No, non sto parlando dei Led Zeppelin – “magari!” esclamerebbe qualcuno – ma del temibile ransomware-as-a-service (RaaS) di origine russa basato su Delphi e derivato da VegaLocker / Buran Ransomware che, costruito da zero e poi diffuso principalmente attraverso campagne di phishing, aveva colpito negli ultimi due anni numerose aziende sia del settore sanitario, che del comparto ICT.
Venne scoperto casualmente nel 2019 da alcuni ricercatori informatici quale elemento dannoso in grado di infettare i dispositivi e crittografare tutti i dati dell’utente, chiedendo poi un riscatto.
In particolare, Vitali Kremez, un hacker etico a capo di Advanced Intelligence e VK Intel scoprì uno sviluppatore di Zeppelin Ransomware in grado di permettere agli affiliati di poter costruire diversi tipi di payload, siano essi di script .exe, .dll o .ps1 in modo da poter essere utilizzati in seguito per diversi tipi di attacchi.
Dallo scorso autunno non si erano più registrati attacchi, né tantomeno richieste di riscatto ma, come scoperto da Bleeping Computer, nel dark web sono tornate disponibili su alcuni forum delle nuove varianti del malware.
Attualmente il ransomware risulta in vendita su alcuni negozi clandestini già pronto all’uso e, per gli utenti più fedeli, è stata prevista anche una sorta di partnership individuale che permette all’acquirente di scegliere come sfruttarlo, garantendo poi parte degli introiti – tra il 25% ed il 30% a seconda dei casi – agli sviluppatori.
Yelisey Boguslavskiy, altro membro esperto di AdvIntel, ha scovato in rete “un importante aggiornamento per il software” diffuso lo scorso mese a cui è seguito, il 27 aprile, il rilascio di una nuova variante del malware dotata di una crittografia più affidabile in vendita a $ 2.300.
Ovviamente, per i clienti più affezionati hanno assicurato che lo sviluppo del malware continua e a loro sarà inoltre riservato un trattamento speciale, lasciando sempre aperta la porta a chiunque sia interessato a nuove ed ulteriori collaborazioni.
Boguslavskiy ha spiegato poi che gli sviluppatori Zeppelin lavorano in costante contatto con un gruppo di partner più stretti di alto profilo che hanno acquistato il malware per andare incontro alle esigenze del mercato e migliorare il prodotto.
In particolare, la clientela è costituita per la maggior parte da soggetti individuali interessati principalmente alla crittografia dei dati in vista di una successiva richiesta di riscatto, e non a eventuali furti allo scopo di utilizzare direttamente o indirettamente il patrimonio informativo sottratto.
