CISA und FBI warnen vor Ransomware-Gruppe Zeppelin

Stefan Beiersmann,
Linkedin
Ransomware

Die Cybererpresser sind in den USA und Europa aktiv. Sie fordern Lösegelder im siebenstelligen Bereich. Zeppelin geht bei der Kompromittierung von Netzwerken mit besonderer Sorgfalt vor.

Die US-Cybersicherheitsbehörde CISA sowie die Bundespolizei FBI warnen vor einer Ransomware-Bande namens Zeppelin. Die Cyberkriminellen gehen vor allem gegen große Unternehmen in den USA und Europa vor. Auffällig sind zudem hohe Lösegeldforderungen von bis zu mehr als einer Million Dollar.

Die Aktivitäten der Gruppe lassen sich offenbar bis ins Jahr 2019 zurückverfolgen. Zu dem Zeitpunkt wurde die Ransomware noch als VegaLocker bezeichnet. Ihre Opfer suchen die Cybererpresser der Sicherheitswarnung zufolge vor allem im Gesundheitswesen. Sie sollen aber auch schon Rüstungsunternehmen, Bildungseinrichtungen und Technologiefirmen angegriffen haben.

Die Netzwerke ihrer Opfer kompromittieren die Hacker über Schwachstellen im Remote Desktop Protocol (RDP) sowie Firewalls von SonicWall. Um sich Zugang zu verschaffen, setzt die Zeppelin-Gruppe zudem auf Phishing. Im Fall des britischen Gesundheitssystems National Health Service kamen auch Word-Makros zum Einschleusen von Schadsoftware zum Einsatz, was Microsoft allerdings seitdem erschwert hat.

Zeppelin verschlüsselt Dateien mehrfach

In ihrem Advisory berufen sich die beiden Behörden auch auf eine Analyse von Core Security. Demnach gehen die Cybererpresser sehr sorgfältig vor, während sie ihre Ransomware einschleusen. Für die Erfassung eines Netzwerks sollen sie sich bis zu zwei Wochen Zeit lassen, um auch Cloud-Speicher und Netzwerk-Backups zu erfassen. Die eigentliche Malware werde als DLL- oder ausführbare Datei über einen PowerShell-Loader installiert.

Zeppelin stelle außerdem sicher, dass Opfer nicht einen, sondern mehrere Schlüssel zur Entschlüsselung ihrer Daten benötigen. Ein kompromittierter Rechner erhalte oftmals mehrere IDs, wobei die Endung einer verschlüsselten Datei als ID fungiere.

“Das FBI hat Fälle beobachtet, in denen Zeppelin-Akteure ihre Schadsoftware mehrfach im Netzwerk eines Opfers ausgeführt haben, was dazu führte, dass für jeden Angriff eine andere ID oder Dateierweiterung erstellt wurde; dies hat zur Folge, dass das Opfer mehrere eindeutige Entschlüsselungsschlüssel benötigt”, heißt es in dem Advisory.

Die Opfer von Zeppelin werden von den beiden Behörden aufgefordert, Ransomware-Vorfälle dem FBI oder der CISA zu melden. Auch der US-Secret Service nimmt demnach Berichte über Ransomware-Attacken entgegen. “Das FBI ist auf der Suche nach allen Informationen, die weitergegeben werden können, einschließlich Protokollen, die die Kommunikation von und zu ausländischen IP-Adressen zeigen, einem Muster einer Lösegeldforderung, der Kommunikation mit Zeppelin-Akteuren, Bitcoin-Wallet-Informationen, Entschlüsselungsdateien und/oder einem gutartigen Muster einer verschlüsselten Datei”, so die Behörden weiter.