Après une courte pause, le ransomware Zeppelin reprend du service. Avec son système mis à jour, il apparaît comme un gros morceau dans la chasse au gros gibier. Il fait partie de la famille de ransomware Vagas Locker, qui comprend Jamper, Storm (ou Buran). La première détection de Zeppelin a eu lieu en novembre 2019.
Comme la grande majorité des ransomwares, Zeppelin utilise la tactique RaaS (Ransomware as a Service) qui est le programme d’affiliation des groupes, cette tactique est utilisée pour étendre les attaques apportant une plus grande renommée au groupe, même si les créateurs ne gardent pas toute la valeur obtenue avec la rançon. Mais si cette stratégie est extrêmement avantageuse et rentable pour le groupe, Zeppelin l’a quelque peu modifiée.
En général, les groupes restreignent et contrôlent leurs affiliés, ce qui n’est pas le cas de Zeppelin, leurs affiliés sont libres de mener des attaques. L’une des seules restrictions du groupe concerne les pays faisant partie de la CEI (Communauté des États indépendants). Le ransomware analyse la langue du système envahi, et si la langue est celle d’un de ces pays, le cryptage n’est pas effectué.
Ce genre de précaution montre une crainte du groupe vis-à-vis de certains pays, ce qui peut conduire à une légère suspicion quant à l’endroit où se cachent ces groupes.
Les attaques de ransomware Zeppelin visent de grandes entreprises en Europe et aux États-Unis. L’un des points qui différencient Zeppelin des autres ransomwares est le fait que le groupe ne menace pas les victimes de fuite de données. L’objectif du groupe n’est pas la fuite de données, mais uniquement le verrouillage des systèmes internes de l’entreprise attaquée.
Les tactiques d’invasion ne diffèrent pas des autres groupes, les principales tactiques sont : Courriels de phishing, documents Microsoft Word contenant des macros malveillantes, chargeurs PowerShell, connexions ScreenConnect ou VPN ouvertes, fichiers EXE et DLL malveillants.
Une fois que le ransomware a réussi à s’introduire dans le système d’exploitation, il “dort” pendant environ 26 secondes pour éviter toute alarme système, après quoi le cryptage commence. Une fois le cryptage terminé, les fichiers sont laissés avec l’extension de groupe et un message demandant le paiement de la rançon est laissé sur le bureau.
Récupérer les Fichiers Cryptés par Zeppelin Ransomware
La récupération de données cryptées est devenue une spécialité de Digital Recovery, nous avons développé des technologies adaptées à cet effet. Nos 20 ans d’expérience ont généré en nous l’expertise nécessaire pour surmonter tout obstacle que la perte de données peut imposer.
Nous avons développé nos solutions, qui sont uniques, conformément à la loi générale sur la protection des données (LGPD) et fournissons l’accord de confidentialité (NDA).
Nous pouvons récupérer pratiquement n’importe quel périphérique de stockage, qu’il s’agisse de disques durs, de disques SSD, de bases de données, de stockages, de systèmes RAID, de serveurs et autres.
Dès le premier contact, le client est accompagné par l’un de nos spécialistes. À la fin du processus, le client peut vérifier l’intégrité des données grâce au suivi du spécialiste.
Dans les cas où l’envoi de l’appareil n’est pas possible, nous pouvons effectuer la récupération à distance, dans un environnement entièrement contrôlé et sécurisé.
Comptez sur Digital Recovery pour récupérer vos données.
