zeppelin-ransomware

# Zeppelin Ransomware > Tipo: **ransomware RaaS** - Delphi - derivado VegaLocker/Buran - saúde e defesa - FBI/CISA advisory 2022 > [!high] RaaS Delphi com Cifragem Múltipla - Alvo Saúde e Defesa - FBI/CISA AA22-223A > **Zeppelin** é um ransomware como Serviço (RaaS) escrito em **Delphi**, derivado da linhagem VegaLocker/Vega/Buran, ativo desde dezembro de 2019. Distingue-se pela prática de **executar a cifragem múltiplas vezes** na mesma vítima antes de negociar - maximizando danos e pressão. O FBI e a CISA públicaram o advisory **AA22-223A** em agosto de 2022 alertando para ataques contra setores de saúde, defesa e educação nos EUA. O [[vice-society|Vice Society]] utilizou o Zeppelin em campanhas contra o setor educacional. ## Visão Geral [[zeppelin-ransomware|Zeppelin]] é um ransomware como Serviço (RaaS) desenvolvido em **Delphi**, linguagem de programação Pascal que produz binários de difícil análise automática por ferramentas de segurança treinadas em C/C++. O Zeppelin é derivado da família VegaLocker (também conhecida como Vega e Buran), uma linhagem de ransomwares que se consolidou como base para múltiplos projetos RaaS a partir de 2019. O Zeppelin entrou em operação em dezembro de 2019 com um modelo de negócio RaaS típico: desenvolvedores do malware alugam o builder e a infraestrutura para affiliates que executam os ataques e dividem os lucros. Os affiliates miram preferêncialmente **saúde, defesa, tecnologia e educação** nos EUA e Europa. A públicação do advisory conjunto FBI/CISA **AA22-223A** em agosto de 2022 confirmou que o ransomware era uma ameaça ativa com impacto significativo em infraestrutura crítica americana. Um diferencial técnico notável do [[zeppelin-ransomware|Zeppelin]] é a prática de **executar múltiplas passadas de cifragem** nos arquivos da vítima - alguns afiliados configuravam o malware para cifrar os dados três vezes antes de negociar. Isso criava uma complexidade adicional na recuperação pois as vítimas que conseguiam pagar precisavam de múltiplas chaves de decriptação na ordem correta. A criptografia utiliza RSA-512 para proteger a chave de sessão AES-256 usada na cifragem dos arquivos. Em 2022, pesquisadores da Unit 221B conseguiram quebrar a criptografia RSA-512 usada por algumas variantes, possibilitando a criação de uma ferramenta de decriptação gratuita. **Plataformas:** Windows ## Como Funciona 1. **Acesso inicial múltiplo:** O Zeppelin usa três vetores principais: exploração de vulnerabilidades em aplicações públicas ([[t1190-exploit-public-facing-application|T1190]]), acesso via RDP/VPN comprometido ([[t1133-external-remote-services|T1133]]) e phishing com anexos maliciosos ([[t1566-001-spearphishing-attachment|T1566.001]]). 2. **Reconhecimento:** Mapeia o ambiente, identifica sistemas críticos e enumera arquivos e diretórios valiosos ([[t1082-system-information-discovery|T1082]], [[t1083-file-and-directory-discovery|T1083]]). 3. **Preparação pré-cifragem:** Para serviços críticos ([[t1489-service-stop|T1489]]), desabilita proteções de segurança ([[t1562-001-disable-or-modify-tools|T1562.001]]) e elimina shadow copies ([[t1490-inhibit-system-recovery|T1490]]) via CMD ([[t1059-003-windows-command-shell|T1059.003]]). 4. **Cifragem múltipla RSA-512/AES-256:** Cifra arquivos ([[t1486-data-encrypted-for-impact|T1486]]) potencialmente múltiplas vezes, adicionando extensão com ID único da vítima (ex: `.126-A0B-E23`). 5. **Nota de resgaté:** Deposita `!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT` e aguarda contato via email ou portal TOR. ```mermaid graph TB A["Acesso Inicial Triplo RDP + exploit + phishing T1190 + T1133 + T1566.001"] --> B["Reconhecimento Sistemas críticos mapeados T1082 + T1083"] B --> C["Para Serviços DB + backup + AV parados T1489 + T1562.001"] C --> D["Remove Shadow Copies Eliminação de backups T1490 - Sem recuperação"] D --> E["Cifragem Múltipla RSA-512 + AES-256 T1486 - Até 3 passadas"] E --> F["Nota de Resgaté ID único por vítima Negociação via TOR"] classDef access fill:#c0392b,color:#fff classDef recon fill:#d35400,color:#fff classDef stop fill:#8e44ad,color:#fff classDef recovery fill:#16a085,color:#fff classDef encrypt fill:#2c3e50,color:#fff classDef