美国网络安全和基础设施安全局(CISA)和联邦调查局(FBI)发布了Zeppelin勒索软件攻击联合公告警告。Zeppelin勒索软件于2019年11月首次出现在威胁领域,当时BlackBerryCylance的专家发现了VegaRaaS的一个新变体,称为Zeppelin。该勒索软件涉及对欧洲、美国和加拿大的技术和医疗保健、国防承包商、教育机构、制造商和公司的攻击。Zeppelin被发现通过水坑攻击进行分发,其中PowerShell有效负载托管在Pastebin网站上。在部署Zeppelin勒索软件之前,攻击者会花费数周时间映射受害网络以确定他们感兴趣的数据的存储位置。勒索软件可以部署为.dll或.exe文件,或包含在PowerShell加载程序中。Zeppelin威胁行为者要求用比特币支付赎金,金额从几千美元到超过一百万美元不等。该组织使用各种攻击媒介来访问受害网络,包括RDP攻击、SonicWall防火墙漏洞利用和网络钓鱼攻击。威胁行为者还实施双重勒索模式,威胁要在受害者拒绝支付赎金的情况下泄露被盗文件。Zeppelin通常在PowerShell加载程序中部署为.dll或.exe文件。对于每个加密文件,它附加一个随机的9位十六进制数作为扩展名。在受感染的系统(通常在桌面上)上会放一张勒索字条。FBI观察到Zeppelin攻击者在受害者网络中多次执行恶意软件的实例,导致每次攻击都创建不同的ID或文件扩展名;这导致受害者需要一个唯一的解密密钥。对此,美国机构建议不要支付赎金,因为无法保证加密文件能够恢复,支付勒索软件会助长非法勒索。FBI还鼓励组织报告与Zeppelin运营商的任何互动,包括日志、比特币钱包信息、加密文件样本和解密文件。为降低勒索软件攻击的风险,建议组织定义恢复计划,实施多因素身份验证,使所有操作系统、软件和固件保持最新状态,实施强密码策略,分段网络,禁用未使用的端口和服务,并进行审计用户帐户和域控制器,执行最低权限访问策略,查看域控制器、服务器、工作站和ActiveDirectory,维护数据的离线备份,并识别、检测和调查异常活动和潜在的勒索软件遍历指示网络监控工具。
