聯邦調查局:Zeppelin勒索軟體使用了新的破壞方式和加密策略

語言: CN / TW / HK

美國聯邦調查局警告說,Zeppelin勒索軟體又重新回來了,並在其最近針對各垂直行業(特別是醫療保健)以及關鍵基礎設施組織的攻擊活動中採用了新的破壞和加密策略。

根據網路安全和基礎設施安全域性(CISA)週四釋出的公告,部署勒索軟體即服務(RaaS)的威脅者正在利用遠端桌面協議(RDP)和SonicWall防火牆的漏洞,以及之前使用的網路釣魚攻擊方式來破壞目標網路。

據CISA稱,Zeppelin似乎還有一個新的多重加密戰術,該戰術可以在受害者的網路中不止一次地執行惡意軟體,併為多個例項的攻擊建立不同的ID和檔案擴充套件。

根據該公告,攻擊可能會導致受害者需要幾個獨特的解密金鑰才能進行解密。

該機構說,CISA已經通過聯邦調查局的各種調查確定了Zeppelin的多個變體,最近的攻擊發生在6月21日。

目標和戰術

據BlackBerry Cylance稱,Zeppelin是基於Delphi的勒索軟體即服務(RaaS)系列的一個變種,該軟體最初被稱為Vega或VegaLocker,它在2019年初出現在俄羅斯Yandex.Direct的廣告中。

與它的前身不同,Zeppelin的活動更有針對性,威脅者首先瞄準了歐洲和美國的科技和醫療公司。

據CISA稱,最新的攻擊活動繼續會以醫療保健和醫療組織為常見的攻擊目標。該機構說,科技公司也仍然是Zeppelin的目標,威脅者還會利用RaaS對國防承包商、教育機構和製造商進行攻擊。

據該機構稱,一旦他們成功滲入了一個網路,威脅者會花一到兩週的時間探索或列舉網路設施,以確定儲存資料的伺服器,包括雲端儲存和網路備份。然後,他們會將Zeppelin勒索軟體部署為一個.dll或.exe檔案,或將其包含在PowerShell載入器中。

據CISA稱,Zeppelin似乎還在其最新的攻擊活動中使用了常見的勒索軟體戰術,在加密之前從目標中滲出大量的敏感資料檔案,如果受害者拒絕支付,以後可能會在網上公佈。

多種加密方式

據CISA稱,一旦Zeppelin勒索軟體在網路內被執行,每個加密檔案都會附加一個隨機的九位十六進位制數字作為副檔名,例如file.txt.txt.C59-E0C-929。

該機構說,威脅者還在被攻擊的系統上留下一個包括贖金說明在內的檔案,通常是在使用者桌面系統上。Zeppelin攻擊者通常要求使用比特幣進行付款,金額從幾千美元到超過100萬美元不等。

據CISA稱,最新的攻擊活動還顯示,威脅者使用了一種與Zeppelin有關的新策略,在受害者的網路中多次執行惡意軟體,這意味著受害者將需要不是一個而是多個解密金鑰來解鎖檔案。

然而,一位安全專家指出,這可能並不是勒索軟體攻擊最有特色的一方面。安全公司KnowBe4的資料驅動防禦佈道者說,威脅者分別加密不同的檔案,但使用一個主金鑰來解鎖系統,這種情況並不罕見。

他在一封電子郵件中告訴媒體,今天大多數勒索軟體程式都有一個總體的主金鑰,它加密了一堆其他的金鑰,而這些金鑰才是真正的用來解密的祕鑰。

Grimes說,當受害者要求證明勒索軟體攻擊者有解密金鑰,可以在支付贖金的情況下成功解鎖檔案時,勒索軟體集團就會使用一個金鑰來解鎖一組檔案以證明其能力。

本文翻譯自:http://threatpost.com/zeppelin-ransomware-resurfaces/180405/如若轉載,請註明原文地址