CISA、FBI 发布联合公告，警告 Zeppelin 勒索软件攻击

美国网络安全和基础设施安全局(CISA)和联邦调查局(FBI)已发布联合公告，布联警告Zeppelin勒索软件攻击 。告警告Zeppelin 勒索软件于2019 年11月首次出现在威胁领域，索软当时来自 BlackBerry Cylance 的攻击专家发现了一种名为Zeppelin的Vega RaaS 的新变体 。该勒索软件涉及针对欧洲、布联美国和加拿大的告警告技术和医疗保健 、国防承包商、索软教育机构、攻击制造商、模板下载布联公司的告警告攻击。Zeppelin 被发现时是索软通过水坑攻击分发的，其中 PowerShell 有效负载托管在 Pastebin 网站上。攻击

在部署Zeppelin勒索软件之前，布联攻击者会花费几周时间映射受害者网络
，告警告以确定他们感兴趣的索软数据存储在哪里 。勒索软件可以部署为 .dll 或 .exe 文件，也可以包含在 PowerShell 加载程序中。建站模板

Zeppelin威胁行为者要求受害者以比特币支付赎金，金额从几千美元到超过一百万美元不等 。该组织使用多种攻击媒介来访问受害者网络，包括 RDP 攻击 、SonicWall 防火墙漏洞利用和网络钓鱼攻击。威胁行为者还实施双重勒索模型 ，威胁要泄露被盗文件 ，以防受害者拒绝支付赎金。

Zeppelin通常部署为 PowerShell 加载程序中的 .dll 或 .exe 文件。对于每个加密文件，它会附加一个随机的免费模板 9 位十六进制数字作为扩展名 。在受感染的系统上（通常在桌面上）放置了赎金记录。FBI 观察到Zeppelin 攻击者在受害者网络中多次执行恶意软件的情况，导致每次攻击都创建不同的 ID 或文件扩展名；这导致受害者需要唯一的解密密钥。

对此，美国机构建议不要支付赎金 
，因为无法保证加密文件能够恢复，支付勒索软件会鼓励非法勒索行为
。高防服务器FBI还鼓励组织报告与 Zeppelin 运营商的任何互动，包括日志、比特币钱包信息 、加密文件样本和解密文件。

为了降低勒索软件攻击的风险，建议组织定义恢复计划，实施多因素身份验证，使所有操作系统、软件和固件保持最新，实施强密码策略，香港云服务器分段网络，禁用未使用的端口和服务，审核用户帐户和域控制器，实施最低权限访问策略
，查看域控制器、服务器、工作站和活动目录 ，维护数据的脱机备份，并识别、检测和调查异常活动和指示的云计算勒索软件的潜在遍历带有网络监控工具。