您所在的位置: 首頁 >
安全研究 >
安全通告 >
勒索軟件:改寫網(wǎng)安格局,進入突變元年
安全機構研究發(fā)現(xiàn):勒索軟件在2020年最瘋狂,攻擊規(guī)模和頻率以驚人的速度增長,同時也是給企業(yè)造成損失最大的攻擊手段,甚至造成全球首例勒索軟件致死事故。國際刑警組織也宣稱,勒索軟件構成網(wǎng)絡安全的最大威脅因素。過去30年曾改寫網(wǎng)絡安全格局的勒索軟件,在2020年進入最興盛的突變元年。
自21世紀初以來,勒索軟件一直是大型企業(yè)、中小商家及個人的突出網(wǎng)絡威脅。2017年,F(xiàn)BI的互聯(lián)網(wǎng)犯罪投訴中心(IC3)收到了1783起勒索軟件投訴。2013年10月至2019年11月之間,受害者已向勒索軟件攻擊者支付了約1.44 億美元。但這僅是向IC3報告的攻擊。實際的勒索軟件攻擊數(shù)量和損失要高得多。
本文將回顧自1989年首次記錄勒索軟件攻擊至今的勒索軟件歷史,嘗試總結勒索軟件在2020年的最新趨勢。
勒索軟件是什么?
勒索軟件是一種惡意軟件,它能夠獲取文件或系統(tǒng)的控制權限,并阻止用戶控制這些文件或系統(tǒng)。然后,所有的文件甚至整個設備都會被加密技術挾持,直到受害者支付贖金以換取解密密鑰。該密鑰允許用戶恢復被程序加密的文件或系統(tǒng)。
勒索軟件已經(jīng)存在了幾十年,并且其變種在傳播、逃避檢測、加密文件和脅迫用戶支付贖金的能力上已經(jīng)越來越先進。新時代的勒索軟件采用了先進的傳播技術,以及確保難以逆向工程的加密算法。勒索軟件還利用合法的系統(tǒng)功能,如微軟的CryptoAPI,從而避免使用命令和控制(C2)通信。
受害者支付500美元贖金后,CryptoWall網(wǎng)站顯示解密說明。
勒索軟件穩(wěn)居當今企業(yè)和個人所面臨的最重大威脅之一。毫無疑問,攻擊手段變的越來越復雜,防御措施將更具挑戰(zhàn),受害者則會面臨更大的災難。
勒索軟件攻擊是如何發(fā)生的?
"勒索軟件"一詞描述了軟件的功能,即勒索用戶或企業(yè)以獲取經(jīng)濟利益。該軟件必須能夠控制被劫持的文件或系統(tǒng),這種控制通過感染或攻擊載體發(fā)生。
惡意軟件和病毒軟件與生物疾病有相似之處。正是由于這些相似性,仿照流行病學界對有害病原體的載體使用的術語,我們稱入口點為 "載體"。像生物界一樣,系統(tǒng)有許多方法可以被攻破,然后被劫持。從技術上講,攻擊或感染載體是勒索軟件獲得控制權的手段。
勒索軟件的攻擊載體一直在變化,但總體保持大致相同,就像釣魚郵件攻擊,不斷利用曝出的各種技術漏洞,以及人的漏洞。
勒索軟件的載體類型包括:
電子郵件:黑客傳播勒索軟件傳統(tǒng)常見方法是通過釣魚郵件。黑客使用精心制作的釣魚郵件,利用令人信服的理由,誘騙受害者打開附件或單擊包含惡意文件的鏈接。文件可以采用多種不同的格式,包括PDF、ZIP文件、Word文檔或JavaScript。這種策略和其他相關策略一樣,是通過欺騙手段來獲取文件和/或系統(tǒng)的控制權限。
遠程桌面協(xié)議(RDP):遠程桌面協(xié)議(RDP)可以連接企業(yè)范圍內(nèi)的系統(tǒng),使遠程管理更加方便和容易。自2019年勒索犯罪組織將企業(yè)作為主要攻擊目標后,RDP就成為其采用的首個攻擊手段。
網(wǎng)站木馬傳播:用戶訪問惡意網(wǎng)站時,勒索軟件會被瀏覽器自動下載并在后臺運行;此外,攻擊者會通過用戶的瀏覽器的漏洞,將勒索軟件下載到用戶的主機。
