Dopo una breve pausa il ransomware Zeppelin è tornato in attività, con il suo sistema aggiornato appare come un grande nella “Big Game Hunting”. Fa parte della famiglia di ransomware Vagas Locker, che includono Jamper, Storm (o Buran). Il primo rilevamento di Zeppelin risale al novembre 2019.
Come la stragrande maggioranza dei ransomware, Zeppelin utilizza la tattica RaaS (Ransomware as a Service) che è il programma di affiliazione dei gruppi, questa tattica viene utilizzata per espandere gli attacchi portando una maggiore notorietà al gruppo, anche se i creatori non trattengono tutto il valore ottenuto con il riscatto. Ma mentre questa strategia è estremamente vantaggiosa e redditizia per il gruppo, Zeppelin l’ha modificata in qualche modo.
Generalmente, i gruppi limitano e controllano i loro affiliati, Zeppelin non lo fa, i loro affiliati sono liberi di fare attacchi. Una delle uniche restrizioni del gruppo sono i paesi che fanno parte della CSI (Comunità degli Stati Indipendenti), il ransomware analizza la lingua del sistema invaso, e se la lingua è di uno di questi paesi, la crittografia non viene effettuata.
Questo tipo di cautela mostra una paura del gruppo con certi paesi, che può portare a un leggero sospetto su dove si nascondono questi gruppi.
Gli attacchi ransomware Zeppelin prendono di mira le grandi aziende in Europa e negli Stati Uniti. Uno dei punti che differenzia Zeppelin dagli altri ransomware è il fatto che il gruppo non minaccia le vittime con la fuga di dati, il focus del gruppo non è sulla fuga di dati, ma esclusivamente sul blocco dei sistemi interni dell’azienda attaccata.
Le tattiche di invasione non sono diverse dagli altri gruppi, le tattiche principali sono: Email di phishing, documenti Microsoft Word con macro dannose incorporate, caricatori PowerShell, connessioni ScreenConnect o VPN aperte, file EXE dannosi, file DLL dannosi.
Dopo che il ransomware riesce a penetrare nel sistema operativo, “dorme” per circa 26 secondi per evitare qualsiasi allarme di sistema, dopo quel tempo inizia la crittografia, dopo che la crittografia finisce i file vengono lasciati con l’estensione del gruppo e un messaggio per il pagamento del riscatto viene lasciato sul desktop.
Recuperare i File Criptati da Zeppelin Ransomware
Il recupero di dati criptati è diventato una specialità di Digital Recovery, abbiamo sviluppato tecnologie adatte a questo scopo. I nostri 20 anni di esperienza hanno generato in noi la competenza necessaria per superare qualsiasi barriera che la perdita di dati può imporre.
Abbiamo sviluppato le nostre soluzioni, che sono uniche, in conformità con il regolamento generale sulla protezione dei dati (GDPR) e forniamo l’accordo di riservatezza (NDA).
Siamo in grado di recuperare praticamente qualsiasi dispositivo di archiviazione, sia HDD, SSD, database, archivi, sistemi RAID, server e altri.
Dal primo contatto il cliente è accompagnato da uno dei nostri specialisti, dopo la fine del processo il cliente può verificare l’integrità dei dati con il monitoraggio dello specialista.
Nei casi in cui non è possibile inviare il dispositivo, possiamo effettuare il recupero a distanza, in un ambiente completamente controllato e sicuro.
Contate su Digital Recovery per recuperare i vostri dati.
