Le rançongiciel Zeppelin cible le secteur de la santé et les entreprises de technologie

Un nouveau rançongiciel, baptisé Zeppelin, a été découvert par Blackberry Cylance. Ce programme malveillant a été déployé dans des attaques ciblées contre des acteurs du secteur de la santé et des entreprises de technologie aux Etats-Unis et en Europe.

Le rançongiciel Zeppelin appartient à la famille des rançongiciels développés avec le langage Delphi, à l’instar de rançongiciels -supposément d’origine russe- Vega ou VegaLocker, qui ont été découverts au début de l’année 2019. Initialement, les attaques étaient menées à large spectre et étaient hébergées avec des certificats valides sur GitHub. Depuis, de nouvelles versions, dont Zeppelin fait partie, ont été détectées.

Détecté pour la première fois le 6 novembre 2019, le rançongiciel Zeppelin avait été développé pour bloquer des ordinateurs installés en Russie ou dans d’autres ex pays soviétiques. Le rançongiciel vérifie le code du pays de la cible en obtenant son adresse IP externe afin d’être sûr de cibler la bonne zone géographique. Le fait de cibler des pays occidentaux constitue un changement de mode opératoire et suggère que le programme malveillant a pu être déployé par d’autres acteurs. En effet, Zeppelin est très modulable et peut être déployé sous la forme d’un fichier EXE, DLL ou d’un loader PowerShell. Les échantillons sont hébergés sur des sites qui ont été victimes d’une attaque par point d’eau et dans le cas de PowerShell, sur Pastebin.

Toutes les parties sensibles des binaires de Zeppelin sont obfusqués en utilisant un générateur pseudo-aléatoire basé sur l'algorithme RC4.

Bien que la majorité des échantillons ne soit pas mis en paquets, les chercheurs de BlackBerry Cylance ont découvert des exécutables Zeppelin protégés par des attaquants avec un logiciel d'obfuscation polymorphe supplémentaire. Dans ces cas, les exécutables Zeppelin étaient mis en paquets selon trois couches d’obfuscation.

Les attaquants laissent un message de rançon indiquant à la cible de les contacter par message électronique mais Blackberry Cylance ne fournit aucune information permettant de savoir si les victimes ont pu déchiffrer leurs données pour les récupérer.

Selon Blackberry Cylance, certaines attaques récentes ont été lancées à travers des fournisseurs de services managés de sécurité (MSSP), ce qui leur confère un point commun avec des groupes d’attaquants qui ciblent des fournisseurs informatiques du secteur de la santé à l’aide du rançongiciel Sodinokibi.

Les attaques contre les entreprises et établissements du secteur de la santé ont augmenté et sont plus sophistiquées. Les récentes évolutions des attaques par rançongiciel démontrent la progression des méthodes des attaquants pour cibler des institutions renommées, y compris dans le secteur de la santé, et adapter leurs outils en fonction de leurs cibles.