MB Tech

Ransomware Zeppelin

13 August, 2022

Compartir

Ransomware Zeppelin

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA, por sus siglas en inglés) ha lanzado una alerta sobre el ransomware Zeppelin para difundir los indicadores de compromiso (IOC) y tácticas, técnicas y procedimientos (TTP) a los defensores de la red para ayudar a las organizaciones a protegerse contra el ransomware.

Alentamos a las organizaciones a implementar las recomendaciones de mitigación para reducir la probabilidad y el impacto de los incidentes de ransomware. 

El ransomware Zeppelin es un derivado de la familia de malware Vega basada en Delphi y funciona como Ransomware-as-a-service (RaaS). Desde 2019 hasta al menos junio de 2022, los actores han utilizado este malware para apuntar a una amplia gama de empresas y organizaciones de infraestructura crítica, tales como contratistas de defensa, instituciones educativas, fabricantes, empresas de tecnología y, especialmente, organizaciones en las industrias de salud y atención médica. Se sabe que los actores de Zeppelin solicitan pagos de rescate en Bitcoin, con cantidades iniciales que van desde varios miles de dólares hasta más de un millón de dólares. 

Los usuarios de Zeppelin obtienen acceso a las redes de las víctimas a través de la explotación de vulnerabilidades en sistemas orientados a Internet para obtener acceso y campañas de phishing. Antes de implementar el ransomware Zeppelin, los atacantes pasan de una a dos semanas mapeando o enumerando la red atacada para identificar enclaves de datos, incluido el almacenamiento en la nube y las copias de seguridad de la red. Los ciberdelincuentes pueden implementar el ransomware Zeppelin como un archivo .dll o .exe o contenido dentro de un cargador de PowerShell. 

Antes del cifrado, los actores de Zeppelin extraen archivos de datos confidenciales de la empresa para venderlos o publicarlos en caso de que la víctima se niegue a pagar el rescate. 

Una vez que Zeppelin ha ingresado a la infraestructura, se instala, se propaga por todo el dispositivo infectado y comienza el cifrado de archivos. Una vez completado, aparece una nota en el Bloc de notas que informa a las víctimas que han sido atacadas y que se debe pagar un rescate por la devolución de sus datos. A menudo hay una oferta de descifrado gratuito de un solo archivo que se ofrece como prueba de que el descifrado posiblemente se utilice como señuelo para fomentar el pago. 

Mitigaciones

  • Implementar un plan de recuperación para mantener y conservar múltiples copias de datos sensibles y servidores en una ubicación segura, segmentada y separada físicamente (es decir, disco duro, dispositivo de almacenamiento, la nube).
  • Requerir que todas las cuentas con inicios de sesión con contraseña cumplan con estándares de seguridad como usar contraseñas con al menos 8 caracteres, evitar la reutilización de contraseñas, implementar múltiples bloqueos de cuentas por intento fallido de inicio de sesión, deshabilitar las "sugerencias" de contraseña, entre otros.
  • Requerir credenciales de administrador para instalar el software.
  • Requerir autenticación multifactor para todos los servicios en la medida de lo posible, particularmente para correo web, redes privadas virtuales y cuentas que acceden a sistemas críticos.
  • Mantener todos los sistemas operativos, software y firmware actualizados. 
  • Segmentar las redes para evitar la propagación de ransomware. 
  • Identificar, detectar e investigar la actividad anormal y el posible cruce del ransomware indicado con una herramienta de monitoreo de redes
  • Instalar, actualizar periódicamente y habilitar la detección en tiempo real del software antivirus en todos los hosts.
  • Revisar los controladores de dominio, los servidores, las estaciones de trabajo y los directorios activos en busca de cuentas nuevas o no reconocidas.
  • Auditar cuentas de usuario con privilegios administrativos y configurar controles de acceso según el principio de mínimo privilegio.
  • Deshabilitar los puertos no utilizados.
  • Implementar el acceso basado en el tiempo para las cuentas establecidas en el nivel de administrador y superior. 
  • Deshabilitar las actividades y los permisos de línea de comandos y secuencias de comandos. 
  • Mantener copias de seguridad fuera de línea de los datos y realizar copias de seguridad y restauración con regularidad. 
  • Asegurarse de que todos los datos de respaldo estén encriptados, sean inmutables (es decir, no se puedan modificar ni eliminar) y cubran toda la infraestructura de datos de la organización. 


Para más información sobre acciones de mitigación y prevención, contacte con nuestros expertos. 


Fuente: https://www.cisa.gov/uscert/ncas/alerts/aa22-223a  

Imagen: www.visualhunt.com 


También te puede interesar

¿Qué es el Cifrado de Datos y cómo beneficia a tu empresa?

30 December, 2021

El cifrado o encriptación de datos en las empresas evita fugas de información y mitiga el coste de su impacto. Es una de las mejores soluciones de seguridad para proteger la información sensible, pero debes saber qué documentos cifrar y cómo implantarlo de forma efectiva. ¿Cómo funciona el cifrado de datos?Cuando se comparte información o datos mediante Internet, atraviesan una serie de dispositivos de red en todo el mundo que forman parte de la Internet pública. A medida que los datos viajan por la Internet pública, existe una posibilidad de que hackers la comprometan o roben. Para evitar esto

Leer publicación

Ransomware Hive

22 November, 2022

Hive RansomwareLa Oficina Federal de Investigaciones (FBI), la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) han publicado una alerta en conjunto para difundir detalles técnicos de Hive Ransomware identificados a través de investigaciones del FBI en noviembre de 2022. Hasta noviembre de 2022, los actores del ransomware Hive han atacado a más de 1300 empresas en todo el mundo y han recibido aproximadamente 100 millones de dólares en pagos de rescate, según información del FBI. Hive sigue el modelo de ransomware-as-a-service (RaaS) en el que los desarrolladores crean, mantienen

Leer publicación

¿Cómo proteger a tu empresa de un ataque DDOS?

30 December, 2021

Los ataques de Denegación Distribuida de Servicios (DDoS, por sus siglas en inglés) se presentan como flujos inusuales de tráfico dentro de un sitio web que hacen que este colapse, para entonces volverse vulnerables y ser atacados por los cibercriminales. ¿Cómo protegerse de un ataque DDoS?Saber diferenciar entre tráfico normal y anormal. Lo mas recomendable es cerciorarse constantemente de las direcciones IP de donde proviene este tráfico, y los canales que usa para llegar a nuestros servidores, si vemos que es de procedencia dudosa, lo mejor es bloquear esas IP para evitar que continúen con l

Leer publicación