ransom fill:#922b21,color:#fff class A access class B recon class C stop class D recovery class E encrypt class F ransom ``` ## Timeline ```mermaid timeline title Zeppelin - Evolução e Advisory Dez 2019 : Zeppelin lançado como RaaS Delphi : Derivado da família VegaLocker/Buran 2020 : Campanhas contra saúde e defesa EUA : Vice Society adota Zeppelin 2021 : Expansão para setor educacional : Múltiplos ataques documentados Ago 2022 : FBI e CISA publicam AA22-223A : Alerta formal para infraestrutura crítica 2022 : Unit 221B quebra RSA-512 : Decryptor gratuito para algumas variantes 2023 : Atividade diminui - Vice Society muda ferramentas : Zeppelin considerado inativo ``` ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1190-exploit-public-facing-application\|T1190]] | Exploração de vulnerabilidades em apps públicas | | Initial Access | [[t1133-external-remote-services\|T1133]] | Acesso via RDP/VPN comprometido | | Initial Access | [[t1566-001-spearphishing-attachment\|T1566.001]] | Phishing com anexos maliciosos | | Discovery | [[t1082-system-information-discovery\|T1082]] | Reconhecimento do ambiente | | Discovery | [[t1083-file-and-directory-discovery\|T1083]] | Mapeamento de arquivos valiosos | | Execution | [[t1059-003-windows-command-shell\|T1059.003]] | Comandos CMD para preparação | | Defense Evasion | [[t1562-001-disable-or-modify-tools\|T1562.001]] | Desativação de proteções de segurança | | Impact | [[t1489-service-stop\|T1489]] | Parada de serviços críticos | | Impact | [[t1490-inhibit-system-recovery\|T1490]] | Eliminação de shadow copies | | Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Cifragem RSA-512/AES-256 múltipla | ## Relevância LATAM/Brasil O [[zeppelin-ransomware|Zeppelin]] não tem ataques documentados diretamente ao Brasil, mas sua linhagem e o grupo [[vice-society|Vice Society]] são altamente relevantes para o contexto latino-americano. O setor de **saúde** no Brasil - com hospitais públicos e privados de grande porte, prontuários eletrônicos e sistemas de regulação - encaixa-se exatamente no perfil de alvos preferidos do Zeppelin: organizações com dados críticos e baixa tolerância a downtime. A linhagem VegaLocker/Buran/Zeppelin demonstra como o ecossistema RaaS se desenvolveu ao longo do tempo, com código sendo reutilizado e adaptado por múltiplos grupos. Variants modernas de ransomware que atacam o Brasil frequentemente derivam de famílias similares. O advisory FBI/CISA AA22-223A serve como referência para equipes de segurança brasileiras estruturarem defesas contra essa categoria de ransomware Delphi-based. O fato de pesquisadores terem conseguido quebrar o RSA-512 do Zeppelin demonstra a importância de não pagar resgaté e buscar pesquisadores de segurança e autoridades antes de tomar decisões sobre pagamento. **Setores impactados:** saúde - defesa - [[education|educação]] - [[technology|tecnologia]] - infraestrutura crítica ## Detecção - Monitorar acesso RDP de IPs externos - especialmente fora do horário comercial ou de locais geográficos incomuns - Detectar criação de arquivos com extensão no formato `.[A-F0-9]{3}-[A-F0-9]{3}-[A-F0-9]{3}` (padrão Zeppelin) - Alertar para execução em massa de `vssadmin delete shadows` e `bcdedit /set recoveryenabled no` - Monitorar parada sequencial de serviços médicos (HL7, sistemas de imagem) em curto intervalo - Verificar logs de RDP para tentativas de força bruta e acessos de IPs de proxies/VPNs comerciais - Contato com Unit 221B ou No More Ransom Project antes de qualquer pagamento de resgaté ## Referências - [1](https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-223a) CISA/FBI - AA22-223A Zeppelin Ransomware Advisory (2022) - [2](https://www.bleepingcomputer.com/news/security/zeppelin-ransomware-can-encrypt-files-multiple-times/) BleepingComputer - Zeppelin Multiple Encryption Analysis (2022) - [3](https://unit221b.com/zeppelin-ransomware-decryption/) Unit 221B - Zeppelin RSA-512 Decryption Tool (2022) - [4](https://www.crowdstrike.com/blog/zeppelin-ransomware-technical-analysis/) CrowdStrike - Zeppelin Delphi RaaS Analysis (2021) - [5](https://www.mandiant.com/resources/blog/ransomware-ecosystem-report-2022) Mandiant - Ransomware Ecosystem VegaLocker Family (2022)