惡意內(nèi)部人員:內(nèi)部人員通常是有權訪問公司漏洞和信息的員工。所有有權訪問網(wǎng)絡和敏感數(shù)據(jù)的員工和用戶都可能由于惡意意圖和特權濫用而造成無法彌補的損失。特斯拉險被攻擊的事件提醒了內(nèi)部人員的風險。
社交網(wǎng)絡:勒索軟件攻擊者采用的另一種欺騙手段是在社交賬戶上給受害者發(fā)信息。攻擊者發(fā)送帶有文件附件的消息。一旦附件被打開,勒索軟件就可以獲得控制權,并鎖定受感染設備所連接的網(wǎng)絡。此外,勒索軟件還以社交網(wǎng)絡中的圖片或者其他惡意文件為載體來傳播。
彈窗:另一種常見但又比較古老的勒索軟件載體是在線 "彈窗"。彈窗是為了模仿當前正在使用的軟件,讓用戶更放心地按照提示操作,最終旨在攻擊用戶。
可移動存儲介質(zhì)、本地和遠程的驅動器:勒索軟件用于滲透環(huán)境的另一種途徑是通過USB等可移動存儲介質(zhì)。惡意軟件會自我復制到所有本地驅動器的根目錄中,并成為具有隱藏屬性和系統(tǒng)屬性的可執(zhí)行文件。
勒索軟件發(fā)展歷程
最早的勒索軟件攻擊并不復雜,有報告顯示它存在缺陷,但它為勒索軟件演變?yōu)楝F(xiàn)在的復雜攻擊奠定了基礎。
商業(yè)雜志《快公司》的一篇文章稱,早期的勒索軟件開發(fā)者通常會自己編寫加密代碼。現(xiàn)在的攻擊者則越來越依賴于"明顯更難被破解的現(xiàn)成函數(shù)庫",并利用更復雜的傳播方法,如魚叉式釣魚活動,而不是傳統(tǒng)的群發(fā)釣魚郵件,因為后者常被垃圾郵件過濾器過濾掉。
高水平的攻擊者提供開發(fā)工具包,使技術能力較低的攻擊者也可以下載和部署。網(wǎng)絡犯罪分子利用提供勒索軟件即服務(Raas)的方式,通過提供勒索軟件牟利,這導致了CryptoLocker、CryptoWall、Locky和TeslaCrypt等知名勒索軟件的崛起。僅CryptoWall就創(chuàng)造了超過3.2億美元的收入。
首個勒索軟件攻擊事件
自2005年以來,勒索軟件一直穩(wěn)居最大的威脅之一,但首次攻擊卻發(fā)生的更早。根據(jù)《貝克爾醫(yī)院評論》(Becker's Hospital Review)的數(shù)據(jù),首個已知的勒索軟件攻擊發(fā)生在1989年,攻擊目標是醫(yī)療行業(yè)。醫(yī)療行業(yè)目前仍然是勒索軟件攻擊的首要目標。
原始的AIDS 軟盤
首個已知的攻擊由艾滋病研究者Joseph Popp博士在1989年發(fā)起,他通過向90多個國家的艾滋病研究者分發(fā)2萬張軟盤來進行攻擊。他聲稱這些軟盤中包含一個程序,可以通過問券調(diào)查來分析個人患艾滋病的風險。然而,磁盤中還包含一個惡意程序,該程序最初在電腦中一直處于休眠狀態(tài),只有在電腦開機通電90次后才會激活。在達到90次的啟動門檻后,惡意軟件顯示出一條信息,要求支付189美元,并支付378美元的軟件租賃費。這種勒索軟件攻擊被稱為艾滋病木馬,或PC Cyborg。Joseph Popp博士被視為“勒索軟件之父”。
在1989年首次記錄的勒索軟件攻擊后,這種網(wǎng)絡犯罪仍不常見,直到21世紀00年代中期,攻擊者開始利用更復雜且更難被破解的加密算法,如RSA。這一期間流行的勒索軟件有Gpcode、TROJ.RANSOM.A、Archiveus、Krotten、Cryzip和MayArchive。
2006年,第一個使用非對稱加密的勒索軟件“Archievus”的出現(xiàn)。它主要采用RSA加密方法,會對“我的文檔”目錄里面的所有內(nèi)容進行加密。這個勒索軟件開始把魔爪伸向受害者的錢包,要求用戶從特定網(wǎng)站來購買獲取解密文件的密碼。這個方式至今是勒索軟件的主流獲利方式。
