美國聯邦調查局警告說，Zeppelin勒索軟件又重新回來了，并在其最近針對各垂直行業（特別是醫療保健）以及關鍵基礎設施組織的攻擊活動中采用了新的破壞和加密策略。

根據網絡安全和基礎設施安全局（CISA）周四發布的公告，部署勒索軟件即服務（RaaS）的威脅者正在利用遠程桌面協議（RDP）和SonicWall防火墻的漏洞，以及之前使用的網絡釣魚攻擊方式來破壞目標網絡。

 據CISA稱，Zeppelin似乎還有一個新的多重加密戰術，該戰術可以在受害者的網絡中不止一次地執行惡意軟件，并為多個實例的攻擊創建不同的ID和文件擴展。

根據該公告，攻擊可能會導致受害者需要幾個獨特的解密密鑰才能進行解密。

該機構說，CISA已經通過聯邦調查局的各種調查確定了Zeppelin的多個變體，最近的攻擊發生在6月21日。

目標和戰術

據BlackBerry Cylance稱，Zeppelin是基于Delphi的勒索軟件即服務（RaaS）系列的一個變種，該軟件最初被稱為Vega或VegaLocker，它在2019年初出現在俄羅斯Yandex.Direct的廣告中。

與它的前身不同，Zeppelin的活動更有針對性，威脅者首先瞄準了歐洲和美國的科技和醫療公司。

據CISA稱，最新的攻擊活動繼續會以醫療保健和醫療組織為常見的攻擊目標。該機構說，科技公司也仍然是Zeppelin的目標，威脅者還會利用RaaS對國防承包商、教育機構和制造商進行攻擊。

據該機構稱，一旦他們成功滲入了一個網絡，威脅者會花一到兩周的時間探索或枚舉網絡設施，以確定存儲數據的服務器，包括云存儲和網絡備份。然后，他們會將Zeppelin勒索軟件部署為一個.dll或.exe文件，或將其包含在PowerShell加載器中。

據CISA稱，Zeppelin似乎還在其最新的攻擊活動中使用了常見的勒索軟件戰術，在加密之前從目標中滲出大量的敏感數據文件，如果受害者拒絕支付，以后可能會在網上公布。

多種加密方式

據CISA稱，一旦Zeppelin勒索軟件在網絡內被執行，每個加密文件都會附加一個隨機的九位十六進制數字作為文件擴展名，例如file.txt.txt.C59-E0C-929。

該機構說，威脅者還在被攻擊的系統上留下一個包括贖金說明在內的文件，通常是在用戶桌面系統上。Zeppelin攻擊者通常要求使用比特幣進行付款，金額從幾千美元到超過100萬美元不等。

據CISA稱，最新的攻擊活動還顯示，威脅者使用了一種與Zeppelin有關的新策略，在受害者的網絡中多次執行惡意軟件，這意味著受害者將需要不是一個而是多個解密密鑰來解鎖文件。

然而，一位安全專家指出，這可能并不是勒索軟件攻擊最有特色的一方面。安全公司KnowBe4的數據驅動防御布道者說，威脅者分別加密不同的文件，但使用一個主密鑰來解鎖系統，這種情況并不罕見。

他在一封電子郵件中告訴媒體，今天大多數勒索軟件程序都有一個總體的主密鑰，它加密了一堆其他的密鑰，而這些密鑰才是真正的用來解密的秘鑰。

Grimes說，當受害者要求證明勒索軟件攻擊者有解密密鑰，可以在支付贖金的情況下成功解鎖文件時，勒索軟件集團就會使用一個密鑰來解鎖一組文件以證明其能力。

本文翻譯自：https://threatpost.com/zeppelin-ransomware-resurfaces/180405/如若轉載，請注明原文地址。