CISA und FBI warnen vor Ransomware-Gruppe Zeppelin

Die US-Cybersicherheitsbehörde CISA sowie die Bundespolizei FBI warnen vor einer Ransomware-Bande namens Zeppelin. Die Cyberkriminellen gehen vor allem gegen große Unternehmen in den USA und Europa vor. Auffällig sind zudem hohe Lösegeldforderungen von bis zu mehr als einer Million Dollar.

Die Aktivitäten der Gruppe lassen sich offenbar bis ins Jahr 2019 zurückverfolgen. Zu dem Zeitpunkt wurde die Ransomware noch als VegaLocker bezeichnet. Ihre Opfer suchen die Cybererpresser der Sicherheitswarnung zufolge vor allem im Gesundheitswesen. Sie sollen aber auch schon Rüstungsunternehmen, Bildungseinrichtungen und Technologiefirmen angegriffen haben.

Die Netzwerke ihrer Opfer kompromittieren die Hacker über Schwachstellen im Remote Desktop Protocol (RDP) sowie Firewalls von SonicWall. Um sich Zugang zu verschaffen, setzt die Zeppelin-Gruppe zudem auf Phishing. Im Fall des britischen Gesundheitssystems National Health Service kamen auch Word-Makros zum Einschleusen von Schadsoftware zum Einsatz, was Microsoft allerdings seitdem erschwert hat.

Zeppelin verschlüsselt Dateien mehrfach

In ihrem Advisory berufen sich die beiden Behörden auch auf eine Analyse von Core Security. Demnach gehen die Cybererpresser sehr sorgfältig vor, während sie ihre Ransomware einschleusen. Für die Erfassung eines Netzwerks sollen sie sich bis zu zwei Wochen Zeit lassen, um auch Cloud-Speicher und Netzwerk-Backups zu erfassen. Die eigentliche Malware werde als DLL- oder ausführbare Datei über einen PowerShell-Loader installiert.

Zeppelin stelle außerdem sicher, dass Opfer nicht einen, sondern mehrere Schlüssel zur Entschlüsselung ihrer Daten benötigen. Ein kompromittierter Rechner erhalte oftmals mehrere IDs, wobei die Endung einer verschlüsselten Datei als ID fungiere.

“Das FBI hat Fälle beobachtet, in denen Zeppelin-Akteure ihre Schadsoftware mehrfach im Netzwerk eines Opfers ausgeführt haben, was dazu führte, dass für jeden Angriff eine andere ID oder Dateierweiterung erstellt wurde; dies hat zur Folge, dass das Opfer mehrere eindeutige Entschlüsselungsschlüssel benötigt”, heißt es in dem Advisory.

Die Opfer von Zeppelin werden von den beiden Behörden aufgefordert, Ransomware-Vorfälle dem FBI oder der CISA zu melden. Auch der US-Secret Service nimmt demnach Berichte über Ransomware-Attacken entgegen. “Das FBI ist auf der Suche nach allen Informationen, die weitergegeben werden können, einschließlich Protokollen, die die Kommunikation von und zu ausländischen IP-Adressen zeigen, einem Muster einer Lösegeldforderung, der Kommunikation mit Zeppelin-Akteuren, Bitcoin-Wallet-Informationen, Entschlüsselungsdateien und/oder einem gutartigen Muster einer verschlüsselten Datei”, so die Behörden weiter.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Industrielle KI: Siemens beansprucht Führungsrolle

Auf der Technologiemesse CES zeigte das Unternehmen, wie Daten, KI und softwaredefinierte Automatisierung zusammenwachsen.

22 Stunden ago

PQC-Verschlüsselung nicht auf lange Bank schieben

Was bedeutet der Entwurf "Transition to Post-Quantum Cryptography Standards" des National Institute of Standards and…

23 Stunden ago

So lang hält Deutschland ohne Digital-Importe durch

Bikom-Umfrage: 53 Prozent der Importeure müssten in der Folge von Einführungsstopps spätestens nach einem Jahr…

2 Tagen ago

Accenture: Innovationspotenzial autonomer KI erschließen

KI-Trends 2025: Flexible, generative KI-Lösungen ersetzen starre Architekturen / Mensch und KI bilden positive Lernschleife

2 Tagen ago

SIEM, SOAR und die Macht der Künstlichen Intelligenz

Wie interagieren die Kernkomponenten eines Security Operation Centers? Und welchen Einfluss hat KI auf die…

3 Tagen ago

DSGVO und generative KI: Passt das zusammen?

Mit den Vorteilen generativer KI gehen ernsthafte Herausforderungen einher, insbesondere in Bezug auf Datenschutz und…

3 Tagen ago