CISA und FBI warnen vor Ransomware-Gruppe Zeppelin

Die US-Cybersicherheitsbehörde CISA sowie die Bundespolizei FBI warnen vor einer Ransomware-Bande namens Zeppelin. Die Cyberkriminellen gehen vor allem gegen große Unternehmen in den USA und Europa vor. Auffällig sind zudem hohe Lösegeldforderungen von bis zu mehr als einer Million Dollar.

Die Aktivitäten der Gruppe lassen sich offenbar bis ins Jahr 2019 zurückverfolgen. Zu dem Zeitpunkt wurde die Ransomware noch als VegaLocker bezeichnet. Ihre Opfer suchen die Cybererpresser der Sicherheitswarnung zufolge vor allem im Gesundheitswesen. Sie sollen aber auch schon Rüstungsunternehmen, Bildungseinrichtungen und Technologiefirmen angegriffen haben.

Die Netzwerke ihrer Opfer kompromittieren die Hacker über Schwachstellen im Remote Desktop Protocol (RDP) sowie Firewalls von SonicWall. Um sich Zugang zu verschaffen, setzt die Zeppelin-Gruppe zudem auf Phishing. Im Fall des britischen Gesundheitssystems National Health Service kamen auch Word-Makros zum Einschleusen von Schadsoftware zum Einsatz, was Microsoft allerdings seitdem erschwert hat.

Zeppelin verschlüsselt Dateien mehrfach

In ihrem Advisory berufen sich die beiden Behörden auch auf eine Analyse von Core Security. Demnach gehen die Cybererpresser sehr sorgfältig vor, während sie ihre Ransomware einschleusen. Für die Erfassung eines Netzwerks sollen sie sich bis zu zwei Wochen Zeit lassen, um auch Cloud-Speicher und Netzwerk-Backups zu erfassen. Die eigentliche Malware werde als DLL- oder ausführbare Datei über einen PowerShell-Loader installiert.

Zeppelin stelle außerdem sicher, dass Opfer nicht einen, sondern mehrere Schlüssel zur Entschlüsselung ihrer Daten benötigen. Ein kompromittierter Rechner erhalte oftmals mehrere IDs, wobei die Endung einer verschlüsselten Datei als ID fungiere.

“Das FBI hat Fälle beobachtet, in denen Zeppelin-Akteure ihre Schadsoftware mehrfach im Netzwerk eines Opfers ausgeführt haben, was dazu führte, dass für jeden Angriff eine andere ID oder Dateierweiterung erstellt wurde; dies hat zur Folge, dass das Opfer mehrere eindeutige Entschlüsselungsschlüssel benötigt”, heißt es in dem Advisory.

Die Opfer von Zeppelin werden von den beiden Behörden aufgefordert, Ransomware-Vorfälle dem FBI oder der CISA zu melden. Auch der US-Secret Service nimmt demnach Berichte über Ransomware-Attacken entgegen. “Das FBI ist auf der Suche nach allen Informationen, die weitergegeben werden können, einschließlich Protokollen, die die Kommunikation von und zu ausländischen IP-Adressen zeigen, einem Muster einer Lösegeldforderung, der Kommunikation mit Zeppelin-Akteuren, Bitcoin-Wallet-Informationen, Entschlüsselungsdateien und/oder einem gutartigen Muster einer verschlüsselten Datei”, so die Behörden weiter.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Cyberangriffe verursachen immer mehr Schäden in Unternehmen

KPMG-Studie: Phishing, Attacken auf Cloud-Services sowie Angriffe über Datenlecks sind häufigste Delikte.

2 Stunden ago

Studie: Die riskantesten vernetzten Geräte im Jahr 2024

„The Riskiest Connected Devices in 2024” identifiziert die fünf risikoreichsten Gerätetypen in den Kategorien IT,…

3 Stunden ago

Voicebot: Morgan Freeman vor Ryan Reynolds und Taylor Swift

Eine Umfrage in den USA zeigt: Kunden können sich sehr gut vorstellen, mit einem virtuellen…

21 Stunden ago

Podcast: Geschäftsprozesse mit generativer KI automatisieren

Wie sich unstrukturierte Daten unter anderem für die Automatisierung von Rechnungsprozessen nutzen lassen, erklärt Ruud…

23 Stunden ago

Gigabit-Datenraten im Zug

Projekt aus Bahn-, Mobilfunk- und Funkmastbranche zieht Zwischenbilanz. Start von Praxistests in erstem 5G-Korridor an…

2 Tagen ago

E-Health: Langzeitpflege mit KI

Das Fraunhofer-Institut entwickelt eine Pflegeplanung, die mit Künstlicher Intelligenz arbeiten wird. Ziel ist es, Pflegekräfte…

2 Tagen ago