SK-CERT Bezpečnostné varovanie V20191216-01

Dôležitosť Kritická
Klasifikácia Neutajované/TLP WHITE
CVSS Skóre
 10.0
Identifikátor
Zeppelin ransomware zameraný na IT a zdravotnícky sektor
Popis
Bezpečnostní výskumníci informovali o ransomwarovej kampani „Zeppelin“, ktorá je špecificky cielená na spoločnosti z IT a zdravotníckeho sektora. Predpokladaným útočným vektorom šírenia škodlivého kódu je RDP prístupný z internetu.
Po kompromitácii systému ransomware prostredníctvom šifrovacieho algoritmu AES-256 zašifruje prvých 0x10000 (65536) bajtov vybraných súborov, pričom však nemení ich príponu.
Dátum prvého zverejnenia varovania
11.12.2019
CVE
CVE
Zápis v registroch:
HKCUSoftwareeppelin

E-mailové adresy:
bad_sysadmin(at)protonmail[.]com
Vsbb(at)firemail[.]cc
Vsbb(at)tutanota[.]com
buratino(at)firemail[.]cc
buratino2(at)tutanota[.]com
ran-unlock(at)protonmail[.]com
ranunlock(at)cock[.]li
buratin(at)torbox3uiot6wchz[.]onion

SHA256 Hashe:
04628e5ec57c983185091f02fb16dfdac0252b2d253ffc4cd8d79f3c79de2722
39d8331b963751bbd5556ff71b0269db018ba1f425939c3e865b799cc770bfe4
4894b1549a24e964403565c61faae5f8daf244c90b1fbbd5709ed1a8491d56bf
e22b5062cb5b02987ac32941ebd71872578e9be2b8c6f8679c30e1a84764dba7
1f94d1824783e8edac62942e13185ffd02edb129970ca04e0dd5b245dd3002bc
d61bd67b0150ad77ebfb19100dff890c48db680d089a96a28a630140b9868d86

GUID:
{961367AF-2538-7AA3-CE0E-20CBF2F40FD2}
{4B76FDEB-DA9A-2C56-7460-BB8AB48A34C5}
{56A680F5-496F-8328-C080-FDF866E8183F}
{EEDECCF1-06D1-0333-0333-1084CF2219BB}
{A321064D-1177-5C30-7EE6-AEFD48302DCB}
{81732134-D330-05F5-35FC-57B2E8FFB983}

URL:
https[://]iplogger[.]org/1HVwe7.png
https[://]iplogger[.]org/1HCne7.jpeg
https[://]iplogger[.]org/1Hpee7.jpeg
https[://]iplogger[.]org/1syG87
https[://]iplogger[.]org/1H7Yt7.jpg
https[://]iplogger[.]org/1wF9i7.jpeg
Zasiahnuté systémy
Systémy bežiace na operačnom systéme Microsoft Windows
Následky
Neoprávnený prístup do systému
Zneprístupnenie služby
Odporúčania
Administrátorom odporúčame odporúčame poučiť používateľov, aby neotvárali neoverené e-mailové správy, prílohy z neznámych zdrojov a nenavštevovali nedôveryhodné webové stránky. Taktiež odporúčame vykonávať pravidelné zálohovanie dát.
Zdroje
https://threatvector.cylance.com/en_us/home/zeppelin-russian-ransomware-targets-high-profile-users-in-the-us-and-europe.html
https://www.bleepingcomputer.com/news/security/zeppelin-ransomware-targets-healthcare-and-it-companies/

« Späť na zoznam
Aktuálne hrozby
všetky oznámenia
Odkazy