CISA und FBI warnen vor Ransomware-Gruppe Zeppelin

Die US-Cybersicherheitsbehörde CISA sowie die Bundespolizei FBI warnen vor einer Ransomware-Bande namens Zeppelin. Die Cyberkriminellen gehen vor allem gegen große Unternehmen in den USA und Europa vor. Auffällig sind zudem hohe Lösegeldforderungen von bis zu mehr als einer Million Dollar.

Die Aktivitäten der Gruppe lassen sich offenbar bis ins Jahr 2019 zurückverfolgen. Zu dem Zeitpunkt wurde die Ransomware noch als VegaLocker bezeichnet. Ihre Opfer suchen die Cybererpresser der Sicherheitswarnung zufolge vor allem im Gesundheitswesen. Sie sollen aber auch schon Rüstungsunternehmen, Bildungseinrichtungen und Technologiefirmen angegriffen haben.

Die Netzwerke ihrer Opfer kompromittieren die Hacker über Schwachstellen im Remote Desktop Protocol (RDP) sowie Firewalls von SonicWall. Um sich Zugang zu verschaffen, setzt die Zeppelin-Gruppe zudem auf Phishing. Im Fall des britischen Gesundheitssystems National Health Service kamen auch Word-Makros zum Einschleusen von Schadsoftware zum Einsatz, was Microsoft allerdings seitdem erschwert hat.

Zeppelin verschlüsselt Dateien mehrfach

In ihrem Advisory berufen sich die beiden Behörden auch auf eine Analyse von Core Security. Demnach gehen die Cybererpresser sehr sorgfältig vor, während sie ihre Ransomware einschleusen. Für die Erfassung eines Netzwerks sollen sie sich bis zu zwei Wochen Zeit lassen, um auch Cloud-Speicher und Netzwerk-Backups zu erfassen. Die eigentliche Malware werde als DLL- oder ausführbare Datei über einen PowerShell-Loader installiert.

Zeppelin stelle außerdem sicher, dass Opfer nicht einen, sondern mehrere Schlüssel zur Entschlüsselung ihrer Daten benötigen. Ein kompromittierter Rechner erhalte oftmals mehrere IDs, wobei die Endung einer verschlüsselten Datei als ID fungiere.

“Das FBI hat Fälle beobachtet, in denen Zeppelin-Akteure ihre Schadsoftware mehrfach im Netzwerk eines Opfers ausgeführt haben, was dazu führte, dass für jeden Angriff eine andere ID oder Dateierweiterung erstellt wurde; dies hat zur Folge, dass das Opfer mehrere eindeutige Entschlüsselungsschlüssel benötigt”, heißt es in dem Advisory.

Die Opfer von Zeppelin werden von den beiden Behörden aufgefordert, Ransomware-Vorfälle dem FBI oder der CISA zu melden. Auch der US-Secret Service nimmt demnach Berichte über Ransomware-Attacken entgegen. “Das FBI ist auf der Suche nach allen Informationen, die weitergegeben werden können, einschließlich Protokollen, die die Kommunikation von und zu ausländischen IP-Adressen zeigen, einem Muster einer Lösegeldforderung, der Kommunikation mit Zeppelin-Akteuren, Bitcoin-Wallet-Informationen, Entschlüsselungsdateien und/oder einem gutartigen Muster einer verschlüsselten Datei”, so die Behörden weiter.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Amazon Web Services führt virtuelle Ubuntu-Desktops ein

Sie basieren auf Ubuntu Pro 22.04 LTS. Amazon verlangt ab 23 Dollar pro Monat für…

7 Stunden ago

Las Vegas bekommt größtes privates 5G-Netzwerk in den USA

5G-Netzwerk soll Innovationen vorantreiben und als ein Modell für Städte und Unternehmen weltweit dienen.

8 Stunden ago

IT-Entscheidungen: Drum prüfe, wer sich ewig bindet

Internationale Studie von Gartner zeigt: Unternehmen bedauern oft ihre Kaufentscheidungen für IT-Lösungen.

8 Stunden ago

Deutsche Telekom unterstützt Ethereum Blockchain

Bereitstellung von Validierungsknoten für Ethereum-Netzwerk für Betrieb und Sicherheit von Blockchains.

9 Stunden ago

Gartner-Umfrage: Automatisierungsgrad steigt bis 2025 deutlich an

70 Prozent der Unternehmen werden bis 2025 Infrastruktur-Automatisierung implementieren.

9 Stunden ago

Sind synthetische Daten eine Alternative zu anonymisierten Daten?

"Traditionelle Verfahren der Anonymisierung funktionieren nicht mehr so gut", sagt Dr. Tobias Hann, CEO von…

10 Stunden ago