联邦调查局：Zeppelin勒索软件使用了新的破坏方式和加密策略

美国联邦调查局警告说，Zeppelin勒索软件又重新回来了，并在其最近针对各垂直行业（特别是医疗保健）以及关键基础设施组织的攻击活动中采用了新的破坏和加密策略。

根据网络安全和基础设施安全局（CISA）周四发布的公告，部署勒索软件即服务（RaaS）的威胁者正在利用远程桌面协议（RDP）和SonicWall防火墙的漏洞，以及之前使用的网络钓鱼攻击方式来破坏目标网络。

 据CISA称，Zeppelin似乎还有一个新的多重加密战术，该战术可以在受害者的网络中不止一次地执行恶意软件，并为多个实例的攻击创建不同的ID和文件扩展。

根据该公告，攻击可能会导致受害者需要几个独特的解密密钥才能进行解密。

该机构说，CISA已经通过联邦调查局的各种调查确定了Zeppelin的多个变体，最近的攻击发生在6月21日。

目标和战术

据BlackBerry Cylance称，Zeppelin是基于Delphi的勒索软件即服务（RaaS）系列的一个变种，该软件最初被称为Vega或VegaLocker，它在2019年初出现在俄罗斯Yandex.Direct的广告中。

与它的前身不同，Zeppelin的活动更有针对性，威胁者首先瞄准了欧洲和美国的科技和医疗公司。

据CISA称，最新的攻击活动继续会以医疗保健和医疗组织为常见的攻击目标。该机构说，科技公司也仍然是Zeppelin的目标，威胁者还会利用RaaS对国防承包商、教育机构和制造商进行攻击。

据该机构称，一旦他们成功渗入了一个网络，威胁者会花一到两周的时间探索或枚举网络设施，以确定存储数据的服务器，包括云存储和网络备份。然后，他们会将Zeppelin勒索软件部署为一个.dll或.exe文件，或将其包含在PowerShell加载器中。

据CISA称，Zeppelin似乎还在其最新的攻击活动中使用了常见的勒索软件战术，在加密之前从目标中渗出大量的敏感数据文件，如果受害者拒绝支付，以后可能会在网上公布。

多种加密方式

据CISA称，一旦Zeppelin勒索软件在网络内被执行，每个加密文件都会附加一个随机的九位十六进制数字作为文件扩展名，例如file.txt.txt.C59-E0C-929。

该机构说，威胁者还在被攻击的系统上留下一个包括赎金说明在内的文件，通常是在用户桌面系统上。Zeppelin攻击者通常要求使用比特币进行付款，金额从几千美元到超过100万美元不等。

据CISA称，最新的攻击活动还显示，威胁者使用了一种与Zeppelin有关的新策略，在受害者的网络中多次执行恶意软件，这意味着受害者将需要不是一个而是多个解密密钥来解锁文件。

然而，一位安全专家指出，这可能并不是勒索软件攻击最有特色的一方面。安全公司KnowBe4的数据驱动防御布道者说，威胁者分别加密不同的文件，但使用一个主密钥来解锁系统，这种情况并不罕见。

他在一封电子邮件中告诉媒体，今天大多数勒索软件程序都有一个总体的主密钥，它加密了一堆其他的密钥，而这些密钥才是真正的用来解密的秘钥。

Grimes说，当受害者要求证明勒索软件攻击者有解密密钥，可以在支付赎金的情况下成功解锁文件时，勒索软件集团就会使用一个密钥来解锁一组文件以证明其能力。