Se le conoce por el nombre de Zeppelin, y se trata de un nuevo ransomware que lo primero que hace cuando se instala en un ordenador es recopilar y robar los datos personales almacenados en el mismo antes de cifrar los archivos.
No se trata del único rasomware que actúa de esa forma. Se une a Maze, REvil (Sodinokibi), Snatch y, al ya inexistente Merry Christmas. La firma de seguridad Morphisec ha sido la que ha descubierto la forma de trabajar de Zeppelin.
Gorelik, CTO de Morphisec, ha dicho al respecto: «En este caso, tenemos un actor de amenazas que utiliza técnicas similares a las producidas en el incidente de Wipro: atacar servidores, detener todos los procesos de la base de datos, examinar la copia de seguridad y luego implementar el ransomware, utilizando todo esto con una herramienta remota de Inteligencia Artificial legítima«.
Actuación sobre empresas
Gorelik descubrió que los ciber delincuentes envían copias de seguridad robadas de la base de datos. Ello significa un alto riesgo para algunas compañías, ya que ven filtrados datos importantes.
En el blog de Morphisec se cuenta lo que ha pasado y está pasando con respecto a este problema. Que los archivos se cifren y se pida un rescate para volverlos a su estado, como ocurre en todos los ataques de ransomware, no es el mayor problema en este caso, sino la filtración de datos. Algo que no ofrece una vuelta atrás.
Esta táctica, robo de datos y cifrado, se conoce como ransomware de caza mayor. Lo normal es que los autores de estos ataques no actúen sobre usuarios domésticos sino sobre empresas, las cuales, como ya hemos indicado, almacenan multitud de datos, la mayoría de sus clientes. Muchas de estas empresas están relacionadas con la medicina y con la IT (Inteligencia Artificial).
Como la mayoría de las empresas atacadas no responden a la recuperación de los archivos cifrados, desde hace algún tiempo, en los últimos meses, el ransomware, como vemos, actúa sobre ellas de manera diferente. Se dedica al robo de datos.
Nueva tendencia
Está claro que el sistema de infectar ordenadores con este tipo de ramsomware está proliferando, y no se queda ahí. Así, los autores de Maze, han creado un sitio web en el que recogen una relación de todas las compañías que han sido atacadas. Mostrando información de los ataques.
REvil pretende hacer lo mismo, pero todavía no ha desarrollado el sistema de información. Zeppelin hasta estos momentos no ha mostrado tampoco sistemas que recojan información sobre sus víctimas. Lo que no sabemos es lo que ocurrirá en un futuro.
