针对科技和健康公司的新型齐柏林飞艇勒索软件

织女星勒索软件家族的一个新变种齐柏林飞艇最近,在欧洲、美国和加拿大的科技和医疗保健公司中发现了。
然而,如果你居住在俄罗斯或乌克兰、白俄罗斯和哈萨克斯坦等其他前苏联国家,当勒索软件在这些地区的机器上发现自己时,请松一口气,因为勒索软件会终止其操作。
这是值得注意和有趣的,因为Vega家族之前的所有变种,也被称为VegaLocker,主要针对讲俄语的用户,这表明齐柏林飞艇不是之前攻击背后的同一个黑客组织的作品。
由于Vega勒索软件及其之前的变种是作为一种服务在地下论坛上提供的,黑莓Cylance的研究人员认为,齐柏林飞艇要么“最终落入不同的威胁行为者手中”,要么“从购买/被盗/泄露的来源重新开发”
根据BlackBerry Cylance与《黑客新闻》分享的一篇报道,齐柏林飞艇是一款基于Delphi的高度可配置勒索软件,可以根据受害者或攻击者的要求轻松定制以启用或禁用各种功能。
齐柏林飞艇可以部署为EXE、DLL或封装在PowerShell加载程序中,并包括以下功能:
- IP记录器—;追踪受害者的IP地址和位置
- 创业—;获得毅力
- 删除备份—;要停止某些服务,请禁用文件恢复、删除备份和卷影副本等。
- 任务杀手—;杀死攻击者指定的进程
- 自动解锁—;解锁加密期间显示为锁定的文件
- 熔化—;将自删除线程注入记事本。exe
- UAC提示—;尝试以提升的权限运行勒索软件
根据攻击者在生成勒索软件二进制文件期间从Zeppelin builder用户界面设置的配置,恶意软件会枚举所有驱动器和网络共享上的文件,并使用与其他Vega变体相同的算法对其进行加密。

研究人员解释说:“[Zeppelin]采用了对称文件加密和随机生成的每个文件密钥(CBC模式下的AES-256)的标准组合,以及用于保护会话密钥的非对称加密(使用自定义RSA实现,可能是内部开发的)”。
“有趣的是,有些示例只会加密前0x1000字节(4KB),而不是0x10000(65KB)。这可能是一个意外的错误,也可能是一个有意的选择,以加快加密过程,同时使大多数文件无法使用。”
除了要启用哪些功能以及要加密哪些文件外,齐柏林飞艇生成器还允许攻击者配置赎金便笺文本文件的内容,该文本文件会放在系统上,并在加密文件后显示给受害者。
“BlackBerry Cylance的研究人员已经发现了几种不同的版本,从简短的通用信息到针对个别组织的更精细的赎金通知,”研究人员说。
“所有消息都指示受害者通过提供的电子邮件地址与攻击者联系,并引用他们的个人ID号。”
为了逃避检测,齐柏林飞艇勒索软件依赖于多层模糊处理,包括使用伪随机密钥、加密字符串、使用不同大小的代码,以及延迟执行以超越沙盒和欺骗启发式机制。
齐柏林飞艇最早是在大约一个月前被发现的,当时它是通过水洞网站分发的,其PowerShell有效载荷托管在Pastebin网站上。
研究人员认为,至少有一些齐柏林飞艇袭击是“通过MSSP实施的,这与最近另一场使用索迪诺基比勒索软件(也称为Sodin或REvil)的高度针对性的行动有相似之处。
研究人员还在其博客文章中分享了妥协指标(IoC)。在撰写本文时,近30%的防病毒解决方案无法检测到这种特定的勒索软件威胁。