美國(guó)聯(lián)邦調(diào)查局警告說(shuō)，Zeppelin勒索軟件又重新回來(lái)了，并在其最近針對(duì)各垂直行業(yè)（特別是醫(yī)療保健）以及關(guān)鍵基礎(chǔ)設(shè)施組織的攻擊活動(dòng)中采用了新的破壞和加密策略。

根據(jù)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）周四發(fā)布的公告，部署勒索軟件即服務(wù)（RaaS）的威脅者正在利用遠(yuǎn)程桌面協(xié)議（RDP）和SonicWall防火墻的漏洞，以及之前使用的網(wǎng)絡(luò)釣魚攻擊方式來(lái)破壞目標(biāo)網(wǎng)絡(luò)。

 據(jù)CISA稱，Zeppelin似乎還有一個(gè)新的多重加密戰(zhàn)術(shù)，該戰(zhàn)術(shù)可以在受害者的網(wǎng)絡(luò)中不止一次地執(zhí)行惡意軟件，并為多個(gè)實(shí)例的攻擊創(chuàng)建不同的ID和文件擴(kuò)展。

根據(jù)該公告，攻擊可能會(huì)導(dǎo)致受害者需要幾個(gè)獨(dú)特的解密密鑰才能進(jìn)行解密。

該機(jī)構(gòu)說(shuō)，CISA已經(jīng)通過(guò)聯(lián)邦調(diào)查局的各種調(diào)查確定了Zeppelin的多個(gè)變體，最近的攻擊發(fā)生在6月21日。

目標(biāo)和戰(zhàn)術(shù)

據(jù)BlackBerry Cylance稱，Zeppelin是基于Delphi的勒索軟件即服務(wù)（RaaS）系列的一個(gè)變種，該軟件最初被稱為Vega或VegaLocker，它在2019年初出現(xiàn)在俄羅斯Yandex.Direct的廣告中。

與它的前身不同，Zeppelin的活動(dòng)更有針對(duì)性，威脅者首先瞄準(zhǔn)了歐洲和美國(guó)的科技和醫(yī)療公司。

據(jù)CISA稱，最新的攻擊活動(dòng)繼續(xù)會(huì)以醫(yī)療保健和醫(yī)療組織為常見(jiàn)的攻擊目標(biāo)。該機(jī)構(gòu)說(shuō)，科技公司也仍然是Zeppelin的目標(biāo)，威脅者還會(huì)利用RaaS對(duì)國(guó)防承包商、教育機(jī)構(gòu)和制造商進(jìn)行攻擊。

據(jù)該機(jī)構(gòu)稱，一旦他們成功滲入了一個(gè)網(wǎng)絡(luò)，威脅者會(huì)花一到兩周的時(shí)間探索或枚舉網(wǎng)絡(luò)設(shè)施，以確定存儲(chǔ)數(shù)據(jù)的服務(wù)器，包括云存儲(chǔ)和網(wǎng)絡(luò)備份。然后，他們會(huì)將Zeppelin勒索軟件部署為一個(gè).dll或.exe文件，或?qū)⑵浒赑owerShell加載器中。

據(jù)CISA稱，Zeppelin似乎還在其最新的攻擊活動(dòng)中使用了常見(jiàn)的勒索軟件戰(zhàn)術(shù)，在加密之前從目標(biāo)中滲出大量的敏感數(shù)據(jù)文件，如果受害者拒絕支付，以后可能會(huì)在網(wǎng)上公布。

多種加密方式

據(jù)CISA稱，一旦Zeppelin勒索軟件在網(wǎng)絡(luò)內(nèi)被執(zhí)行，每個(gè)加密文件都會(huì)附加一個(gè)隨機(jī)的九位十六進(jìn)制數(shù)字作為文件擴(kuò)展名，例如file.txt.txt.C59-E0C-929。

該機(jī)構(gòu)說(shuō)，威脅者還在被攻擊的系統(tǒng)上留下一個(gè)包括贖金說(shuō)明在內(nèi)的文件，通常是在用戶桌面系統(tǒng)上。Zeppelin攻擊者通常要求使用比特幣進(jìn)行付款，金額從幾千美元到超過(guò)100萬(wàn)美元不等。

據(jù)CISA稱，最新的攻擊活動(dòng)還顯示，威脅者使用了一種與Zeppelin有關(guān)的新策略，在受害者的網(wǎng)絡(luò)中多次執(zhí)行惡意軟件，這意味著受害者將需要不是一個(gè)而是多個(gè)解密密鑰來(lái)解鎖文件。

然而，一位安全專家指出，這可能并不是勒索軟件攻擊最有特色的一方面。安全公司KnowBe4的數(shù)據(jù)驅(qū)動(dòng)防御布道者說(shuō)，威脅者分別加密不同的文件，但使用一個(gè)主密鑰來(lái)解鎖系統(tǒng)，這種情況并不罕見(jiàn)。

他在一封電子郵件中告訴媒體，今天大多數(shù)勒索軟件程序都有一個(gè)總體的主密鑰，它加密了一堆其他的密鑰，而這些密鑰才是真正的用來(lái)解密的秘鑰。

Grimes說(shuō)，當(dāng)受害者要求證明勒索軟件攻擊者有解密密鑰，可以在支付贖金的情況下成功解鎖文件時(shí)，勒索軟件集團(tuán)就會(huì)使用一個(gè)密鑰來(lái)解鎖一組文件以證明其能力。

本文翻譯自：https://threatpost.com/zeppelin-ransomware-resurfaces/180405/如若轉(zhuǎn)載，請(qǐng)注明原文地址。