La pandilla de ransomware Zeppelin se ha unido a las filas de cepas de ransomware que también recopilarán y robarán los datos de una víctima antes de cifrar los archivos.
Zeppelin se une a Maze, REvil (Sodinokibi), Snatch y el ya desaparecido ransomware Merry Xmas para hacerlo.
El descubrimiento de que Zeppelin también roba datos de las víctimas antes de que el proceso de encriptación fuera realizado por la firma de ciberseguridad Morphisec mientras investigaba y brindaba servicios de respuesta a incidentes a una víctima de Zeppelin en el sector inmobiliario.
«En este caso, tenemos un actor de amenazas que united states técnicas similares como en el incidente de Wipro: atacar servidores, detener todos los procesos de la base de datos, copiar la copia de seguridad y luego implementar el ransomware, usando todo esto con una herramienta remota de TI legítima». Gorelik, Morphisec CTO, dijo ayer en una entrevista.
Gorelik le dijo a ZDNet que su compañía identificó enlaces a un servidor donde los delincuentes estaban enviando las copias de seguridad de la foundation de datos robadas, «una fuente de datos que podría indicar violaciones importantes de datos de algunas compañías».
El CTO de Morphisec dijo que contactaron a las autoridades con respecto a la violación y al servidor de exfiltración de datos.
El informe detallado de Morphisec sobre esta intrusión distinct se puede encontrar en el site de la compañía. El informe y sus hallazgos son consistentes con un Informe de Cylance de la semana pasada, que documentó por primera vez el ransomware Zeppelin, pero no el robo de datos.
Esto se debe a que el robo de datos tiene lugar antes de la ejecución del binario de ransomware real que cifra los datos. Es parte de una tendencia reciente en la escena del ransomware.
La táctica a menudo se conoce como «ransomware de caza mayor». Este término se refiere a las pandillas de ransomware que dejaron de apuntar a usuarios domésticos y ahora persiguen a grandes empresas.
Las pandillas violan la infraestructura de una empresa, se mueven lateralmente a través de la pink para obtener acceso a la mayor cantidad de computadoras posible y luego ejecutan su ransomware para cifrar datos y demandar demandas exorbitantes de rescate.
Hay una gran cantidad de cepas de ransomware que se utilizan en intrusiones de «caza mayor». Sin embargo, durante el último mes, ha habido un cambio en las tácticas.
A medida que las empresas están adoptando lentamente una estrategia de respaldo sólida, también han comenzado a ignorar las demandas de rescate y a reconstruir sus redes desde cero, en lugar de pagar el rescate.
Adaptándose a esta tendencia, algunas pandillas de ransomware ahora están robando datos de redes infectadas.
Hasta ahora se ha observado evidencia de robo de datos y evidencia del uso de malware de robo de datos en infecciones con el ransomware Maze, REvil y Snatch, y ahora Zeppelin.
Se cree que los datos robados se utilizan para presionar a las compañías víctimas para que paguen, en lugar de restaurar desde copias de seguridad.
Sin embargo, en las últimas semanas, se ha desarrollado otra tendencia, donde algunas de estas pandillas de ransomware están amenazando a las víctimas a filtrar datos en Net público si no lo hacen.
La pandilla de ransomware Maze está utilizando este enfoque de pagar o filtraremos sus datos. Recientemente crearon un sitio world-wide-web en World-wide-web público donde enumeran todas las compañías víctimas que no pagaron y han comenzado a filtrar algunos de sus datos.
Imagen: ZDNet
Los operadores del ransomware REvil también tienen mostró interés en adoptar un enfoque equivalent, aunque no se ha documentado públicamente ningún caso hasta el momento.
Por ahora, solo se ha visto a la pandilla de Zeppelin robando datos de las víctimas, pero sin hacer demandas de extorsión para filtrar datos si no se les paga. Aunque, a medida que la escena del ransomware está evolucionando, esto podría cambiar en el futuro a medida que la táctica sea adoptada por más y más actores de amenazas.