2010年-2012年: 收入兌現(xiàn)
在接下來的幾年中,勒索軟件不斷發(fā)展,使用和炒作都在增加,但直到2010年代中期,它才成為主流攻擊方式。
從2011年開始,勒索軟件風靡一時。2011年第三季度,惡意軟件樣本的發(fā)現(xiàn)量激增,發(fā)現(xiàn)了約60,000種新的勒索軟件。2012年第三季度則翻了一番,達到200,000多種。但McAfee的《2011年第四季度威脅報告》中卻從未提及該術語。直到2012年,安全公司才開始討論勒索軟件是一種重大威脅。
2009年1月比特幣的出現(xiàn)及繁榮,幫助改變了一切,讓這個地下產(chǎn)業(yè)蓬勃發(fā)展。2010年左右,網(wǎng)絡犯罪分子已經(jīng)知道如何利用勒索軟件賺錢。2010年代的頭幾年,勒索軟件開始盈利,但并不是很普遍。通過以數(shù)字貨幣為代表的匿名支付方式,網(wǎng)絡勒索者將可以更好地隱藏自己、“安全”的獲得高額收益。
2013年-2016年:現(xiàn)代勒索軟件興起
2013年9月是勒索軟件歷史的關鍵時刻, CryptoLocker誕生了。除了鎖定系統(tǒng)外,還對文件進行加密。它的出現(xiàn)標志著進入真正的勒索軟件時代,具有決定性意義。它是首個將所有關鍵技術結合起來的勒索軟件,構成了現(xiàn)代勒索軟件的基礎。2013年10月,CryptoLocker感染達到峰值,月感染大約15萬臺計算機。
CryptoLocker利用AES-256來加密特定擴展名的文件,然后使用C&C服務器生成的2048位RSA秘鑰來加密AES-256位密鑰。CryptoLocker在傳播的方式上也有新突破。它通過Gameover Zeus僵尸網(wǎng)絡來傳播,被標記為首個通過被感染網(wǎng)站傳播的勒索病毒案。CryptoLocker也以電子郵件附件方式通過魚叉式網(wǎng)絡釣魚傳播。
從2014年第三季度到2015年第一季度,勒索軟件的數(shù)量增長了三倍多。2015年,影響多個平臺的病毒變種對全球用戶造成了嚴重的破壞。
卡巴斯基的SecureList報告表明,從2014年4月到2015年3月,最突出的勒索軟件威脅是CryptoWall、Cryakl、Scatter、Mor、CTB-Locker、TorrentLocker、Fury、Lortok、Aura和Shade。報告顯示:"它們攻擊了全球101,568名用戶,占同期所有被加密勒索軟件攻擊的用戶的77.48%"。勒索攻擊形勢變化顯著。據(jù)卡巴斯基2015-2016年的研究報告,"TeslaCrypt與CTB-Locker、Scatter和Cryakl一起,造成了79.21%的加密勒索軟件攻擊”。
從2014年4月到2016年初,CryptoWall是最常見的勒索軟件,其變種感染了數(shù)十萬個人和企業(yè)。到2015年年中,CryptoWall已經(jīng)向受害者勒索了超過1800萬美元,促使FBI發(fā)布了關于該威脅的警告。
2015年,一些網(wǎng)絡犯罪組織采用了所謂的“勒索軟件即服務”(RaaS)模式,開發(fā)人員可以從同伙的攻擊中獲利。從那時起,勒索活動就變得像普通的Web業(yè)務。
2016年也是勒索軟件攻擊的重要一年,自2016年針對企業(yè)的勒索攻擊開始出現(xiàn),出現(xiàn)了一些著名的加密勒索軟件:LOCKY 2016年2月發(fā)現(xiàn)。PETYA、CERBER、SAMSAM于2016年3月首次出現(xiàn)。
