کشف باج افزاری که سازمان‌های خدمات درمانی را هدف قرار می‌دهد

باج‌ افزار جدیدی به نام Zeppelin کشف شده است که سازمان‌های فناوری و خدمات درمانی در سراسر اروپا، ایالات متحده و کانادا را مورد هدف قرار می‌دهد.

به گزارش بازتاب به نقل از مرکز ماهر، اخیرا گونه‌ جدیدی از ‫باج‌افزار های خانواده Vega موسوم به Zeppelin ، سازمان‌های فناوری و خدمت درمانی را در سراسر اروپا، ایالات متحده و کانادا هدف قرار داده است.

تمامی گونه‌های قبلی باج‌افزار Vega (موسوم به VegaLocker) کاربران روسیه را هدف قرار می‌داد. در حالیکه این باج‌افزار جدید اگر موقعیت را یکی از کشورهای روسیه، اوکراین، قزاقستان و دیگر کشورهای پساشوروی تشخیص دهد، فعالیت خود را متوقف می‌کند؛ این امر نشانگر این است که Zeppelin کار همان گروه که پشت پرده‌ حملات قبلی بودند نیست.

باج‌افزار Zeppelin یک باج‌افزار مبتنی بر زبان Delphi و کاملا تنظیم‌پذیر است؛ به صورتی‌که با توجه به نیاز مهاجم در هدف قرار دادن هر گروهی از قربانیان امکان فعالسازی و غیرفعالسازی ویژگی‌های متعددی را فراهم می‌کند.

Zeppelin با ویژگی‌های زیر می‌تواند در فایل‌های DLL یا EXE قرار گرفته و یا در loader های powershell پنهان شود:

– ردیابی آدرس‌های IP و موقعیت مکانی قربانیان (IP Logger)

– حفظ سطح دسترسی حتی پس از reboot شدن سیستم (StartUp)

– حذف کپی و پشتیبان‌های فایل‌ها، غیرفعالسازی بازیابی اطلاعات و غیره

– امکان توقف task‌های داخواه مهاجم (Task-Killer)

– قفل کردن فایل‌ها در فرآیند رمزنگاری (قفل‌سازی خودکار)

– تلاش برای اجرای باج‌افزار با سطح دسترسی بالا (UAC prompt)

این باج افزار تعداد تمامی فایل‌های موجود در همه‌ درایورها و شبکه را محاسبه کرده و با الگوریتم استفاده شده در دیگر گونه‌های مشابه Vega، رمز می‌کند.

همچنین برای پنهان ماندن، از لایه‌های متعدد obfuscation (درهم ریختگی) شامل استفاده از کلیدهای تصادفی pseudo، رشته‌های رمز شده، استفاده از کدها با طول‌های گوناگون، تاخیر در اجرا برای دور زدن sandboxها و فریب مکانیسم‌های بازگشتی استفاده می‌کند.

باج افزار Zeppline برای اولین بار یک ماه پیش کشف شد و این در حالی‌ است که به گفته‌ محققان امنیتی حدود ۳۰ درصد آنتی ویروس‌ها قادر به شناسایی این باج‌افزار نیستند.