返回

针对科技和健康公司的新型齐柏林飞艇勒索软件

发布时间:2023-01-09 08:42:06 291
# 研究# 恶意软件# 软件# 信息# 软件
Zeppelin Ransomware

织女星勒索软件家族的一个新变种齐柏林飞艇最近,在欧洲、美国和加拿大的科技和医疗保健公司中发现了。

然而,如果你居住在俄罗斯或乌克兰、白俄罗斯和哈萨克斯坦等其他前苏联国家,当勒索软件在这些地区的机器上发现自己时,请松一口气,因为勒索软件会终止其操作。

这是值得注意和有趣的,因为Vega家族之前的所有变种,也被称为VegaLocker,主要针对讲俄语的用户,这表明齐柏林飞艇不是之前攻击背后的同一个黑客组织的作品。

由于Vega勒索软件及其之前的变种是作为一种服务在地下论坛上提供的,黑莓Cylance的研究人员认为,齐柏林飞艇要么“最终落入不同的威胁行为者手中”,要么“从购买/被盗/泄露的来源重新开发”

根据BlackBerry Cylance与《黑客新闻》分享的一篇报道,齐柏林飞艇是一款基于Delphi的高度可配置勒索软件,可以根据受害者或攻击者的要求轻松定制以启用或禁用各种功能。

齐柏林飞艇可以部署为EXE、DLL或封装在PowerShell加载程序中,并包括以下功能:

  • IP记录器—;追踪受害者的IP地址和位置
  • 创业—;获得毅力
  • 删除备份—;要停止某些服务,请禁用文件恢复、删除备份和卷影副本等。
  • 任务杀手—;杀死攻击者指定的进程
  • 自动解锁—;解锁加密期间显示为锁定的文件
  • 熔化—;将自删除线程注入记事本。exe
  • UAC提示—;尝试以提升的权限运行勒索软件


根据攻击者在生成勒索软件二进制文件期间从Zeppelin builder用户界面设置的配置,恶意软件会枚举所有驱动器和网络共享上的文件,并使用与其他Vega变体相同的算法对其进行加密。

Zeppelin Ransomware


研究人员解释说:“[Zeppelin]采用了对称文件加密和随机生成的每个文件密钥(CBC模式下的AES-256)的标准组合,以及用于保护会话密钥的非对称加密(使用自定义RSA实现,可能是内部开发的)”。

“有趣的是,有些示例只会加密前0x1000字节(4KB),而不是0x10000(65KB)。这可能是一个意外的错误,也可能是一个有意的选择,以加快加密过程,同时使大多数文件无法使用。”

除了要启用哪些功能以及要加密哪些文件外,齐柏林飞艇生成器还允许攻击者配置赎金便笺文本文件的内容,该文本文件会放在系统上,并在加密文件后显示给受害者。

“BlackBerry Cylance的研究人员已经发现了几种不同的版本,从简短的通用信息到针对个别组织的更精细的赎金通知,”研究人员说。


“所有消息都指示受害者通过提供的电子邮件地址与攻击者联系,并引用他们的个人ID号。”

为了逃避检测,齐柏林飞艇勒索软件依赖于多层模糊处理,包括使用伪随机密钥、加密字符串、使用不同大小的代码,以及延迟执行以超越沙盒和欺骗启发式机制。

齐柏林飞艇最早是在大约一个月前被发现的,当时它是通过水洞网站分发的,其PowerShell有效载荷托管在Pastebin网站上。

研究人员认为,至少有一些齐柏林飞艇袭击是“通过MSSP实施的,这与最近另一场使用索迪诺基比勒索软件(也称为Sodin或REvil)的高度针对性的行动有相似之处。

研究人员还在其博客文章中分享了妥协指标(IoC)。在撰写本文时,近30%的防病毒解决方案无法检测到这种特定的勒索软件威胁。

特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
评论区(0)
按点赞数排序
用户头像
精选文章
thumb 中国研究员首次曝光美国国安局顶级后门—“方程式组织”
thumb 俄乌线上战争,网络攻击弥漫着数字硝烟
thumb 从网络安全角度了解俄罗斯入侵乌克兰的相关事件时间线