根據國外媒體報道,Zeppelin 勒索軟件重新浮出水面,並與近期針對各種垂直行業,尤其是醫療保健行業以及關鍵基礎設施組織攻擊,在攻擊活動中採用新的入侵和加密策略。
根據美國網絡安全和基礎設施安全局(CISA)的建議,部署勒索軟件即服務 (RaaS) 的攻擊者正在利用遠程桌面協議 (RDD) 和 SonicWall 防火牆漏洞,以及以前使用的網絡釣魚活動來破壞目標網絡。
Zeppelin 似乎還有一種新的多重加密策略,在受害者的網絡中多次執行惡意軟件,併爲多實例攻擊創建不同的 ID 和文件擴展名,這導致受害者需要幾個唯一的解密密鑰。
Zeppelin勒索軟件
Zeppelin是基於Delphi 的勒索軟件即服務 (RaaS) 系列的變體,最初稱爲 Vega 或 VegaLocker,於 2019 年初出現在俄羅斯 Yandex.Direct 的廣告中。與其前身不同,Zeppelin 的活動更具針對性,攻擊者首先瞄準歐洲和美國的科技和醫療保健公司。
根據 CISA 的說法,最新的活動繼續針對醫療保健和醫療組織。該機構表示,科技公司也仍然是 Zeppelin 的目標,攻擊者也使用 RaaS 攻擊國防承包商、教育機構和製造商。
一旦他們成功滲透到網絡中,威脅行爲者就會花費一到兩週的時間對其進行映射或枚舉以識別數據位置,包括雲存儲和網絡備份。然後,他們將 Zeppelin 勒索軟件部署爲 .dll 或 .exe 文件或包含在 PowerShell 加載程序中。
據 CISA 稱, Zeppelin 在其最新的攻擊活動中似乎也在使用雙重勒索的常見勒索軟件策略,在加密之前從目標中竊取敏感數據文件,以便稍後在受害者拒絕付款時在線發佈。
多重加密
根據 CISA稱,一旦 Zeppelin 勒索軟件在網絡上執行,每個加密文件都會附加一個隨機的 9 位十六進制數字作爲文件擴展名,例如 file.txt.txt.C59-E0C-929。
該機構表示,攻擊者還會留下一個筆記文件,其中包括有關受感染系統的贖金記錄,通常是在用戶桌面系統上。Zeppelin攻擊者通常要求以數千美元到超過 100 萬美元的比特幣付款。
據 CISA 稱,最新的活動還顯示攻擊者使用與 Zeppelin 相關的新策略在受害者的網絡中多次執行惡意軟件,這意味着受害者需要多個解密密鑰來解鎖文件。
聲明:原文來源threatpost,沃通翻譯整理,目的在於傳遞更多信息。如有侵權,請聯繫本站處理。