美国网络安全和基础设施安全局(CISA)和联邦调查局(FBI)已发布联合公告,警告Zeppelin勒索软件攻击。Zeppelin 勒索软件于2019 年11月首次出现在威胁领域,当时来自 BlackBerry Cylance 的专家发现了一种名为Zeppelin的Vega RaaS 的新变体。该勒索软件涉及针对欧洲、美国和加拿大的技术和医疗保健、国防承包商、教育机构、制造商、公司的攻击。Zeppelin 被发现时是通过水坑攻击分发的,其中 PowerShell 有效负载托管在 Pastebin 网站上。
在部署Zeppelin勒索软件之前,攻击者会花费几周时间映射受害者网络,以确定他们感兴趣的数据存储在哪里。勒索软件可以部署为 .dll 或 .exe 文件,也可以包含在 PowerShell 加载程序中。
Zeppelin威胁行为者要求受害者以比特币支付赎金,金额从几千美元到超过一百万美元不等。该组织使用多种攻击媒介来访问受害者网络,包括 RDP 攻击、SonicWall 防火墙漏洞利用和网络钓鱼攻击。威胁行为者还实施双重勒索模型,威胁要泄露被盗文件,以防受害者拒绝支付赎金。
Zeppelin通常部署为 PowerShell 加载程序中的 .dll 或 .exe 文件。对于每个加密文件,它会附加一个随机的 9 位十六进制数字作为扩展名。在受感染的系统上(通常在桌面上)放置了赎金记录。FBI 观察到Zeppelin 攻击者在受害者网络中多次执行恶意软件的情况,导致每次攻击都创建不同的 ID 或文件扩展名;这导致受害者需要唯一的解密密钥。
对此,美国机构建议不要支付赎金,因为无法保证加密文件能够恢复,支付勒索软件会鼓励非法勒索行为。FBI还鼓励组织报告与 Zeppelin 运营商的任何互动,包括日志、比特币钱包信息、加密文件样本和解密文件。
为了降低勒索软件攻击的风险,建议组织定义恢复计划,实施多因素身份验证,使所有操作系统、软件和固件保持最新,实施强密码策略,分段网络,禁用未使用的端口和服务,审核用户帐户和域控制器,实施最低权限访问策略,查看域控制器、服务器、工作站和活动目录,维护数据的脱机备份,并识别、检测和调查异常活动和指示的勒索软件的潜在遍历带有网络监控工具。
