Ismét felemelkedett a Zeppelin zsarolóvírus

Már azt gondolhattuk, hogy a tavaly is sok problémát okozó, Zeppelin nevű zsarolóvírus végleg eltűnt a színről. Sajnos ez nem így történt, ugyanis a károkozó újjászületett.
 

A Zeppelin zsarolóvírus először 2019-ben bukkant fel, és rögtön fájlok titkosításába kezdett. Az általa megfertőzött rendszereken értékes felhasználó állományokat tett tönkre, majd váltságdíjat kezdett követelni. Az akkori vizsgálatok arra derítettek fényt, hogy a kártevő a Vega/VegaLocker nevű zsarolóvírus leszármazottjának tekinthető. Delphi segítségével készült, és a mögötte meghúzódó banda folyamatosan fejlesztette. Aztán tavaly ősszel meglehetősen nagy hírtelenséggel eltűnt, az általa okozott fertőzések visszaszorultak. Hónapokig nem lehetett hallani róla, ezért jó esély volt arra, hogy végleg megszabadultunk tőle. Sajnos azonban nem így történt, ugyanis a károkozó ismét elkezdett terjedni.
 
Az Advanced Intel (AdvIntel) biztonsági cég szerint a Zeppelin idei első nagyobb kiadása március tájékán készült el, majd áprilisban kapott még egy kisebb ráncfelvarrást. Ez azonban nem növelte tovább a kártevő funkcionalitását, ellenben stabilabbá tette a titkosítási mechanizmusait.
 
Terjesztési módszerek
 
Az AdvIntel vizsgálatai szerint a Zeppelint a készítői nem saját maguk terjesztik. Ehelyett ismét elkezdték értékesíteni a károkozót egyes internetes, alvilági fórumokon keresztül. A szerzeményükért jelenleg 2300 dollárt kérnek, aminek fejében technikai támogatást is biztosítanak a vásárlóknak. Ők pedig szabadon használhatják fel a zsarolóvírust bármilyen (korántsem nemes) célra.
 
Érdekesség, hogy a Zeppelin mögött lévő kiberbanda továbbra sem akarja RaaS (ransomware-as-a-service) formájában elérhetővé tenni az ártalmas programot, így nem akar áttérni az alvilág berkein belül működő jutalékos rendszerre, amikor a vírus készítője és a támadást végrehajtó megosztozik a bevételen (váltságdíjon). Ehelyett a csoport inkább egy összegben értékesíti a Zeppelint, és semmiféle további fizetségre nem tart igényt függetlenül attól, hogy a kártevő mennyivel tömi ki a tényleges támadók zsebét.
 
Mivel a Zeppelin elsősorban célzott, egyedi támadásokban juthat szerephez, ezért a támadási és fertőzési módszereknek csak a kiberbűnözők fantáziája szab határt. Ez sajnos jelentősen megnehezíti a védekezést. A korszerű és naprakész vírusvédelemre, a rendszeres biztonsági mentésekre, az operációs rendszerek és a szoftverek frissítésére, valamint a távoli kapcsolatok védelmének megerősítésére mindenképpen célszerű odafigyelni. A Zeppelin jelenleg adatszivárogtatásra nem képes, de sajnos semmi nem zárja ki, hogy a következő variánsai már adatlopásra is alkalmasak lesznek. Ezért a hozzáférések szabályozása szintén nélkülözhetetlen a kockázatok csökkentéséhez.