Un afirma de investigación de seguridad detectó una variante de un poderoso ransomware que está programado para atacar a empresas de Estados Unidos y Europa. Se trata de Zepellin y es una variante del Ransomware-as-a-Service (RaaS) basada en Delphi conocido en los bajos fondos como Vega.

Investigadores de seguridad de ThreatVector publicaron un informe acerca de Zepellin, calificado por los especialistas como una nueva variante de ransomware que afecta principalmente a empresarios en Estados Unidos y Europa. De acuerdo con los investigadores, los atacantes implementan Zepellin en las compañías de tecnología y atención médica, este poderoso malware secuestra la computadora de los usuarios y se propaga a través de la cadena de suministro de los proveedores de servicios de seguridad gestionados (MSSP).

Las primeras muestras de Zeppelin, con marcas de tiempo de compilación no anteriores al 6 de noviembre de 2019, se descubrieron dirigidas a un puñado de compañías de tecnología y atención médica cuidadosamente seleccionadas en Europa y los EE. UU.

Una variante del ransomware Vega

Debido a que el objetivo de los hackers está enfocado en Estados Unidos y Europa, Zeppelin muestra una diferencia con respecto a este, sin embargo, la base del virus corresponde al ransomware VegaLocker.

Cuidado con este malware que infecta tu PC con dos troyanos simultáneos

Zepellin es un malware que puede configurarse para ejecutarse desde un archivos EXE, DLL o agruparse en un cargador o PowerShell, sin embargo, se almacena en una carpeta .zeppelin antes de propagarse al resto de archivos.

Todas las cadenas sensibles en los binarios de Zeppelin se ofuscan con una clave RC4 pseudoaleatoria diferente de 32 bytes, antepuesta a cada cadena encriptada.

Los investigadores aseguran que la ofuscación ayuda a Zepellin a pasar desapercibido ante cualquier análisis de malware, lo hace lo que hace un virus impenetrable hasta el momento.

Antes de atacar, el malware valida que la dirección IP de los dispositivos se encuentre entre los países Estados Unidos, Canadá o países de Europa y pertenezca al negocio de tecnología. Esto es una muestra de que los desarrolladores de ransomware buscan mejorar su técnica de ataque y evolucionar a través del tiempo.

Más en TekCrispy