Morphisec Labs виявила нову кампанію, де зловмисники використовують ConnectWise Control (ScreenConnect) для доставки ransomware Zeppelin, націленого на нерухомість, охорону здоров’я та IT-компанії.

Як це працює?

-Зловмисники отримують доступ до системи через ScreenConnect, виконуючи команди через CMD shell.
-PowerShell-завантажувач із C2-сервера (hxxp://45.142.213[.]167) доставляє Zeppelin у запакованій (oxford.exe) або незапакованій (oxfordnew.exe) формі.
-Атака включає крадіжку резервних копій баз даних і зупинку їхніх процесів.
-Використовуються також інші шкідники: Vidar, Cobalt Strike та Buran.

Що загрожує? Шифрування даних, витік інформації та персистентність у системі.

Як захиститися?

-Перевірте систему за хешами (наприклад, MD5: FEE6BA9A0D7A805B3281D4F955821C1C).
-Використовуйте захист, як-от Morphisec Moving Target Defense.
-Обмежте доступ до віддалених інструментів типу ScreenConnect.
-Оновлюйте антивірусне ПЗ та слідкуйте за підозрілими командами.

Zeppelin — частина VegaLocker, що розвивається як ransomware-as-a-service. Захищайте свої дані!