與以前的勒索軟件系列不同,Samas勒索軟件特別關注企業(yè)而不是個人。2016年4月,SamSam利用醫(yī)院系統(tǒng)的服務器漏洞實施入侵,成功感染了國外多家醫(yī)院。SamSam的出現(xiàn),意味著勒索軟件攻擊企業(yè)服務器,甚至攻擊整個企業(yè)網(wǎng)絡已經(jīng)成為新的攻擊方向。2016年勒索軟件為網(wǎng)絡犯罪分子共凈賺了10億美元。
2014-2015年卡巴斯基實驗室觀察到的勒索軟件變種分布。
2015-2016年卡巴斯基實驗室觀察到的勒索軟件變種分布。
2017年: 勒索病毒爆發(fā)年
盡管CryptoLocker、TeslaCrypt和 Locky等勒索軟件家族都在全球范圍內(nèi)感染了大量系統(tǒng)。然而,直到2017年中,WannaCry、NotPetya兩大勒索軟件攻擊將戰(zhàn)火蔓延至全球,攻擊覆蓋了從烏克蘭的醫(yī)院到加利福尼亞的廣播電臺等機構,勒索軟件展示了其不可忽視的危害性、破壞性。
WannaCry是WannaCrypt的簡寫,意味著WannaCry是加密病毒軟件的事實。更具體來說就是,它就是加密蠕蟲,能自動復制及散播開來。WannaCry勒索病毒利用Windows SMB(“永恒之藍”)漏洞在全球快速傳播,感染全球99個國家和地區(qū)超過百萬臺電腦,這使得WannaCry成為史上規(guī)模最大的勒索病毒襲擊事件。WannaCry所造成損失據(jù)估計為40億美元到80億美元之間。
NotPetya又稱Petya、Petrwrap或GoldenEye,最先于2017年6月在烏克蘭被發(fā)現(xiàn),當?shù)卣块T、醫(yī)院、銀行、機場等系統(tǒng)均被攻擊,連切爾諾貝爾核電廠災區(qū)電腦系統(tǒng)也受影響。它被網(wǎng)絡安全界認為是歷史上最昂貴、最具破壞性的勒索攻擊。美國白宮估計,其結果就是超過100億美元的總損失。NotPetya被定義為網(wǎng)絡戰(zhàn)的一部分。提醒我們網(wǎng)絡戰(zhàn)爭的危險性已威脅到全球現(xiàn)代基礎設施。
更精確的說,Wannacry和Nonpetya屬于Wipeware(清除軟件,唯一的目的即徹底損毀所有的文件數(shù)據(jù)),而不是勒索軟件。人們普遍認為,這兩個惡意軟件都受到了某國家政府的支持,故意偽裝成勒索軟件,隱匿行蹤、混淆視聽,延長調(diào)查周期。由于烏克蘭是重災區(qū),有大量猜測認為,NotPetya 根本就不是勒索軟件,而是俄羅斯針對烏克蘭實施網(wǎng)絡攻擊的偽裝。
2018年-2019年:攻擊重點轉移至企業(yè)
自2018年第一季度開始,勒索軟件攻擊將重點從消費者轉移至企業(yè):針對消費者個人的攻擊從下半年開始出現(xiàn)顯著下降。在2019年,針對企業(yè)的勒索軟件攻擊數(shù)量首次超過了針對消費者的數(shù)量,前者在2019年第二季度比2018年第二季度增長了363%。勒索軟件犯罪團伙已經(jīng)不再以家庭用戶為目標,而主要是針對大型企業(yè)網(wǎng)絡。
2018年,勒索病毒攻擊整體態(tài)勢以服務器定向攻擊為主,輔以撒網(wǎng)式無差別攻擊手段。GandCrab、GlobeImposter、CrySis這三大家族勒索病毒的受害者最多,合計占比高達80.2%;勒索病毒最常使用的攻擊手段是遠程桌面弱口令暴力破解攻擊。
2019年,勒索軟件朝著新目標——市政機構發(fā)起攻擊。根據(jù)卡巴斯基公開統(tǒng)計數(shù)據(jù)和公告,2019年至少有174個市政機構受到了勒索軟件的攻擊。比一年前報告的數(shù)量增加大約60%。最著名、最廣泛討論的事件是對美國巴爾的摩市的攻擊,大規(guī)模勒索軟件攻擊導致巴爾的摩市的大量城市服務癱瘓,最終花費數(shù)千萬美元才恢復城市IT網(wǎng)絡。
