揭秘Zeppelin2勒索软件：暗网上的新威胁

近期在一个地下论坛上，一名用户积极推销Zeppelin2勒索软件，提供其源代码和破解版构建工具。这种恶意软件以其破坏性能力而闻名，引起了全球网络安全专家和执法机构的关注。

Zeppelin2勒索软件的特点

1. 构建工具泄露

一位用户声称成功破解了Zeppelin2构建工具，该工具原本用于加密数据。该帖子展示了源代码的截图，并突显了构建过程的细节，揭示了该勒索软件使用Delphi作为其编程语言。

2. 构建工具功能

该构建工具拥有多种功能，包括文件设置、勒索通知、IP记录、启动命令、任务终结器和自动解锁繁忙文件。威胁行为者强调了该勒索软件全面加密文件的能力，使得没有攻击者持有的唯一私钥，数据恢复变得不可能。

3. 勒索过程

一旦勒索软件完成加密过程，受害者将面临勒索通知，宣布对其所有文件进行了加密。通知指导受害者通过电子邮件与攻击者联系，并提供了通过发送一个无价值文件来测试解密工具合法性的方法。

4. 勒索金额

据报道，Zeppelin2勒索软件要求以比特币支付赎金，勒索金额从数千美元到数百万美元不等。美国联邦调查局（FBI）和网络安全与基础设施安全局（CISA）联合发布了一份关于Zeppelin2威胁的网络安全咨询。

Zeppelin2勒索软件组织

1. 活动历史

Zeppelin2自2019年以来一直被威胁行为者使用，至少持续到2022年6月。这种勒索软件作为服务（RaaS）模型的目标跨足多个行业，包括国防承包商、教育机构、制造商、科技公司，尤其是医疗和医药行业的组织。

2. 攻击手法

该勒索软件的攻击手法包括利用漏洞，如远程桌面协议（RDP）漏洞、SonicWall防火墙漏洞和网络钓鱼攻击，以获取对受害网络的访问权限。在释放Zeppelin2勒索软件之前，威胁行为者会仔细地绘制和枚举受害者的网络，识别包括云存储和网络备份在内的关键数据区域。

3. 数据勒索和多次攻击

与勒索软件组织惯例一样，Zeppelin2运营者会窃取敏感企业数据，以便在受害者拒绝遵守其要求时向买家或公众公开。值得注意的是，FBI观察到Zeppelin2行为者在受害者网络内多次执行其恶意软件，为每次攻击生成不同的ID或文件扩展名，需要多个唯一的解密密钥。

结论

Zeppelin2勒索软件的出现引起了全球网络安全专家的警觉。其先进的功能和威胁行为者的持续活动表明，网络安全防御需要不断升级，以抵御这类新兴的勒索软件。面对Zeppelin2的威胁，各个组织需要密切关注并加强网络安全措施，以确保其数字资产和敏感数据的安全。