Die Cyberkriminellen hinter der Zeppelin Ransomware verbreiten nach Monaten der Untätigkeit erneut ihre berüchtigte Schadsoftware.
Die Entwickler der erstmals im November 2019 entdeckten Zeppelin Ransomware sind offenbar nach einer kleinen Auszeit zurück im Viren-Geschäft. Sie haben Medienberichten zufolge begonnen, neue Versionen der Malware zu verbreiten.
Zeppelin Ransomware hat Europa im Visier
Vergangenen Monat wurde eine neue Version der Malware in einem Hacker-Forum veröffentlicht. Die zirkulierende Schadsoftware ist eine neue Fassung der Vega/VegaLocker-Ransomware und firmiert auch unter dem Namen Buran. Der Unterschied zu Vega besteht darin, dass es Zeppelin auf hochrangige Technologie- und Gesundheitsunternehmen in westlichen Ländern abzielt und nicht auf Systeme in Osteuropa.
Klassischerweise suchen die Entwickler bei Ransomware-as-a-Service-Operationen (RaaS) nach Partnern, die ihrerseits in ein Opfernetzwerk eindringen. Die Komplizen führen die Attacke durch und teilen sich das Lösegeld mit den Entwicklern. Aber nicht so in diesem Fall: Die Betreiber hinter dem Trojaner verkaufen ihre Schadsoftware in Untergrundforen und lassen ihren Käufern freien Handelsspielraum. Kunden können also selbst darüber bestimmen, wie sie die Malware einsetzen wollen.
Virus wartet auf Websites
Zeppelin greift vermutlich stark auf Waterholing-Angriffe zurück. Bei diesen lauern die Cyberkriminellen auf bestimmten mit der Malware infizierten Websites auf ihre Ziele. Sie antizipieren also, welche Seiten ihre Opfer besuchen. Sobald Zeppelin in die Infrastruktur eingedrungen ist, verbreitet es sich auf dem infizierten Gerät. Daraufhin beginnt die Software, Dateien zu verschlüsseln. Was verschlüsselt wird, kann der Bedrohungsakteur dabei selbst konfigurieren.
Kostspielige Malware
Das Unternehmen für Bedrohungsprävention und Verlustvermeidung Advanced Intel (AdvIntel) erklärte nun, dass die Aktivitäten der Zeppelin-Entwickler im März deutlich angezogen haben. Sie hatten demzufolge zunächst „ein großes Update für die Software“ zusammen mit einer neuen Verkaufsrunde angekündigt. In einem Bericht sagt AdvIntel-Forschungschef Yelisey Boguslavskiy, dass die aktuelle Edition mit einem Preisschild von 2.300 US-Dollar pro Core-Build versehen ist.
Nach dem großen Update veröffentlichten die Zeppelin-Entwickler am 27. April eine neue Variante der Malware. Diese brachte nur wenige Änderungen in Bezug auf die Funktionen, erhöhte dafür allerdings die Stabilität der Verschlüsselung.
Tarnkappe.info
