La Oficina Federal de Investigaciones (FBI) y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), de los Estados Unidos, han alertado sobre la difusión del ransomware Zeppelin hasta el 21 de junio de 2022.
El ransomware Zeppelin funciona como Ransomware como Servicio (RaaS) y ataca, desde 2019 hasta al menos junio de 2022, a empresas y organizaciones de infraestructura crítica, incluidos contratistas de defensa, instituciones educativas, fabricantes, empresas de tecnología, y especialmente organizaciones en las industrias de la salud y la medicina.
Para acceder a las redes de las víctimas, el ransomware Zeppelin se aprovecha del Protocolo de Escritorio Remoto (RDP), explota vulnerabilidades del cortafuegos de SonicWall, o utiliza campañas de phishing. Zeppelin se implementa como un archivo .DLL o .EXE, o dentro de un cargador de PowerShell.
Antes del cifrado, el ransomware extraen archivos de datos confidenciales para venderlos o publicarlos si no hay pago de rescate, que es en Bitcoin, que va desde varios miles de dólares hasta más de un millón de dólares.
Recomendaciones para reducir la probabilidad y el impacto de los incidentes de ransomware:
- Implementar un plan de recuperación para mantener y conservar múltiples copias de datos confidenciales o propietarios y servidores en una ubicación segura, segmentada y separada físicamente.
- Requerir todas las cuentas con inicios de sesión con contraseña.
- Requerir autenticación multifactor para todos los servicios en la medida de lo posible.
- Mantener todos los sistemas operativos, software y firmware actualizados.
- Segmentar las redes para evitar la propagación de ransomware.
- Identificar, detectar e investigar la actividad anormal y el posible cruce del ransomware indicado con una herramienta de monitoreo de redes.
- Instalar, actualizar periódicamente y habilitar la detección en tiempo real del software antivirus en todos los hosts.
- Revisar los controladores de dominio, los servidores, las estaciones de trabajo y los directorios activos en busca de cuentas nuevas o no reconocidas.
- Auditar cuentas de usuario con privilegios administrativos y configurar controles de acceso según el principio de mínimo privilegio.
- Deshabilitar los puertos no utilizados.
- Considerar agregar un banner de correo electrónico a los correos electrónicos recibidos desde fuera de su organización.
- Deshabilitar los hipervínculos en los correos electrónicos recibidos.
- Implementar el acceso basado en el tiempo para las cuentas establecidas en el nivel de administrador y superior.
- Deshabilitar las actividades y los permisos de línea de comandos y secuencias de comandos.
- Mantener fuera de linea las copias de seguridad de los datos y realizar las copias de seguridad y restauración con regularidad.
- Asegurar que todos los datos de respaldo estén encriptados, y cubran toda la infraestructura de datos de la organización.
Fuente: Alert (AA22-223A). #StopRansomware: Zeppelin Ransomware.