2022年8月11日(木)、米国連邦捜査局(FBI)は、脅威アクターが2019年から少なくとも2022年6月までゼッペリンランサムウェアを使用しており、防衛関連企業、教育機関、メーカー、テクノロジー企業、特にヘルスケアや医療業界の組織など、幅広い企業や重要インフラ組織が標的になっていることを明らかにしたTLP:WHITE共同のサイバーセキュリティアドバイザリー(勧告)を発表しました。ゼッペリンランサムウェアは、デルフィベースのヴェガマルウェアファミリーの派生版で、ランサムウェアの被害者が身代金をビットコインで支払うよう求められるRansomware as a Service(RaaS)として機能しています。身代金の初期金額は、数千ドルから100万ドル以上であることが確認されています。
今回の合同サイバーセキュリティアドバイザリーは、サイバーセキュリティおよびインフラセキュリティ庁(CISA)と連携し、既知のゼッペリンランサムウェアのIOCと、2022年6月21日の時点でFBIの調査を通じて特定されたランサムウェア亜種に関するTTPを普及させるための主要サイバー脅威情報を公開したものです。この勧告では、脅威アクターが被害者のネットワーク内でゼッペリンランサムウェアを複数回実行し、攻撃のたびに異なるIDまたはファイル拡張子が作成され、その結果、被害者が複数の固有の復号鍵を必要とするインシデントがFBIによって確認されたことも明らかにされています。
この警告の中で、FBIは、ゼッペリンランサムウェアに関連するあらゆる情報を共有するよう求めています。この情報には、「海外のIPアドレスとの通信を示す境界ログ、身代金請求書のサンプル、ゼッペリンアクターとの通信、ビットコイン財布情報、復号化ファイル、暗号化ファイルの良性サンプル」などが含まれる可能性があります。