聯邦調查局：Zeppelin勒索軟體使用了新的破壞方式和加密策略

美國聯邦調查局警告說，Zeppelin勒索軟體又重新回來了，並在其最近針對各垂直行業（特別是醫療保健）以及關鍵基礎設施組織的攻擊活動中採用了新的破壞和加密策略。

根據網路安全和基礎設施安全域性（CISA）週四釋出的公告，部署勒索軟體即服務（RaaS）的威脅者正在利用遠端桌面協議（RDP）和SonicWall防火牆的漏洞，以及之前使用的網路釣魚攻擊方式來破壞目標網路。

據CISA稱，Zeppelin似乎還有一個新的多重加密戰術，該戰術可以在受害者的網路中不止一次地執行惡意軟體，併為多個例項的攻擊建立不同的ID和檔案擴充套件。

根據該公告，攻擊可能會導致受害者需要幾個獨特的解密金鑰才能進行解密。

該機構說，CISA已經通過聯邦調查局的各種調查確定了Zeppelin的多個變體，最近的攻擊發生在6月21日。

目標和戰術

據BlackBerry Cylance稱，Zeppelin是基於Delphi的勒索軟體即服務（RaaS）系列的一個變種，該軟體最初被稱為Vega或VegaLocker，它在2019年初出現在俄羅斯Yandex.Direct的廣告中。

與它的前身不同，Zeppelin的活動更有針對性，威脅者首先瞄準了歐洲和美國的科技和醫療公司。

據CISA稱，最新的攻擊活動繼續會以醫療保健和醫療組織為常見的攻擊目標。該機構說，科技公司也仍然是Zeppelin的目標，威脅者還會利用RaaS對國防承包商、教育機構和製造商進行攻擊。

據該機構稱，一旦他們成功滲入了一個網路，威脅者會花一到兩週的時間探索或列舉網路設施，以確定儲存資料的伺服器，包括雲端儲存和網路備份。然後，他們會將Zeppelin勒索軟體部署為一個.dll或.exe檔案，或將其包含在PowerShell載入器中。

據CISA稱，Zeppelin似乎還在其最新的攻擊活動中使用了常見的勒索軟體戰術，在加密之前從目標中滲出大量的敏感資料檔案，如果受害者拒絕支付，以後可能會在網上公佈。

多種加密方式

據CISA稱，一旦Zeppelin勒索軟體在網路內被執行，每個加密檔案都會附加一個隨機的九位十六進位制數字作為副檔名，例如file.txt.txt.C59-E0C-929。

該機構說，威脅者還在被攻擊的系統上留下一個包括贖金說明在內的檔案，通常是在使用者桌面系統上。Zeppelin攻擊者通常要求使用比特幣進行付款，金額從幾千美元到超過100萬美元不等。

據CISA稱，最新的攻擊活動還顯示，威脅者使用了一種與Zeppelin有關的新策略，在受害者的網路中多次執行惡意軟體，這意味著受害者將需要不是一個而是多個解密金鑰來解鎖檔案。

然而，一位安全專家指出，這可能並不是勒索軟體攻擊最有特色的一方面。安全公司KnowBe4的資料驅動防禦佈道者說，威脅者分別加密不同的檔案，但使用一個主金鑰來解鎖系統，這種情況並不罕見。

他在一封電子郵件中告訴媒體，今天大多數勒索軟體程式都有一個總體的主金鑰，它加密了一堆其他的金鑰，而這些金鑰才是真正的用來解密的祕鑰。

Grimes說，當受害者要求證明勒索軟體攻擊者有解密金鑰，可以在支付贖金的情況下成功解鎖檔案時，勒索軟體集團就會使用一個金鑰來解鎖一組檔案以證明其能力。

本文翻譯自：http://threatpost.com/zeppelin-ransomware-resurfaces/180405/如若轉載，請註明原文地址