美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)和聯(lián)邦調(diào)查局(FBI)已發(fā)布聯(lián)合公告，警告Zeppelin勒索軟件攻擊。Zeppelin 勒索軟件于2019 年11月首次出現(xiàn)在威脅領(lǐng)域，當時來自 BlackBerry Cylance 的專家發(fā)現(xiàn)了一種名為Zeppelin的Vega RaaS 的新變體。該勒索軟件涉及針對歐洲、美國和加拿大的技術(shù)和醫(yī)療保健、國防承包商、教育機構(gòu)、制造商、公司的攻擊。Zeppelin 被發(fā)現(xiàn)時是通過水坑攻擊分發(fā)的，其中 PowerShell 有效負載托管在 Pastebin 網(wǎng)站上。

在部署Zeppelin勒索軟件之前，攻擊者會花費幾周時間映射受害者網(wǎng)絡(luò)，以確定他們感興趣的數(shù)據(jù)存儲在哪里。勒索軟件可以部署為 .dll 或 .exe 文件，也可以包含在 PowerShell 加載程序中。

Zeppelin威脅行為者要求受害者以比特幣支付贖金，金額從幾千美元到超過一百萬美元不等。該組織使用多種攻擊媒介來訪問受害者網(wǎng)絡(luò)，包括 RDP 攻擊、SonicWall 防火墻漏洞利用和網(wǎng)絡(luò)釣魚攻擊。威脅行為者還實施雙重勒索模型，威脅要泄露被盜文件，以防受害者拒絕支付贖金。

Zeppelin通常部署為 PowerShell 加載程序中的 .dll 或 .exe 文件。對于每個加密文件，它會附加一個隨機的 9 位十六進制數(shù)字作為擴展名。在受感染的系統(tǒng)上（通常在桌面上）放置了贖金記錄。FBI 觀察到Zeppelin 攻擊者在受害者網(wǎng)絡(luò)中多次執(zhí)行惡意軟件的情況，導致每次攻擊都創(chuàng)建不同的 ID 或文件擴展名；這導致受害者需要唯一的解密密鑰。

對此，美國機構(gòu)建議不要支付贖金，因為無法保證加密文件能夠恢復，支付勒索軟件會鼓勵非法勒索行為。FBI還鼓勵組織報告與 Zeppelin 運營商的任何互動，包括日志、比特幣錢包信息、加密文件樣本和解密文件。

為了降低勒索軟件攻擊的風險，建議組織定義恢復計劃，實施多因素身份驗證，使所有操作系統(tǒng)、軟件和固件保持最新，實施強密碼策略，分段網(wǎng)絡(luò)，禁用未使用的端口和服務(wù)，審核用戶帳戶和域控制器，實施最低權(quán)限訪問策略，查看域控制器、服務(wù)器、工作站和活動目錄，維護數(shù)據(jù)的脫機備份，并識別、檢測和調(diào)查異常活動和指示的勒索軟件的潛在遍歷帶有網(wǎng)絡(luò)監(jiān)控工具。