在2019年,按攻擊事件計數(shù),Sodinokibi是最流行的勒索軟件類型。Ryuk繼續(xù)困擾大型企業(yè),成為第二種最常見的勒索軟件。Phobos和Dharma仍然繼續(xù)是小型企業(yè)勒索軟件攻擊的穩(wěn)定部分。
2019年主要勒索病毒。數(shù)據(jù)來源:Coveware公司
2020:勒索軟件最瘋狂的年份
Check Point研究表明,勒索軟件是2020年最瘋狂,同時也是給企業(yè)造成損失最大的攻擊手段。全球企業(yè)風險咨詢公司Kroll的調(diào)查也顯示,勒索軟件是2020年最常見的威脅。2020年,勒索攻擊數(shù)量增加,部分原因是由于新冠疫情帶來的遠程工作方式為黑客開辟了新的攻擊面。
2020年上半年,Sodinokibi、GlobeImposter、Dharma、Phobos等勒索病毒家族占比較高,牢牢統(tǒng)治著勒索病毒的半壁江山。其中,Sodinokibi(也稱為REvil)是2020年最經(jīng)常看到的勒索軟件病毒,這是一種勒索軟件即服務(RaaS)攻擊模型,已經(jīng)利用混合勒索軟件來進行勒索攻擊。Ryuk作為相對年輕的勒索軟件家族,在2020年人氣顯著上升。遠程辦公增加了該勒索軟件的感染率。
在Kroll觀察到的近一半(47%)勒索軟件案例中,攻擊者都是利用開放式遠程桌面協(xié)議(RDP)和Microsoft專有的網(wǎng)絡通信協(xié)議來發(fā)起攻擊。僅有四分之一(26%)的勒索軟件攻擊案例可追溯到網(wǎng)絡釣魚電子郵件,而17%的案例與漏洞利用有關。
2020年上半年活躍家族所占比例 數(shù)據(jù)來源:奇安信勒索病毒搜索引擎
勒索軟件的最新攻擊趨勢
一夜之間激增的遠程辦公給網(wǎng)絡犯罪分子提供了有吸引力的新攻擊目標。數(shù)以百萬計的人在家工作,感染勒索軟件的機會比以往任何時候都高。在過去的12個月中,我們看到的勒索軟件攻擊比任何時期都要多。2020年報告的惡意軟件事件,有27%歸因于勒索軟件。
2020年,勒索軟件攻擊有如下趨勢:
雙重勒索成為新常態(tài)。勒索軟件正在演變成一種新型威脅,網(wǎng)絡犯罪分子不僅加密數(shù)據(jù),還竊取數(shù)據(jù)并威脅要在互聯(lián)網(wǎng)上發(fā)布數(shù)據(jù)。這使得機構不僅要面臨破壞性的數(shù)據(jù)泄露,還有相關的法規(guī)、財務和聲譽影響。這種勒索策略被稱為“雙重勒索”。這無疑讓受害者承受更大的數(shù)據(jù)泄露壓力,使受害者被迫支付贖金的可能性大幅提高。受害者同時承受著支付贖金后的數(shù)據(jù)被公開的不確定性,以及監(jiān)管機構對其數(shù)據(jù)泄露進行處罰的雙重壓力。越來越多的勒索家族在暗網(wǎng)建立數(shù)據(jù)泄露網(wǎng)站。今年上半年勒索家族的數(shù)據(jù)泄露站暴增,用于發(fā)布那些不支付贖金企業(yè)的數(shù)據(jù)。2020年8月,Maze勒索團伙因為勒索失敗,泄露了50.2GB 的LG內(nèi)部網(wǎng)絡數(shù)據(jù)以及25.8GB的Xerox數(shù)據(jù)。雙重勒索可能會成為勒索軟件攻擊的“新常態(tài)”。
