El ransomware que apunta a empresas médicas y de TI

Investigadores de Cylance observaron una nueva campaña de ransomware Zeppelin dirigida a empresas de TI y atención médica en el mundo. Esta compilado en Delphi y es un nuevo miembro de la familia Ransomware-as-a-Service (RaaS), los archivos binarios se firman con los certificados de firma de código válidos. El ransomware parece altamente configurable, puede implementarse como EXE, DLL o envolverse en un cargador PowerShell y los ejecutables tienen tres capas de ofuscación.

El ransomware es utilizado para cifrar archivos presentes en todas las unidades, excepto los archivos del sistema y los recursos compartidos de red. Una vez que los archivos están encriptados, agrega una extensión aleatoria (".126-D7C-E67") a estos. Después de cifrar todos los archivos en la unidad, Zeppelin suelta un archivo de texto de nota de rescate, que pide a los usuarios que compren una clave privada única para desbloquear los documentos.

El ransomware Zeppelin también conocido como Vega o VegaLocker o Buran, observado a principios de 2019 y se distribuyó como parte del malware financiero. El ransomware se distribuyó a través de campañas de spam, descargadores, herramientas de crackeo de software y actualizaciones falsas.

Se recomienda lo siguiente: 

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Escanear todos los archivos adjuntos antes de abrirlos, con un antivirus organizacional que detecte algún comportamiento sospechoso.
• Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
• Evitar visitar sitios web inseguros, así como la descarga de software ilegal ya que existe una alta probabilidad que puedan infectarse por algún malware.