26/05/21
Разработчики вымогателя Zeppelin (также известного как Buran) возобновили свою преступную активность после периода затишья, начавшегося осенью прошлого года. Злоумышленники начали рекламировать новую версию вредоносного ПО на хакерском форуме в конце прошлого месяца. Об этом сообщило издание Bleeping Computer.
Разработчики новой версии вымогателя Zeppelin продают ПО на подпольных форумах, позволяя покупателям решать, как они хотят использовать вредоносное ПО. У разработчиков также есть своего рода индивидуальные партнерские отношения с определенными клиентами.
Это контрастирует с классическими бизнес-моделями RaaS, где разработчики обычно ищут партнеров для проникновения в сеть жертвы, кражи данных и установки вредоносного ПО для шифрования файлов. Затем обе стороны разделяют выкуп, а разработчики получают меньшую часть (до 30%).
Как сообщили специалисты из ИБ-фирмы Advanced Intel (AdvIntel) разработчики вымогателя Zeppelin заявили о себе в марте нынешнего года. Они объявили о «крупном обновлении программного обеспечения» вместе с новым этапом продаж. Текущая версия Zeppelin стоит $2,3 тыс. за сборку ядра. После крупного обновления разработчики Zeppelin 27 апреля выпустили новый вариант вредоносного ПО, в котором мало изменились функции, но была повышена стабильность шифрования.
«Мы продолжаем работать. Каждому пользователю мы предоставляем индивидуальные условия и лояльный подход. Напишите нам, и мы сможем договориться о взаимовыгодных условиях сотрудничества», — сообщили операторы Zeppelin.
Клиенты Zeppelin полагаются на распространенные первоначальные векторы атак, такие как RDP, уязвимости в VPN и фишинговые атаки. Кроме того, у операторов Zeppelin нет сайта утечек данных, как у большинства группировок RaaS, и они сосредоточены на шифровании данных, а не на краже.
