Zeppelin勒索软件帮派已经加入了勒索软件的行列,这些勒索软件也将在加密文件之前收集并窃取受害者的数据。
齐柏林飞艇加入了迷宫,REvil(Sodinokibi),Snatch和现已停产的Merry Christmas勒索软件。
网络安全公司Morphisec在加密过程进行调查并向房地产行业的Zeppelin受害者提供事件响应服务之前,发现Zeppelin还会窃取受害者数据。
“在这种情况下,我们有一个威胁参与者,使用的是类似Wipro事件的类似技术-锁定服务器,停止所有数据库进程,复制备份,然后部署勒索软件,并将其与合法的IT远程工具一起使用。” Morphisec首席技术官Gorelik在昨天的一次采访中表示。
Gorelik告诉ZDNet,他的公司发现了到服务器的链接,骗子正在向该服务器发送被盗的数据库备份,“这是一个数据源,可能表明某些公司的数据受到严重破坏。”
Morphisec首席技术官表示,他们已就漏洞和数据泄露服务器与有关部门联系。
Morphisec关于此特定入侵的深入报告可在该公司的博客上找到。该报告及其发现与上周的Cylance报告一致,该报告首先记录了Zeppelin勒索软件,但没有记录数据失窃。
这是因为数据窃取发生在执行实际的勒索软件二进制文件之前,该勒索软件二进制文件对数据进行了加密。这是勒索软件领域最近趋势的一部分。
该策略通常被称为“大型游戏狩猎勒索软件”。该术语指的是勒索软件帮派,这些帮派放弃了针对家庭用户的服务,如今正追逐大型企业。
该团伙破坏了公司的基础设施,横向移动通过网络以获取对尽可能多计算机的访问权限,然后运行勒索软件对数据进行加密并要求过高的勒索要求。
有大量勒索软件被用于“大猎杀”入侵。但是,在过去的一个月中,战术发生了变化。
随着公司缓慢采用可靠的备份策略,他们也开始忽略赎金要求并从头开始重建网络,而不是支付赎金。
为了适应这种趋势,一些勒索软件团伙现在正在从受感染的网络窃取数据。
到目前为止,在Maze,REvil和Snatch勒索软件(现在是Zeppelin)的感染中,已经观察到数据盗窃的证据和使用数据盗窃恶意软件的证据。
据认为,窃取的数据被用来向受害公司施加压力,要求其付款,而不是从备份中恢复。
但是,在过去的几周里,又出现了另一种趋势,其中一些勒索软件帮派威胁说,如果受害者不这样做,它们就会泄漏公共互联网上的数据。
Maze勒索软件团伙目前正在使用这种“付费或泄漏我们的数据”方法。他们最近在公共互联网上创建了一个网站,其中列出了所有未付款并已开始泄漏其某些数据的受害公司。
REvil勒索软件的运营商也对采用类似方法表现出兴趣,尽管到目前为止尚未公开记录任何案例。
目前,齐柏林飞艇团伙仅被发现窃取了受害者数据,但没有勒索要求以泄露未付款的数据。尽管随着勒索软件领域的发展,将来随着越来越多的威胁者采用这种策略,这种情况可能会改变。