IoT成為勒索軟件攻擊新突破口。黑客通常通過向互聯(lián)網(wǎng)開放的IoT設備來訪問公司網(wǎng)絡。他們遠程掃描公司網(wǎng)絡以查找設備,掃描網(wǎng)絡中的已知漏洞。根據(jù)SonicWall安全研究人員2020年11月發(fā)布的2020年第三季度威脅情報,針對物聯(lián)網(wǎng)的攻擊數(shù)量增加了30%,勒索軟件攻擊數(shù)量激增了40%,早在2017年,就出現(xiàn)了首個針對聯(lián)網(wǎng)設備的勒索軟件攻擊報告:55個交通攝像頭感染了WannaCry勒索軟件。物聯(lián)網(wǎng)的發(fā)展速度,加上被廣泛報道的物聯(lián)網(wǎng)設備的脆弱性,為勒索軟件運營提供了全新的領域。
關鍵基礎設施成勒索軟件攻擊的重要目標。費城天普大學的研究團隊一直跟蹤針對全球關鍵基礎設施的勒索軟件攻擊。近兩年來,勒索軟件的頻次逐年上升。今年僅僅2020前8個月已有241起。被勒索的關鍵基礎設施行業(yè)來看,政府部門是勒索的重點,達到了199次。緊隨其次的教育行業(yè)和醫(yī)療衛(wèi)生行業(yè),均為106次。關鍵制造、應急服務、通信、效能系統(tǒng)、商業(yè)行業(yè)、金融行業(yè)、能源、食品和農(nóng)業(yè)、水務和污水處理、化工、國防工業(yè)基礎行業(yè)、核工業(yè)等都是勒索的高發(fā)區(qū)。
勒索攻擊更加定向、復雜。勒索軟件攻擊正變成高度針對性的復雜攻擊。Ekans勒索軟件(Snake變體) 對本田公司的攻擊事件中,其樣本出現(xiàn)了定向化攻擊的特征,會檢查執(zhí)行環(huán)境是否在指定公司的域環(huán)境中,如果不在則退出。EKANS加入了一些特定于ICS的特定惡意軟件變體,例如Havex和CRASHOVERRID,能夠終止受害設備上的幾個關鍵進程,包括與工業(yè)控制系統(tǒng)(ICS)操作直接相關的某些進程。目前,勒索軟件目前已成為針對制造業(yè)的最大網(wǎng)絡安全威脅。此外,威脅行為體對勒索軟件采用高級持續(xù)威脅(APT)方法已經(jīng)變得越來越普遍。在APT勒索軟件策略下,威脅行為體通過漏洞利用、社會工程或各種其他手段獲得對目標網(wǎng)絡進行未授權訪問,然后釋放勒索軟件。尚不具備APT防御能力的組織可能會更容易遭受勒索軟件和其他復雜的網(wǎng)絡犯罪攻擊的打擊。
關于勒索軟件的未來
勒索軟件攻擊日益肆虐,業(yè)界對未來的防護前景并不看好。有安全研究人員稱,100%確信勒索軟件未來將繼續(xù)給全球帶來沉重打擊。
知名投資咨詢公司 Cybersecurity Ventures預計,2021年企業(yè)每11秒遭受一次勒索攻擊,給企業(yè)造成200億美元的損失。
“試想在未來某個時候,您使用自動駕駛的汽車,被黑客入侵,只有10分鐘的時間支付贖金,否則就會把車撞壞。這不是科幻小說,而是未來能看到的趨勢?!?/p>
參考文章:
https://digitalguardian.com/blog/history-ransomware-attacks-biggest-and-worst-ransomware-attacks-all-time
https://www.secrss.com/articles/24097
https://www.vpnmentor.com/blog/history-ransomware-threat-past-present-and-future/
https://digitalguardian.com/blog/history-ransomware-attacks-biggest-and-worst-ransomware-attacks-all-time
https://www.secrss.com/articles/25513
https://www.infradata.com/news-blog/ransomware-data-leak-extortion-part-1/
文章來源:虎符智庫