Empresas de salud y tecnología de Europa, Canadá y Estados Unidos han estado siendo objeto de ataques selectivos por parte de ciberdelincuentes a través de elementos denominados ransomware, software de rescate malicioso destinado a la extracción de información, para lucrar con ella mediante la extorsión.
Uno de ellos denominado Zeppelin posee características que podrían guardar similitudes con VegaLocker, otra especie de malware basada en cifrado de red cuyo funcionamiento ha sido optimizado a un punto en el que, analistas de seguridad de Blackberry Cylance lo han catalogado como un nuevo tipo de software de rescate.
Tras una serie de análisis efectuados al código de Zeppelin se detectó que su compilación fue llevada a cabo a principios de noviembre en el que, durante el transcurso de un mes, se pudo determinar que las empresas de tecnología y salud distribuidas a lo largo de toda Europa y Estados Unidos representaban el objetivo principal de sus ataques.
De acuerdo con los investigadores involucrados en el análisis de Zeppelin, el mismo actúa diseminándose por medio de ataques efectuados a la cadena de suministro de los Proveedores de Servicios de Seguridad Gestionados (MSSPs por sus siglas en ingles), logrando replicar el método empleado por el ransomware Sodinokibi.
Otra explicación establece que el software de rescate Zeppelin se extiende a través de operaciones de publicidad maliciosa mediante las cuales puede liberar el contenido malicioso sobre el equipo especifico.
Una particularidad de Zeppelin es que su funcionamiento posee un alto nivel de configuración donde, una vez desplegado, puede actuar sobre archivos en formato DLL, EXE o en un cargador PowerShell, comenzando, previo a su expansión en el equipo destino, la instalación de una carpeta temporal llamada .zeppelin.
Tras haber encriptado los archivos, Zeppelin notifica a la victima del equipo atacado con una nota de rescate redactada en un archivo en texto, el cual, puede contener un mensaje genérico corto o una nota personalizada hacia la organización o empresa a la cual va dirigido el ataque, exigiendo por lo general, el pago de bitcoins a cambio de recuperar los archivos.