ ស្ថិតនៅក្នុងដៃរបស់អ្នកគំរាមកំហែងផ្សេងៗគ្នា” ឬ “អភិវឌ្ឍឡើងវិញពីប្រភពដែលទិញ / លួច / លេចធ្លាយ”។
យោងតាមរបាយការណ៍របស់ក្រុមហ៊ុន BlackBerry Cylance ដែលចែករំលែកជាមួយ The Hacker News អោយដឹងថា Zeppelin គឺជាមេរោគដែលអាចកំណត់រចនាសម្ព័ន្ធខ្ពស់នៅ Delphi-based ដែលអាចត្រូវគេប្ដូរតាមបំណងយ៉ាងងាយស្រួលដើម្បីបើកដំណើរការ ឬបិទ មុខងារផ្សេងៗអាស្រ័យលើជនរងគ្រោះ ឬតម្រូវការរបស់អ្នកវាយប្រហារ។ Zeppelin អាចត្រូវ ដាក់ពង្រាយជា EXE, DLL ឬ wrapped នៅក្នុងកម្មវិធីផ្ទុកថាមពលអគ្គីសនី និងរួមបញ្ចូលនូវលក្ខណៈ ពិសេសដូចខាងក្រោម៖
IP Logger — to track the IP addresses and location of victims
Startup — to gain persistence
Delete backups — to stop certain services, disable the recovery of files, delete backups and shadow copies, etc.
Task-killer — kill attacker-specified processes
Auto-unlock — to unlock files that appear locked during encryption
Melt — to inject self-deletion thread to notepad.exe
UAC prompt — try running the ransomware with elevated privileges
ផ្អែកលើកម្មវិធីកំណត់រចនាសម្ព័ន្ធអ្នកវាយប្រហារកំណត់ពីចំណុចប្រទាក់អ្នកបង្កើត Zeppelin ក្នុង កំឡុងពេលបង្កើតប្រព័ន្ធគោលពីរនៃ ransomware មេរោគរាប់បញ្ចូលឯកសារនៅលើ drive និង ភាគហ៊ុនបណ្តាញទាំងអស់ ហើយអ៊ីនគ្រីបពួកវាជាមួយក្បួនដោះស្រាយដូចគ្នានឹងត្រូវប្រើ ដោយ Vega ផ្សេងទៀត។
“[Zeppelin] ប្រើការបញ្ចូលគ្នានៃស្តង់ដារនៃការអ៊ិនគ្រីបឯកសារស៊ីមេទ្រីជាមួយកូនសោដែល បង្កើតដោយចៃដន្យសម្រាប់ឯកសារនីមួយៗ (AES-256 នៅក្នុង CBC mode) និងការអ៊ិនគ្រីប asymmetric ត្រូវប្រើដើម្បីការពារកូនសោ session (ដោយប្រើការអនុវត្ត RSA តាមតម្រូវការដែល អាចបង្កើតនៅក្នុង in-house)។ ” បើយោងតាមអ្នកស្រាវជ្រាវពន្យល់។ “គួរឱ្យចាប់អារម្មណ៍គំរូមួយចំនួននឹងអ៊ិនគ្រីប 0x1000 bytes (4KB) ដំបូងជំនួសឱ្យ 0x10000 (65KB) ។ វាអាចជាកំហុសអចេតនា ឬជម្រើសដឹងដើម្បីបង្កើនល្បឿនដំណើរការអ៊ិនគ្រីប ខណៈពេលកំពុង បង្ហាញឯកសារភាគច្រើនដែលមិនអាចប្រើ។” ក្រៅពីមុខងារអ្វីដែលត្រូវបើកដំណើរការ និង ឯកសារអ្វីដែលត្រូវអ៊ិនគ្រីបអ្នកសាងសង់ Zeppelin ក៏អនុញ្ញាតឱ្យអ្នកវាយប្រហារកំណត់រចនាសម្ព័ន្ធ មាតិកានៃឯកសារអត្ថបទ ransom note text file ដែលវាធ្លាក់លើប្រព័ន្ធ និងបង្ហាញដល់ជនរងគ្រោះ បន្ទាប់ពីការអ៊ិនគ្រីបឯកសារ។ អ្នកស្រាវជ្រាវនិយាយថា “អ្នកស្រាវជ្រាវរបស់ក្រុមហ៊ុន BlackBerry រកឃើញនូវកំណែផ្សេងៗគ្នាជាច្រើនរាប់ចាប់ពីសារខ្លីៗរហូតដល់កំណត់ចំណាំ ransom notes ល្អិតល្អន់ដែលត្រូវនឹងអង្គការនីមួយៗ”។
សារទាំងអស់ណែនាំជនរងគ្រោះឱ្យទាក់ទងអ្នកវាយប្រហារតាមរយៈអាសយដ្ឋានអ៊ីមែលដែល ផ្តល់ ហើយដកស្រង់លេខអត្តសញ្ញាណប័ណ្ណផ្ទាល់ខ្លួនរបស់ពួកគេ។ ដើម្បីគេចពីការរកឃើញ Zeppelin ransomware ពឹងផ្អែកលើការលាក់បាំងជាច្រើនស្រទាប់រួមមានការប្រើប្រាស់ pserudo-random key ដែលអ៊ិនគ្រីបដោយប្រើលេខកូដដែលមានទំហំខុសៗគ្នាក៏ដូចជាការពន្យាពេល ក្នុងការប្រព្រឹត្តទៅនឹង sandboxs និងបញ្ឆោតយន្តការបញ្ឆោត។ Zeppelin ត្រូវគេរកឃើញដំបូងកាលពីជិតមួយខែមុននៅពេលដែលវាត្រូវចែកចាយតាមរយៈ គេហទំព័រ water-holed ជាមួយនឹងឧបករណ៍ផ្ទុកទិន្នន័យ PowerShell ដែលត្រូវបង្ហោះនៅលើ គេហទំព័រ Pastebin។ ក្រុមអ្នកស្រាវជ្រាវជឿជាក់ថាយ៉ាងហោចណាស់ការវាយប្រហារខ្លះរបស់ Zeppelin ត្រូវធ្វើឡើងតាមរយៈ MSSPs ដែលនឹងមានភាពស្រដៀងគ្នាទៅនឹងយុទ្ធនាការដែល មានគោលដៅខ្ពស់ថ្មីមួយទៀតដែលប្រើសូហ្វវែរឈ្មោះ Sodinokibi ដែលត្រូវគេស្គាល់ថា Sodin ឬ REvil។ ក្រុមអ្នកស្រាវជ្រាវក៏ចែករំលែកសូចនាករនៃការសម្របសម្រួល (IoC) នៅក្នុង ការសរសេរប្លក់របស់ខ្លួនផងដែរ។ នៅពេលសរសេរស្ទើរតែ 30 ភាគរយនៃដំណោះស្រាយកំចាត់ មេរោគមិនអាច detect ការគំរាមកំហែងនេះ។