Veszélyesen szárnyal a Zeppelin zsarolóvírus

A Zeppelin zsarolóprogram jelenleg egészségügyi intézményeket, valamint informatikai vállalatokat ostromol. A célpontok köre azonban könnyedén módosulhat a közeljövőben.
 

A Zeppelin zsarolóprogram megjelenését egy érdekes folyamat előzte meg. A szálak ugyanis egészen a VegaLocker nevű kártékony programig vezetnek vissza, amely idén májusban Buran néven bukkant fel az interneten. Méghozzá egy RaaS (Ransomware-as-a-Service) szolgáltatás részeként, ami annyit jelentett, hogy az internetes alvilági fórumokon szolgáltatásként lehetett igénybe venni a zsarolóvírust. A Buran készítői akkor úgy hirdették a kártevőjüket, hogy a kizsarolt összeg 75 százaléka marad a zsaroló szolgáltatást igénybe vevő "ügyfélüknél", míg a többi pénz a saját zsebükbe vándorol.
 
A Buran a különféle alvilági üzleti modellek és szolgáltatások ellenére szerencsére nem tudott elterjedni olyan széles körben, mint néhány más zsaroló program. Ebben azonban az is közrejátszott, hogy a szerzemény elsősorban célzott támadásokban jutott szerephez. Ezt a fajta megközelítést pedig a legújabb változata is megörökölte, amely immár Zeppelin néven fertőzi a számítógépeket.
 
jól behatárolt célpontok, egyelőre
 
A Zeppelin eddig elsősorban az Egyesült Államokban és Európában okozott károkat. Többnyire egészségügyi intézményeket és cégeket állított célkeresztbe, de az áldozatok között informatikai vállalatok is feltűntek már. Főleg olyanok, amelyek menedzselt szolgáltatások nyújtásával is foglalkoznak. Ez utóbbi azért érdekes, mert a károkozó elemzését végző BlackBerry Cylance biztonsági kutatói szerint nem elképzelhetetlen, hogy MSP-ken (Managed Service Provider) keresztül próbáltak további áldozatokat szedni a vírusterjesztők.
 
A kártékony program terjedési mechanizmusa egyelőre nem pontosan ismert, de a legfontosabb támadási felületének a nem megfelelően védett távoli asztali kapcsolatok számítanak, különösen azok, amelyek az internet felől szabadon elérhetők.
 
A Zeppelin érdekessége, hogy – sok zsarolóvírustól eltérően - nem nevezi át a letitkosított fájlokat, hanem azokat kódszinten jelöli meg egy "Zeppelin" kifejezés beszúrásával. Majd szöveges fájlok révén értesíti a felhasználót a történtekről. A zsarolók ezúttal is felajánlják, hogy egy fájlt ingyenesen helyreállítanak, de ettől még korántsem célszerű teljesíteni a követeléseiket.  
A Zeppelin elleni védekezés során is fontos a naprakészen tartott, korszerű vírusvédelem, a rendszeres biztonsági mentés, és nem utolsó sorban a távoli asztali kapcsolatok szigorú védelme, illetve felügyelete.