بهتازگی نسخهی جدیدی از باجافزار Vega به نام Zappelin مشاهده شده است که شرکتهای فناوری و بهداشت و درمان را در اروپا، امریکا و کانادا هدف قرار میدهد. بااینحال، کاربران ساکن در روسیه یا برخی کشورها ازجمله اوکراین، بلاروس و قزاقستان میتوانند نفس راحتی بکشند، زیرا این باجافزار درصورتیکه خود را در دستگاههای مستقر در این مناطق پیدا کند، عملیات خود را خاتمه میدهد. قابل توجه است که همهی نسخههای قبلی خانوادهی باجافزاری Vega که با نام VegaLocker شناخته میشود، در درجهی اول کاربران روسی زبان را هدف قرار میدهد که نشان میدهد Zeppelin کار گروه نفوذی است که در پشت صحنهی حملات قبلی بودند.
از آنجا که باجافزار Vega و نسخههای قبلی آن بهعنوان یک سرویس در انجمنهای زیرزمینی ارائه شدند، پژوهشگران در BlackBerry Cylance معتقدند که Zeppelin به دست عاملان تهدید مختلف پایان یافت و یا با منابع خریداریشده یا به سرقت رفته، مجدداً توسعه یافت. طبق گزارش BlackBerry Cylance، Zeppelin یک باجافزار مبتنیبر دلفی با قابلیت پیکربندی بسیار زیاد است که میتواند بهآسانی سفارشیسازی شود تا ویژگیهای مختلف را بسته به قربانیان یا نیازمندیهای مهاجمان فعال یا غیرفعال کند.
Zeppelin ممکن است در قالب یک فایل EXE، DLL و یا در یک بارگذار پاورشل مستقر شود و شامل ویژگیهای زیر است:
- IP Logger: برای ردیابی آدرسهای IP و مکان قربانیان
- Startup: برای رسیدن به پایداری و ماندگاری
- Delete Backups: برای متوقف کردن سرویسها، غیرفعال کردن بازیابی فایلها، حذف پشتیبانها و رونوشتها
- Task-killer: خاتمه دادن فرآیندهای مشخص شده توسط مهاجم
- Auto-unlock: برای باز کردن قفل فایلهایی که به نظر میرسد طی رمزنگاری قفل شدهاند
- Melt: برای تزریق نخ self-deletion به notepad.exe
- UAC prompt: تلاش برای اجرای باجافزار با امتیازات افزایش یافته
براساس پیکربندیهایی که مهاجمان از رابط کاربری سازندهی Zeppelin در طول فرآیند تولید باینری باجافزار تنظیم میکنند، این بدافزار فایلهای موجود در همهی درایوها و اشتراکهای شبکه را شمارش میکند و با همان الگوریتمی که توسط سایر نسخههای Vega مورد استفاده قرار گرفته است، رمزنگاری میکند. پژوهشگران بیان میکنند که Zeppelin از یک ترکیب استاندارد از رمزنگاری متقارن فایل با کلیدهای تولیدشده بهطور تصادفی برای هر فایل استفاده میکند و از رمزنگاری نامتقارن برای محافظت کلید نشست استفاده میکند.
جالب توجه است که برخی از نمونهها تنها بایتهای ۰x1000 اول را به جای بایتهای ۰x10000 رمزنگاری خواهند کرد. ممکن است این یک اشکال ناخواسته یا یک انتخاب آگاهانه برای سرعت بخشیدن به فرآیند رمزنگاری باشد. علاوهبر اینکه چه ویژگیهایی را میتوان فعال کرد و چه فایلهایی را باید رمزنگاری کرد، سازندهی Zeppelin به مهاجمان اجازه میدهد تا محتوای فایل متنی یادداشت باج را که در سیستم توزیع میشود و پس از رمزنگاری فایلهای به قربانی نشان داده میشود، پیکربندی کنند.
پژوهشگران BlackBerry Cylance نسخههای متفاوتی را کشف کردهاند که هر کدام پیامها و یادداشتهای متفاوتی برای درخواست باج دارند. همهی این پیامها به قربانی دستور میدهد تا از طریق آدرس ایمیل ارائهشده با مهاجم تماس بگیرند و شناسهی شخصی خود را برای آنها ارسال کنند.
باجافزار Zeppelin برای جلوگیری از شناسایی به لایههای مختلف مبهمسازی ازجمله استفاده از کلیدهای شبه تصادفی، رشتهی رمزنگاریشده، ایجاد تأخیر در اجرا برای دور زدن جعبهی شنی و فریب سازوکارهای اکتشافی متکی است. Zeppelin اولین بار حدود یک ماه پیش، زمانیکه از طریق وبگاهها و با بار دادهی پاورشل میزبانیشده در وبگاه Pastebin توزیع شده بود، کشف شد. پژوهشگران معتقدند که حداقل برخی از حملات Zeppelin از طریق MSSP انجام شده بود که با پویش هدفمندی که از باجافزار Sodinokibi استفاده میکرد، شباهتهای زیادی داشت.