美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)和聯(lián)邦調(diào)查局(FBI)已發(fā)布聯(lián)合公告，警告Zeppelin勒索軟件攻擊。Zeppelin 勒索軟件于2019 年11月首次出現(xiàn)在威脅領(lǐng)域，當(dāng)時(shí)來自 BlackBerry Cylance 的專家發(fā)現(xiàn)了一種名為Zeppelin的Vega RaaS 的新變體。該勒索軟件涉及針對(duì)歐洲、美國和加拿大的技術(shù)和醫(yī)療保健、國防承包商、教育機(jī)構(gòu)、制造商、公司的攻擊。Zeppelin 被發(fā)現(xiàn)時(shí)是通過水坑攻擊分發(fā)的，其中 PowerShell 有效負(fù)載托管在 Pastebin 網(wǎng)站上。

在部署Zeppelin勒索軟件之前，攻擊者會(huì)花費(fèi)幾周時(shí)間映射受害者網(wǎng)絡(luò)，以確定他們感興趣的數(shù)據(jù)存儲(chǔ)在哪里。勒索軟件可以部署為 .dll 或 .exe 文件，也可以包含在 PowerShell 加載程序中。

Zeppelin威脅行為者要求受害者以比特幣支付贖金，金額從幾千美元到超過一百萬美元不等。該組織使用多種攻擊媒介來訪問受害者網(wǎng)絡(luò)，包括 RDP 攻擊、SonicWall 防火墻漏洞利用和網(wǎng)絡(luò)釣魚攻擊。威脅行為者還實(shí)施雙重勒索模型，威脅要泄露被盜文件，以防受害者拒絕支付贖金。

Zeppelin通常部署為 PowerShell 加載程序中的 .dll 或 .exe 文件。對(duì)于每個(gè)加密文件，它會(huì)附加一個(gè)隨機(jī)的 9 位十六進(jìn)制數(shù)字作為擴(kuò)展名。在受感染的系統(tǒng)上（通常在桌面上）放置了贖金記錄。FBI 觀察到Zeppelin 攻擊者在受害者網(wǎng)絡(luò)中多次執(zhí)行惡意軟件的情況，導(dǎo)致每次攻擊都創(chuàng)建不同的 ID 或文件擴(kuò)展名；這導(dǎo)致受害者需要唯一的解密密鑰。

對(duì)此，美國機(jī)構(gòu)建議不要支付贖金，因?yàn)闊o法保證加密文件能夠恢復(fù)，支付勒索軟件會(huì)鼓勵(lì)非法勒索行為。FBI還鼓勵(lì)組織報(bào)告與 Zeppelin 運(yùn)營商的任何互動(dòng)，包括日志、比特幣錢包信息、加密文件樣本和解密文件。

為了降低勒索軟件攻擊的風(fēng)險(xiǎn)，建議組織定義恢復(fù)計(jì)劃，實(shí)施多因素身份驗(yàn)證，使所有操作系統(tǒng)、軟件和固件保持最新，實(shí)施強(qiáng)密碼策略，分段網(wǎng)絡(luò)，禁用未使用的端口和服務(wù)，審核用戶帳戶和域控制器，實(shí)施最低權(quán)限訪問策略，查看域控制器、服務(wù)器、工作站和活動(dòng)目錄，維護(hù)數(shù)據(jù)的脫機(jī)備份，并識(shí)別、檢測和調(diào)查異常活動(dòng)和指示的勒索軟件的潛在遍歷帶有網(wǎng)絡(luò)監(jiān)控工具。