Geng Ransomware Zeppelin Teror Perusahaan Eropa dan AS

Cyberthreat.id – Sebuah ransomware bentuk baru menyasar perusahaan-perusahaan yang bergerak di bidang kesehatan dan teknologi di Eropa,  Amerika Serikat, dan Kanada.

Ransomware tersebut bernama Zeppelin. Peneliti keamanan siber BlackBerry Cylance yang menemukannya mengklasifikasi sebagai ransomware bentuk meski memiliki kemiripan dengna keluarga malwawre pengenkripsi: VegaLocker.

Analisis kode mengungkapkan, Zeppelin pertama kali dibuat November lalu, tetapi telah dipakai untuk menargetkan jaringan perusahaan teknologi dan kesehatan di seluruh Eropa dan Amerika Utara.

Menurut peneliti, Zeppelin tersebar dalam serangan rantai pasokan melalui Managed Security Service Providers (MSSPs). Ini yang membuat metode kompromi mirip dengan ransomware Sodinokibi. Selain itu, ransomware diduga menyebar melalui operasi malvertising (iklan berbahaya) dan “waterhole attacek” (serangan lubang air) yang dirancang untuk mengirimkan muatan berbahaya ke target yang dituju.

Malware ini sangat dapat dikonfigurasi dan dapat digunakan untuk target sebagai EXE, file DLL, atau dibundel ke dalam PowerShell loader. Namun, Zeppelin memulai instalasi dengan folder sementara bernama .zeppelin sebelum menyebar sendiri di sekitar mesin target.

Ketika ransomware telah “mencakar ke jaringan”, selanjutnya akan mengenkripsi file menggunakan kunci pribadi untuk membedakan korban dari target serangan lain. Penyerang bahkan dapat memastikan mereka menargetkan korban yang tepat dengan memantau alamat IP mereka.

Setelah semua file dienkripsi, Zeppelin akan menghadirkan korban dengan catatan tebusan dalam file teks.”Tidak ada catatan tebusan standar,” tutur peneliti seperti diberitakan ZDNet, Rabu (11 Desember 2019).

Namun,  tuntutan tebusan tersebut tergantung pada korbannya, hanya semua tagihan harus dibayar dalam bentuk Bitcoin.

“Ini menunjukkan bahwa Zeppelin  didistribusikan sebagai layanan (ransomware-as-a-service/RaaS), dengan penjahat siber membeli ‘hak untuk menggunakannya’ dari penjual forum bawah tanah web, kemudian menyesuaikannya dengan kebutuhan mereka,” tutur peneliti.

"Tampaknya ada sejumlah terbatas korban, dan kami belum melihat malware yang digunakan dalam kampanye distribusi luas sejauh ini. Oleh karena itu, tampaknya aktor ancaman agak berhati-hati dalam mencari targetnya," Josh Lemos , Wakil Presiden Bidang Riset Dan Intelijen BlackBerry Cylance.

Menurut Lemos, kampanye ini diduga berasal dari Rusia, karena pada eksekusi awal, malware akan memeriksa kode negara korban untuk memastikan itu tidak berjalan pada mesin di Rusia, Ukraina, Belarusia, atau Kazakhstan.

"Jika Zeppelin menemukan dirinya pada jaringan di salah satu negara itu, dirinya akan berhenti beroperasi,” tutur Lemos.

Ini berbeda dengan ransomware berbasis Delphi lainnya terkait dengan VegaLocker, yang tetap menyerang korban asal Rusia. Oleh karenanya, analisis peneliti menduga aktor kampanye Zeppelin berbeda dengan aktor di balik VegaLocker.

Lemos mengatakan, Zeppelin masih aktif dan saat ini tidak ada alat dekripsi gratis yang tersedia. Namun, perusahaan dapat mencegah diri dengan beberapa praktik keamanan yang relatif sederhana.

"Nasihatnya sama seperti biasa: gunakan solusi keamanan yang komprehensif; pertahankan sistem operasi terbaru; lakukan pencadangan rutin dan simpan di media yang biasanya terputus dari jaringan. Lalu, latihlah karyawan perusahaan terkait pedoman keamanan dasar. Terakhir, berhati-hati dan waspada," kata Lemos.