Detección de Ransomware Zeppelin: CISA y el FBI Emiten un Aviso Conjunto para Mejorar la Protección Contra Amenazas de RaaS
Tabla de contenidos:
Según el Informe de Innovación en Detección como Código de SOC Prime cubre el panorama de amenazas de 2021-2022, el modelo de Ransomware como Servicio (RaaS) está ganando un monopolio en el ámbito de las amenazas cibernéticas, con la mayoría de los afiliados de ransomware involucrados en diversas campañas de RaaS. covering the threat landscape of 2021-2022, the Ransomware-as-a-Service (RaaS) model is gaining a monopoly in the cyber threat arena, with the majority of ransomware affiliates involved in diverse RaaS campaigns.
El 11 de agosto de 2022, CISA, junto con el FBI, emitió una asesoramiento conjunto de ciberseguridad sobre el ransomware Zeppelin cubriendo IOCs y TTPs relacionados con estas variantes de ransomware para ayudar a las organizaciones a defenderse eficazmente contra amenazas en aumento. Los actores de Zeppelin operan basándose en el modelo de negocio RaaS, apuntando a organizaciones en múltiples industrias, incluyendo defensa, educación, TI y salud.
Detectar Ransomware Zeppelin
Para mitigar los riesgos de compromiso por ransomware Zeppelin, los profesionales de ciberseguridad buscan formas rápidas y eficientes de identificar a tiempo la infección en la infraestructura de su organización fortaleciendo las capacidades de defensa cibernética. La plataforma de Detección como Código de SOC Prime ha lanzado recientemente un par de normas Sigma basadas en Cumplimiento Sigma rules creadas por nuestro desarrollador de Bounty de Amenazas Nattatorn Chuensangarun permitiendo a las organizaciones defenderse proactivamente contra ataques de ransomware Zeppelin. Aquí hay un enlace para obtener acceso instantáneo a las detecciones enriquecidas con contexto relacionadas aprovechando el Motor de Búsqueda de Amenazas Cibernéticas de SOC Prime, disponible de forma gratuita y sin registro:
Detección de Firma de Check Point NGFW para Ransomware Zeppelin
Detección de Firma de Fortinet para Ransomware Zeppelin
Las normas Sigma referenciadas anteriormente pueden ser usadas en 17 tecnologías SIEM, EDR y XDR y están alineadas con el marco MITRE ATT&CK® abordando la táctica de Ejecución junto con la Ejecución de Usuario (T1204) aplicada como su técnica principal.
Participa en la iniciativa colaborativa de SOC Prime, Programa Threat Bounty, para contribuir a la defensa cibernética colaborativa redactando tu propio contenido de detección, recibiendo recompensas recurrentes por tu contribución y ganando reconocimiento entre tus pares de la industria.
Los usuarios registrados de SOC Prime también pueden aprovechar la colección completa de normas Sigma disponibles para la detección de ransomware Zeppelin. Haz clic en el botón Detectar & Cazar para obtener acceso a los algoritmos de detección relacionados disponibles en el repositorio del Marketplace de Detección de Amenazas de la plataforma de SOC Prime. Alternativamente, explora SOC Prime y profundiza en el contexto de amenazas cibernéticas relacionadas con el ransomware Zeppelin junto con una lista de normas Sigma relevantes. Al hacer clic en el botón Explorar Contexto de Amenazas a continuación, incluso los usuarios no registrados pueden aprovechar al máximo los valiosos metadatos contextuales para la investigación acelerada de amenazas, incluidas referencias MITRE ATT&CK y CTI, binarios ejecutables relevantes y más información procesable.
Detectar & Cazar Explorar Contexto de Amenazas
Análisis del Ransomware Zeppelin
The la última alerta de ciberseguridad emitida en colaboración con CISA y FBI obtiene información sobre el ransomware Zeppelin y proporciona pautas sobre cómo mitigar efectivamente la amenaza. El ransomware Zeppelin pertenece a la familia de malware Vega, con el nombre del grupo atribuido a operaciones de ransomware rastreadas como Vega o VegaLocker. Los actores de amenazas han estado utilizando el ransomware Zeppelin desde 2019, apuntando a empresas y organizaciones de infraestructura crítica en diversos sectores industriales. También se ha observado a los mantenedores del ransomware Zeppelin solicitando pagos de rescate en Bitcoin por montos superiores a un millón de dólares.
Según la investigación de Picus Labs, los actores de Zeppelin se popularizaron en el ámbito de las amenazas cibernéticas al aprovechar anuncios de malware dirigidos a la audiencia de habla rusa. Todas las variantes de ransomware entregadas por los actores de amenazas tenían similitudes en términos de código, sin embargo, mostraban capacidades diferenciadas. Zeppelin parece ser altamente configurable con la capacidad de desplegarse de múltiples maneras, como un archivo DDL o EXE, y a través del dropper de PowerShell. Los actores de Zeppelin aplican la táctica de doble extorsión para propagar su última variante de ransomware en el sistema comprometido utilizando la exfiltración de datos y forzando activamente a las víctimas a pagar el rescate.
Entre los métodos más populares para la intrusión y despliegue del ransomware Zeppelin se encuentran el Protocolo de Escritorio Remoto, vulnerabilidad de exploits y vectores de ataque de phishing.
Para mitigar las amenazas relacionadas con Zeppelin, los investigadores de ciberseguridad recomiendan priorizar las vulnerabilidades explotadas, habilitar la autenticación multifactor en todos los servicios de la organización como una capa adicional de seguridad, actualizar a las versiones más recientes de software y aplicar otras prácticas recomendadas que ayuden a mantener la higiene de seguridad.
Las organizaciones progresistas se esfuerzan por adoptar la estrategia de ciberseguridad proactiva para fortalecer las defensas cibernéticas. Con la plataforma de Detección como Código de SOC Prime, los profesionales de ciberseguridad pueden encontrar una forma optimizada y eficiente de reforzar las capacidades de detección y respuesta ante amenazas de la organización, así como acelerar la velocidad de caza de amenazas. Al unirse a las filas de nuestros Programa Threat Bounty, los aspirantes a autores de contenido de detección tienen la oportunidad de enriquecer la experiencia colectiva de la industria compartiendo sus algoritmos de detección con la comunidad global de ciberseguridad mientras monetizan su contribución de forma regular.
