Zeppelin, Ransomware Spesialis asal Rusia Sedang Beraksi
Ilustrasi
Cyberthreat.id - Para penjahat dunia maya dan kriminal siber telah mengembangkan varian Ransomware baru yang disebut Zeppelin. Varian baru ini digunakan untuk menargetkan perusahaan kesehatan dan perusahaan teknologi (IT) di Amerika Serikat (AS), Kanada dan Eropa.
Sejumlah laporan menyatakan Ransomware 'Zeppelin' merupakan varian baru dari VegaLocker atau Buran Ransomware.
VegaLocker memulai perjalanannya sebagai Ransomware yang berevolusi menjadi Ransomware-as-a-Service (RaaS) di forum hacker Rusia pada Mei 2019. Ketika itu VegaLocker disebut oleh forum hacker sebagai Buran.
Di forum tersebut ditetapkan aturan bahwa afiliasi atau pihak-pihak yang bergabung dengan RaaS akan mendapatkan 75 persen dari pembayaran uang tebusan, sementara operator Buran akan mendapat jatah 25 persen. Sekarang, varian terbaru dari keluarga Buran adalah Zeppelin.
Dalam laporan baru dari BlackBerry Cylance, para peneliti merinci penemuan Ransomware varian baru ini. Zeppelin digunakan dalam serangan yang ditargetkan terhadap layanan kesehatan dan perusahaan teknologi di AS, Kanada, dan Eropa.
Para peneliti percaya Ransomware juga menargetkan Manage Service Provider (MSP) untuk lebih lanjut menginfeksi pelanggan melalui manajemen perangkat lunak (software management).
"Kampanye baru-baru ini yang menggunakan varian terbaru, Zeppelin, jelas berbeda. Sampel pertama Zeppelin - dengan cap waktu kompilasi tidak lebih awal dari 6 November 2019 - ditemukan menargetkan beberapa perusahaan teknologi dan perawatan kesehatan yang dipilih dengan cermat di Eropa dan AS," demikian laporan para peneliti.
Sementara itu, tidak diketahui persis bagaimana Ransomware Zeppelin didistribusikan, tetapi kemungkinan melalui server Remote Desktop yang secara publik terpapar ke Internet.
Bagaimana Zeppelin bekerja?
Seperti disebutkan sebelumnya, para kriminal siber diyakini telah 'menjatuhkan' Ransomware melalui server Remote Desktop yang secara publik terpapar ke Internet.
1. Seperti Ransomware berbasis Rusia lainnya, Zeppelin pertama-tama memeriksa kewarganegaraan pengguna untuk negara-negara Commonwealth of Independent States (CIS/bekas Uni Soviet) seperti Rusia, Ukraina, Belarus, dan Kazakhstan.
2. Ransomware ini memeriksa bahasa yang dikonfigurasi di Windows atau kode negara default yang ditetapkan oleh pengguna.
3. Ketika dikonfirmasi, Ransomware kemudian mulai menghentikan berbagai proses termasuk yang terkait dengan database, cadangan, dan server surat.
4. Saat mengenkripsi file, ransomware tidak menambahkan ekstensi apa pun dan nama file tetap sama. Namun, itu termasuk penanda file yang disebut Zeppelin yang mungkin dikelilingi oleh simbol yang berbeda tergantung pada hex editor dan format karakter yang digunakan oleh pengguna pada sistem target.
Saat mengenkripsi file, Ransomware ini menciptakan catatan tebusan bernama "!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT". Catatan ini berisi informasi tentang apa yang terjadi pada file korban, bagaimana mereka dapat menghubungi peretas untuk instruksi pembayaran, atau bagaimana mereka dapat menguji dekripsi satu file secara gratis.
Sayangnya, hingga saat ini, belum ada decryptor yang tersedia untuk memulihkan file yang dienkripsi oleh Zeppelin secara gratis. Oleh karena itu disarankan agar pengguna memulihkan dari cadangan jika memungkinkan.
