Od loňského podzimu prakticky nebylo slyšet o ransomwaru Zeppelin ani jeho vývojářích. Po období relativního ticha se však tvůrci této škodlivé aplikace znovu ozvali a dle serveru Bleeping Computer nabízejí na hackerském fóru novou verzi.
Nejnovější varianta (publikovaná koncem dubna) má kyberzločincům nabídnout především „naprostou nezávislost“. Ransomware Zeppelin, označovaný také jako Buran, má původ v rodině Vega/VegaLocker, jež byla poprvé zaznamenána na ruskojazyčných fórech v roce 2019.
Ransomware jako služba
Zeppelin je nabízen jako služba (RaaS – „Ransomware as a Service“). Jde o obchodní model používaný vývojáři ransomwaru, kteří pronajímají škodlivé aplikace podobným způsobem, jakým své produkty nabízejí vývojáři legálního softwaru. Zájemce tedy zaplatí a může ransomware používat.
RaaS tak dává každému, včetně lidí bez větších technických znalostí, možnost provádět ransomwarové útoky pouhým přihlášením ke službě. Zájemci, kteří nemají dostatek schopností nebo času na vývoj vlastního ransomwaru, mohou prakticky okamžitě začít útočit.
Nabídky lze poměrně snadno najít na online tržištích na dark netu, kde jsou inzerovány stejným způsobem jako zboží na běžném webu. Nejčastěji je celý model postaven tak, že vývojáři ransomwaru požadují zhruba třetinu utrženého výkupného.
Zeppelin k pronájmu
Společnost Advanced Intel (AdvIntel), která se zabývá prevencí hrozeb, zjistila, že vývojáři ransomwaru Zeppelin v březnu oživili svou činnost. Oznámili „významnou softwarovou aktualizaci“ a aktuální cena za novou verzi se pohybuje kolem 2300 amerických dolarů, tj. v přepočtu necelých 50 tisíc korun.
Po velké aktualizaci vydali vývojáři 27. dubna novou variantu malwaru, jež přinesla malé změny z hlediska funkcí a zvýšila stabilitu šifrování. Autoři kromě toho ujistili stálé zákazníky, že práce na malwaru nadále pokračují a že dlouhodobí uživatelé, označovaní jako „předplatitelé“, budou mít zvýhodněné podmínky.
Zeppelin je jedním z mála ransomwarů, které nepoužívají čistý model RaaS, a také jedním z nejoblíbenějších z této skupiny, jež se těší doporučení komunity kyberzločinců. Uživateli bývají jednotlivci, kteří spoléhají na běžné vektory útoku, jako je RDP, zranitelnosti VPN a phishing. AdvIntel doporučuje jako účinnou obranu proti tomuto ransomwaru monitorování a audit externích připojení vzdálené plochy a VPN.
