外媒 | FBI、CISA警告Zeppelin勒索软件瞄准医疗保健-普瑞纯证
美国联邦调查局和国土安全部的网络安全和基础设施安全局于8月11日发布了一份联合警告,提醒医疗保健机构注意Zeppelin勒索软件的攻击。该警告概述了Zeppelin变种的攻击方式、技术和程序(TTPs)以及相关事件(IOC),并提供了建议,帮助医院和医疗系统降低其风险。
联邦官员表示:“Zeppelin勒索软件是Delphi-based Vega恶意软件家族的一个衍生品,是一种勒索软件即服务(RaaS)。从2019年到2022年6月,攻击者使用这种恶意软件瞄准了广泛的企业和关键基础设施组织,包括国防承包商、教育机构、制造商、技术公司,尤其是医疗保健和医疗行业的组织。”
黑客使用Zeppelin勒索软件要求支付比特币赎金,赎金数额从几千美元到超过一百万美元不等。他们通过RDP(远程桌面协议)攻击、利用SonicWall防火墙漏洞和钓鱼攻击等方式获取受害者网络的访问权限。在部署Zeppelin勒索软件之前,攻击者会花费一到两周的时间对受害者网络进行映射或枚举,以识别数据隔离区,包括云存储和网络备份。Zeppelin攻击者可以将Zeppelin勒索软件部署为.dll或.exe文件,或包含在PowerShell加载器中。
他们补充说,在加密之前,黑客会窃取“敏感的公司数据文件”,以便在受害者拒绝支付赎金的情况下出售或发布。一旦执行该变种,就会在每个加密文件的末尾添加一个随机的九位十六进制数字作为文件扩展名。他们说:“在受影响的系统上留下了一份勒索说明文件,通常在桌面上。”
FBI表示,他们已经看到Zeppelin勒索软件在受害者网络中“多次执行”,导致每次攻击都会创建不同的ID或文件扩展名,从而使受害者需要多个唯一的解密密钥。
在一份发给《医疗IT新闻》的声明中,研究员Roger Grimes表示,目前尚不清楚“是否会意外地多次加密相同的文件(这很少见,但并非独特),还是分别加密不同的文件(这很常见)。”他补充说:“大多数勒索软件程序今天都有一个总体主密钥,用于加密一堆其他真正进行加密的密钥。”
版权声明 本网站所有注明“来源:普瑞纯证”或“来源:pureFDA”的文字、图片和音视频资料,版权均属于普瑞纯证网站所有。非经授权,任何媒体、网站或个人不得转载,否则将追究法律责任。取得书面授权转载时,须注明“来源:普瑞纯证”。其它来源的文章系转载文章,本网所有转载文章系出于传递更多信息之目的,转载内容不代表本站立场。