Détection du Rançongiciel Zeppelin : CISA et FBI Émettent un Avis Conjoint pour une Protection Renforcée Contre les Menaces RaaS
Table des matières :
Selon le rapport d’innovation Detection as Code de SOC Prime couvrant le paysage des menaces de 2021-2022, le modèle Ransomware-as-a-Service (RaaS) monopolise l’arène des cybermenaces, avec la majorité des affiliés de ransomware impliqués dans diverses campagnes RaaS.
Le 11 août 2022, CISA, en collaboration avec le FBI, a publié un avis conjoint de cybersécurité sur le ransomware Zeppelin couvrant les IOC et TTP liés à ces variantes de ransomware pour aider les organisations à se défendre efficacement contre les menaces croissantes. Les acteurs de Zeppelin opèrent sur le modèle économique RaaS, ciblant des organisations dans multiples secteurs, y compris la défense, l’éducation, l’informatique et la santé.
Détecter le ransomware Zeppelin
Pour atténuer les risques de compromission par le ransomware Zeppelin, les praticiens de la cybersécurité recherchent des moyens rapides et efficaces d’identifier rapidement l’infection dans l’infrastructure de leur organisation en renforçant les capacités de défense cyber. La plateforme Detection as Code de SOC Prime a récemment publié quelques règles Sigma basées sur la conformité, conçues par notre développeur Threat Bounty perspicace Nattatorn Chuensangarun permettant aux organisations de se défendre proactivement contre les attaques de ransomware Zeppelin. Voici un lien pour accéder instantanément aux détections contextuelles enrichies en utilisant le moteur de recherche de menaces cyber SOC Prime, disponible gratuitement et sans inscription :
Détection de signature Check Point NGFW pour le ransomware Zeppelin
Détection de signature Fortinet pour le ransomware Zeppelin
Les règles Sigma référencées ci-dessus peuvent être utilisées sur 17 technologies SIEM, EDR et XDR et sont alignées avec le cadre MITRE ATT&CK® abordant la tactique d’Exécution avec l’Exécution par l’utilisateur (T1204) appliquée comme technique principale.
Participez à l’initiative participative de SOC Prime, le Threat Bounty Program, pour contribuer à la défense cyber collaborative en créant votre propre contenu de détection, en recevant des récompenses récurrentes pour votre contribution, et en vous faisant reconnaître parmi vos pairs de l’industrie.
Les utilisateurs enregistrés de SOC Prime peuvent également profiter de l’ensemble de la collection de règles Sigma disponibles pour la détection du ransomware Zeppelin. Cliquez sur le bouton Detect & Hunt pour accéder aux algorithmes de détection associés disponibles dans le dépôt de marché de détection des menaces de la plateforme SOC Prime. Alternativement, parcourez SOC Prime et approfondissez le contexte complet des menaces cyber liées au ransomware Zeppelin en conjonction avec une liste de règles Sigma pertinentes. En cliquant sur le bouton Explore Threat Context ci-dessous, même les utilisateurs non enregistrés peuvent tirer le meilleur parti des métadonnées contextuelles précieuses pour une enquête accélérée sur les menaces, y compris les références MITRE ATT&CK et CTI, les binaires exécutables pertinents et d’autres informations exploitables.
Detect & Hunt Explore Threat Context
Analyse du ransomware Zeppelin
The dernière alerte de cybersécurité émise en collaboration avec CISA et le FBI, obtient des informations sur le ransomware Zeppelin et fournit des lignes directrices sur la façon de pallier efficacement la menace. Le ransomware Zeppelin appartient à la famille de malwares Vega, avec le nom du groupe attribué aux opérations de ransomware suivies sous Vega ou VegaLocker. Les acteurs de la menace exploitent le ransomware Zeppelin depuis 2019, ciblant les entreprises et les organisations d’infrastructures critiques dans divers secteurs industriels. Les mainteneurs du ransomware Zeppelin ont également été observés en train de demander des rançons en Bitcoin s’élevant à plus d’un million de dollars.
Selon les recherches de Picus Labs, les acteurs de Zeppelin sont apparus sur le devant de la scène des menaces cyber en utilisant des publicités de malwares visant le public russophone. Toutes les variantes de ransomware livrées par les acteurs de la menace avaient des similitudes en termes de code, mais affichaient des capacités distinctes. Zeppelin semble être hautement configurable avec la capacité d’être déployé de multiples façons, en tant que fichier DDL ou EXE, et via le dropper PowerShell. Les acteurs de Zeppelin appliquent la tactique de la double extorsion pour propager leur dernière variante de ransomware sur le système compromis, en utilisant l’exfiltration de données et en forçant activement les victimes à payer la rançon.
Parmi les méthodes les plus populaires pour l’intrusion et le déploiement du ransomware Zeppelin, on trouve le protocole Remote Desktop, les exploits de vulnérabilité et les vecteurs d’attaque par phishing.
Pour atténuer les menaces liées à Zeppelin, les chercheurs en cybersécurité recommandent de prioriser les vulnérabilités exploitées, d’activer l’authentification multi-facteurs sur tous les services de l’organisation comme couche de sécurité supplémentaire, de mettre à niveau vers les dernières versions logicielles et d’appliquer d’autres meilleures pratiques qui aident à maintenir l’hygiène de sécurité.
Les organisations progressistes s’efforcent d’adopter une stratégie de cybersécurité proactive pour renforcer les défenses cyber. Avec la plateforme Detection as Code de SOC Prime, les praticiens de la cybersécurité peuvent trouver un moyen simplifié et efficace de renforcer les capacités de détection et de réponse aux menaces de l’organisation, ainsi que d’accélérer la vitesse de chasse aux menaces. En rejoignant les rangs de nos Threat Bounty Program, les auteurs de contenus de détection aspirants ont l’opportunité d’enrichir l’expertise collective de l’industrie en partageant leurs algorithmes de détection avec la communauté mondiale de la cybersécurité tout en monétisant régulièrement leur contribution.
