FBI:Zeppelin勒索软件使用新的破坏方法和加密策略在针对基础设施组织的攻击中使用了新的漏洞和加密策略。根据网络安全和基础设施安全局(CISA)周四发布的公告,部署勒索软件即服务(RaaS)的威胁参与者正在利用远程桌面协议(RDP)和SonicWall防火墙中的漏洞,以及之前使用的网络钓鱼攻击).破坏目标网络。根据CISA的说法,Zeppelin似乎还有一种新的多重加密策略,可以在受害者的网络中多次执行恶意软件,并为多次攻击实例创建不同的ID和文件扩展名。根据公告,攻击可能导致受害者需要几个唯一的解密密钥才能解密。该机构表示,CISA通过FBI的各种调查发现了Zeppelin的多种变体,最近的一次调查发生在6月21日。目标和策略根据BlackBerryCylance的说法,Zeppelin是基于Delphi的勒索软件即服务(RaaS)系列的变体,最初称为Vega或VegaLocker,于2019年初出现在俄罗斯Yandex.Direct的一则广告中。与其前身不同,Zeppelin的活动更具针对性,威胁参与者首先针对欧洲和美国的技术和医疗保健公司。据CISA称,最新的活动继续频繁地针对医疗保健和医疗组织。该机构表示,科技公司也继续成为Zeppelin的攻击目标,威胁行为者还使用RaaS攻击国防承包商、教育机构和制造商。据该机构称,一旦他们成功渗透到网络中,威胁行为者就会花费一到两周的时间探索或枚举网络设施,以识别存储数据的服务器,包括云存储和网络备份。然后,他们将Zeppelin勒索软件部署为.dll或.exe文件,或将其包含在PowerShell加载程序中。据CISA称,Zeppelin在其最新的活动中似乎也使用了常见的勒索软件策略,从目标中窃取大量敏感数据文件,然后再对其进行加密,如果受害者拒绝付款,则可能会在稍后将其发布到网上。多种加密方式据CISA介绍,Zeppelin勒索病毒一旦在网络中执行,每个加密文件都会附加一个随机的九位十六进制数作为文件扩展名,例如file.txt.txt.C59-E0C-929。该机构表示,威胁行为者还会在受感染的系统上留下一个文件,其中包括勒索票据,通常是在用户的桌面上。Zeppelin攻击者通常要求用比特币支付,金额从几千美元到超过100万美元不等。根据CISA的说法,最新的活动还显示,威胁行为者使用了一种新的Zeppelin相关策略,在受害者的网络中多次执行恶意软件,这意味着受害者需要的不是一个而是多个解密密钥来解锁文件。不过,一位安全专家指出,这可能不是勒索软件攻击最显着的方面。安全公司KnowBe4的数据驱动防御布道者表示,威胁参与者单独加密不同文件但使用一个主密钥解锁系统的情况并不少见。他在一封电子邮件中告诉媒体,当今大多数勒索软件程序都有一个包罗万象的主密钥,可以加密一堆实际用于解密的其他密钥。Grimes说,当受害者要求证明勒索软件攻击者拥有解密密钥并且可以在支付赎金的情况下成功解锁文件时,勒索软件组织会使用密钥来解锁一组文件以证明他们的能力。本文翻译自:https://threatpost.com/zeppelin-ransomware-resurfaces/180405/如有转载请注明出处。
