Rilevamento del Ransomware Zeppelin: CISA e FBI Emettono un Avviso Congiunto per una Protezione Rafforzata Contro le Minacce RaaS

Secondo il rapporto Detection as Code Innovation di SOC Prime che copre il panorama delle minacce del 2021-2022, il modello Ransomware-as-a-Service (RaaS) sta guadagnando un monopolio nell’arena delle minacce informatiche, con la maggior parte degli affiliati al ransomware coinvolti in diverse campagne RaaS.

L’11 agosto 2022, la CISA, insieme all’FBI, ha emesso un consultivo congiunto sulla sicurezza informatica sul ransomware Zeppelin coprendo gli IOC e i TTP relativi a queste varianti di ransomware per aiutare le organizzazioni a difendersi efficacemente dalle minacce in aumento. Gli attori Zeppelin operano sulla base del modello di business RaaS, prendendo di mira organizzazioni in diversi settori, tra cui difesa, istruzione, IT e sanità.

Rileva il Ransomware Zeppelin

Per mitigare i rischi di compromissione dal ransomware Zeppelin, i professionisti della sicurezza informatica cercano modi rapidi ed efficienti per identificare tempestivamente l’infezione nell’infrastruttura della propria organizzazione rafforzando le capacità di difesa informatica. La piattaforma Detection as Code di SOC Prime ha recentemente rilasciato un paio di regole Sigma basate sulla conformità create dal nostro attento sviluppatore del programma Threat Bounty Nattatorn Chuensangarun permettono ai team di difendere proattivamente contro gli attacchi ransomware Zeppelin. Ecco un link per ottenere accesso immediato alle rilevazioni arricchite di contesto utilizzando il motore di ricerca sulle minacce informatiche di SOC Prime, disponibile gratuitamente e senza registrazione: 

Rilevamento di firme di Check Point NGFW per il ransomware Zeppelin

Rilevamento di firme Fortinet per il ransomware Zeppelin

Le regole Sigma sopra menzionate possono essere utilizzate su 17 tecnologie SIEM, EDR e XDR e sono allineate con il framework MITRE ATT&CK® rivolgendosi alla tattica di Esecuzione insieme all’Esecuzione Utente (T1204) applicata come tecnica principale. 

Partecipa all’iniziativa crowdsourced di SOC Prime, Threat Bounty Program, per contribuire alla difesa informatica collaborativa scrivendo il tuo contenuto di rilevamento, ricevendo ricompense ricorrenti per il tuo contributo e guadagnando riconoscimento tra i colleghi del settore. 

Gli utenti registrati a SOC Prime possono anche usufruire dell’intera raccolta di regole Sigma disponibili per il rilevamento del ransomware Zeppelin. Fai clic sul pulsante Detect & Hunt per ottenere accesso agli algoritmi di rilevamento correlati disponibili nel repository del Threat Detection Marketplace della piattaforma di SOC Prime. In alternativa, esplora SOC Prime e approfondisci il contesto delle minacce informatiche relative al ransomware Zeppelin insieme a un elenco delle relative regole Sigma. Facendo clic sul pulsante Explore Threat Context di seguito, anche gli utenti non registrati possono trarre il massimo vantaggio dai preziosi metadati contestuali per un’indagine sulle minacce accelerata, incluse le referenze MITRE ATT&CK e CTI, i binari eseguibili pertinenti e ulteriori informazioni utili.

Detect & Hunt Explore Threat Context

Analisi del Ransomware Zeppelin

The l’ultimo avviso di sicurezza informatica emesso in collaborazione con CISA e FBI offre informazioni dettagliate sul ransomware Zeppelin e fornisce linee guida su come mitigare efficacemente la minaccia. Il ransomware Zeppelin appartiene alla famiglia di malware Vega, con il nome del gruppo attribuito a operazioni di ransomware tracciate come Vega o VegaLocker. Gli attori della minaccia utilizzano il ransomware Zeppelin dal 2019, prendendo di mira aziende e organizzazioni di infrastrutture critiche in diversi settori industriali. Si è anche osservato che i gestori del ransomware Zeppelin richiedono riscatti in Bitcoin per un valore superiore a un milione di dollari. 

Secondo il ricerca di Picus Labs, gli attori Zeppelin sono saliti alla ribalta nell’arena delle minacce informatiche sfruttando annunci di malware mirati al pubblico russofono. Tutte le varianti di ransomware distribuite dagli attori della minaccia avevano somiglianze in termini di codice, ma mostravano capacità distinte. Zeppelin appare altamente configurabile con la capacità di essere distribuito in più modi, come un file DDL o EXE e tramite il dropper PowerShell. Gli attori Zeppelin applicano la tattica della doppia estorsione per diffondere la loro ultima variante di ransomware sul sistema compromesso utilizzando l’esfiltrazione dei dati e costringendo attivamente le vittime a pagare il riscatto. 

Tra i metodi più popolari per l’intrusione e il dispiegamento del ransomware Zeppelin ci sono il Remote Desktop Protocol, gli exploit di vulnerabilità e i vettori di attacco di phishing.  

Per mitigare le minacce legate a Zeppelin, i ricercatori di sicurezza informatica raccomandano di dare priorità alle vulnerabilità sfruttate, attivare l’autenticazione multi-fattore su tutti i servizi dell’organizzazione come ulteriore strato di sicurezza, aggiornare alle versioni software più recenti e applicare altre migliori pratiche che aiutano a mantenere l’igiene della sicurezza.  

Le organizzazioni progressiste stanno cercando di adottare una strategia di cybersicurezza proattiva per potenziare le difese informatiche. Con la piattaforma Detection as Code di SOC Prime, i professionisti della sicurezza informatica possono trovare un modo semplificato ed efficiente per rafforzare le capacità di rilevamento e risposta alle minacce dell’organizzazione, oltre che accelerare la velocità di caccia alle minacce. Unendosi ai ranghi dei nostri Threat Bounty Program, gli aspiranti autori di contenuti di rilevamento hanno l’opportunità di arricchire l’esperienza collettiva del settore condividendo i loro algoritmi di rilevamento con la comunità globale della sicurezza informatica mentre monetizzano il loro contributo su base regolare.