Zeppelin勒索软件重出水面,采用新的入侵和加密策略
根据国外媒体报道,Zeppelin 勒索软件重新浮出水面,并与近期针对各种垂直行业,尤其是医疗保健行业以及关键基础设施组织攻击,在攻击活动中采用新的入侵和加密策略。
根据美国网络安全和基础设施安全局(CISA)的建议,部署勒索软件即服务 (RaaS) 的攻击者正在利用远程桌面协议 (RDD) 和 SonicWall 防火墙漏洞,以及以前使用的网络钓鱼活动来破坏目标网络。
Zeppelin 似乎还有一种新的多重加密策略,在受害者的网络中多次执行恶意软件,并为多实例攻击创建不同的 ID 和文件扩展名,这导致受害者需要几个唯一的解密密钥。
Zeppelin勒索软件
Zeppelin是基于Delphi 的勒索软件即服务 (RaaS) 系列的变体,最初称为 Vega 或 VegaLocker,于 2019 年初出现在俄罗斯 Yandex.Direct 的广告中。与其前身不同,Zeppelin 的活动更具针对性,攻击者首先瞄准欧洲和美国的科技和医疗保健公司。
根据 CISA 的说法,最新的活动继续针对医疗保健和医疗组织。该机构表示,科技公司也仍然是 Zeppelin 的目标,攻击者也使用 RaaS 攻击国防承包商、教育机构和制造商。
一旦他们成功渗透到网络中,威胁行为者就会花费一到两周的时间对其进行映射或枚举以识别数据位置,包括云存储和网络备份。然后,他们将 Zeppelin 勒索软件部署为 .dll 或 .exe 文件或包含在 PowerShell 加载程序中。
据 CISA 称, Zeppelin 在其最新的攻击活动中似乎也在使用双重勒索的常见勒索软件策略,在加密之前从目标中窃取敏感数据文件,以便稍后在受害者拒绝付款时在线发布。
多重加密
根据 CISA称,一旦 Zeppelin 勒索软件在网络上执行,每个加密文件都会附加一个随机的 9 位十六进制数字作为文件扩展名,例如 file.txt.txt.C59-E0C-929。
该机构表示,攻击者还会留下一个笔记文件,其中包括有关受感染系统的赎金记录,通常是在用户桌面系统上。Zeppelin攻击者通常要求以数千美元到超过 100 万美元的比特币付款。
据 CISA 称,最新的活动还显示攻击者使用与 Zeppelin 相关的新策略在受害者的网络中多次执行恶意软件,这意味着受害者需要多个解密密钥来解锁文件。
声明:原文来源threatpost,沃通翻译整理,目的在于传递更多信息。如有侵权,请联系本站处理。