Detecção do Ransomware Zeppelin: CISA e FBI Emitiram um Aviso Conjunto para Proteção Aprimorada contra Ameaças RaaS
Índice:
De acordo com o Relatório de Inovação em Detecção como Código da SOC Prime cobrindo o cenário de ameaças de 2021-2022, o modelo Ransomware-como-um-Serviço (RaaS) está ganhando um monopólio no campo das ameaças cibernéticas, com a maioria dos afiliados de ransomware envolvidos em diversas campanhas de RaaS.
Em 11 de agosto de 2022, a CISA, em conjunto com o FBI, emitiu um aviso conjunto de cibersegurança sobre o ransomware Zeppelin cobrindo IOCs e TTPs relacionados a estas variantes de ransomware para ajudar as organizações a se defenderem efetivamente contra ameaças crescentes. Os atores do Zeppelin operam com base no modelo de negócios RaaS, visando organizações em vários setores, incluindo defesa, educação, TI e saúde.
Detectar Ransomware Zeppelin
Para mitigar os riscos de comprometimento pelo ransomware Zeppelin, os profissionais de cibersegurança estão buscando maneiras rápidas e eficientes de identificar prontamente a infecção na infraestrutura de sua organização fortalecendo as capacidades de defesa cibernética. A plataforma Detection as Code da SOC Prime lançou recentemente algumas regras Sigma elaboradas pelo nosso atento desenvolvedor do Threat Bounty Nattatorn Chuensangarun permitindo que as organizações se defendam de forma proativa contra ataques de ransomware Zeppelin. Aqui está um link para obter acesso instantâneo às detecções contextualmente enriquecidas utilizando o Cyber Threats Search Engine da SOC Prime, disponíveis gratuitamente e sem registro:
Detecção de Assinatura NGFW do Check Point para Ransomware Zeppelin
Detecção de Assinatura da Fortinet para Ransomware Zeppelin
As regras Sigma referenciadas acima podem ser usadas em 17 tecnologias de SIEM, EDR e XDR e estão alinhadas com o framework MITRE ATT&CK® abordando a tática de Execução juntamente com a Execução pelo Usuário (T1204) aplicada como sua técnica principal.
Participe da iniciativa colaborativa da SOC Prime, Programa Threat Bounty, para contribuir com a defesa cibernética colaborativa escrevendo seu próprio conteúdo de detecção, recebendo recompensas recorrentes por sua contribuição e ganhando reconhecimento entre os colegas da indústria.
Os usuários registrados na SOC Prime também podem tirar proveito de toda a coleção de regras Sigma disponíveis para detecção do ransomware Zeppelin. Clique no botão Detect & Hunt para obter acesso aos algoritmos de detecção relacionados disponíveis no repositório do Marketplace de Detecção de Ameaças da plataforma da SOC Prime. Alternativamente, navegue pela SOC Prime e explore o contexto abrangente da ameaça cibernética relacionado ao ransomware Zeppelin juntamente com uma lista de regras Sigma relevantes. Ao clicar no botão Explore Threat Context abaixo, mesmo usuários não registrados podem aproveitar ao máximo os valiosos metadados contextuais para investigação acelerada de ameaças, incluindo referências MITRE ATT&CK e CTI, binários executáveis relevantes e mais insights acionáveis.
Detect & Hunt Explore Threat Context
Análise do Ransomware Zeppelin
The O alerta de cibersegurança mais recente emitido em colaboração com a CISA e o FBI fornece insights sobre o ransomware Zeppelin e orientações sobre como mitigar efetivamente a ameaça. O ransomware Zeppelin pertence à família de malware Vega, com o nome do grupo atribuído às operações de ransomware rastreadas como Vega ou VegaLocker. Os atores da ameaça têm aproveitado o ransomware Zeppelin desde 2019, visando empresas e organizações de infraestrutura crítica em diversos setores industriais. Também foi observado que os mantenedores do ransomware Zeppelin solicitam resgates em Bitcoin que somam mais de um milhão de dólares.
De acordo com a pesquisa do Picus Labs, os atores do Zeppelin ganharam destaque no campo das ameaças cibernéticas ao se valer de anúncios de malware direcionados ao público falante de russo. Todas as variantes de ransomware entregues pelos atores de ameaça tinham semelhanças em termos de código, contudo, exibiam capacidades distintas. O Zeppelin parece ser altamente configurável, com a capacidade de ser implantado em vários formatos, como um arquivo DDL ou EXE, e via o dropper PowerShell. Os atores do Zeppelin aplicam a tática de dupla extorsão para espalhar sua variante de ransomware mais recente no sistema comprometido usando exfiltração de dados e forçando ativamente as vítimas a pagarem o resgate.
Entre os métodos mais populares para intrusão e implementação do ransomware Zeppelin estão o Protocolo de Desktop Remoto, exploração de vulnerabilidades e vetores de ataque de phishing.
Para mitigar as ameaças relacionadas ao Zeppelin, os pesquisadores de cibersegurança recomendam priorizar as vulnerabilidades exploradas, habilitar a autenticação multifator em todos os serviços da organização como uma camada extra de segurança, atualizar para as versões mais recentes do software e aplicar outras melhores práticas que ajudam a manter a higiene de segurança.
Organizações progressistas estão se esforçando para adotar uma estratégia de cibersegurança proativa para fortalecer as defesas cibernéticas. Com a plataforma Detection as Code da SOC Prime, os profissionais de cibersegurança podem encontrar uma maneira simplificada e eficiente de reforçar as capacidades de detecção e resposta a ameaças da organização, bem como acelerar a velocidade de caça a ameaças. Ao se juntar às nossas fileiras Programa Threat Bounty, autores aspirantes de conteúdo de detecção têm a oportunidade de enriquecer o conhecimento coletivo da indústria compartilhando seus algoritmos de detecção com a comunidade global de cibersegurança enquanto monetizam suas contribuições regularmente.
