ZEPELLIN, Nueva variante del ransomware Vega ataca en EE.UU. y Europa
Una firma de investigación de seguridad detectó una variante de un poderoso ransomware que está programado para atacar a empresas de Estados Unidos y Europa. Se trata de Zepellin y es una variante del Ransomware-as-a-Service (RaaS) basada en Delphi conocido en los bajos fondos como Vega.
Investigadores de seguridad de ThreatVector publicaron un informe acerca de Zepellin, calificado por los especialistas como una nueva variante de ransomware que afecta principalmente a empresarios en Estados Unidos y Europa. De acuerdo con los investigadores, los atacantes implementan Zepellin en las compañías de tecnología y atención médica, este poderoso malware secuestra la computadora de los usuarios y se propaga a través de la cadena de suministro de los proveedores de servicios de seguridad gestionados (MSSP).
Las primeras muestras de Zeppelin, con marcas de tiempo de compilación no anteriores al 6 de noviembre de 2019, se descubrieron dirigidas a un puñado de compañías de tecnología y atención médica cuidadosamente seleccionadas en Europa y los EE. UU.
Una variante del ransomware Vega
Debido a que el objetivo de los hackers está enfocado en Estados Unidos y Europa, Zeppelin muestra una diferencia con respecto a este, sin embargo, la base del virus corresponde al ransomware VegaLocker.
Masad Stealer, el nuevo malware capaz de robar las billeteras de criptomonedas
Zepellin es un malware que puede configurarse para ejecutarse desde un archivos EXE, DLL o agruparse en un cargador o PowerShell, sin embargo, se almacena en una carpeta .zeppelin antes de propagarse al resto de archivos.
Todas las cadenas sensibles en los binarios de Zeppelin se ofuscan con una clave RC4 pseudoaleatoria diferente de 32 bytes, antepuesta a cada cadena encriptada.
Los investigadores aseguran que la ofuscación ayuda a Zepellin a pasar desapercibido ante cualquier análisis de malware, lo hace lo que hace un virus impenetrable hasta el momento.
Antes de atacar, el malware valida que la dirección IP de los dispositivos se encuentre entre los países Estados Unidos, Canadá o países de Europa y pertenezca al negocio de tecnología. Esto es una muestra de que los desarrolladores de ransomware buscan mejorar su técnica de ataque y evolucionar a través del tiempo.
Ver información original al respecto en Fuente>
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.