您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
勒索軟件:改寫(xiě)網(wǎng)安格局,進(jìn)入突變?cè)?/div>
安全機(jī)構(gòu)研究發(fā)現(xiàn):勒索軟件在2020年最瘋狂,攻擊規(guī)模和頻率以驚人的速度增長(zhǎng),同時(shí)也是給企業(yè)造成損失最大的攻擊手段,甚至造成全球首例勒索軟件致死事故。國(guó)際刑警組織也宣稱(chēng),勒索軟件構(gòu)成網(wǎng)絡(luò)安全的最大威脅因素。過(guò)去30年曾改寫(xiě)網(wǎng)絡(luò)安全格局的勒索軟件,在2020年進(jìn)入最興盛的突變?cè)辍?/p>
自21世紀(jì)初以來(lái),勒索軟件一直是大型企業(yè)、中小商家及個(gè)人的突出網(wǎng)絡(luò)威脅。2017年,F(xiàn)BI的互聯(lián)網(wǎng)犯罪投訴中心(IC3)收到了1783起勒索軟件投訴。2013年10月至2019年11月之間,受害者已向勒索軟件攻擊者支付了約1.44
億美元。但這僅是向IC3報(bào)告的攻擊。實(shí)際的勒索軟件攻擊數(shù)量和損失要高得多。
本文將回顧自1989年首次記錄勒索軟件攻擊至今的勒索軟件歷史,嘗試總結(jié)勒索軟件在2020年的最新趨勢(shì)。
勒索軟件是什么?
勒索軟件是一種惡意軟件,它能夠獲取文件或系統(tǒng)的控制權(quán)限,并阻止用戶(hù)控制這些文件或系統(tǒng)。然后,所有的文件甚至整個(gè)設(shè)備都會(huì)被加密技術(shù)挾持,直到受害者支付贖金以換取解密密鑰。該密鑰允許用戶(hù)恢復(fù)被程序加密的文件或系統(tǒng)。
勒索軟件已經(jīng)存在了幾十年,并且其變種在傳播、逃避檢測(cè)、加密文件和脅迫用戶(hù)支付贖金的能力上已經(jīng)越來(lái)越先進(jìn)。新時(shí)代的勒索軟件采用了先進(jìn)的傳播技術(shù),以及確保難以逆向工程的加密算法。勒索軟件還利用合法的系統(tǒng)功能,如微軟的CryptoAPI,從而避免使用命令和控制(C2)通信。
受害者支付500美元贖金后,CryptoWall網(wǎng)站顯示解密說(shuō)明。
勒索軟件穩(wěn)居當(dāng)今企業(yè)和個(gè)人所面臨的最重大威脅之一。毫無(wú)疑問(wèn),攻擊手段變的越來(lái)越復(fù)雜,防御措施將更具挑戰(zhàn),受害者則會(huì)面臨更大的災(zāi)難。
勒索軟件攻擊是如何發(fā)生的?
"勒索軟件"一詞描述了軟件的功能,即勒索用戶(hù)或企業(yè)以獲取經(jīng)濟(jì)利益。該軟件必須能夠控制被劫持的文件或系統(tǒng),這種控制通過(guò)感染或攻擊載體發(fā)生。
惡意軟件和病毒軟件與生物疾病有相似之處。正是由于這些相似性,仿照流行病學(xué)界對(duì)有害病原體的載體使用的術(shù)語(yǔ),我們稱(chēng)入口點(diǎn)為
"載體"。像生物界一樣,系統(tǒng)有許多方法可以被攻破,然后被劫持。從技術(shù)上講,攻擊或感染載體是勒索軟件獲得控制權(quán)的手段。
勒索軟件的攻擊載體一直在變化,但總體保持大致相同,就像釣魚(yú)郵件攻擊,不斷利用曝出的各種技術(shù)漏洞,以及人的漏洞。
勒索軟件的載體類(lèi)型包括:
電子郵件:黑客傳播勒索軟件傳統(tǒng)常見(jiàn)方法是通過(guò)釣魚(yú)郵件。黑客使用精心制作的釣魚(yú)郵件,利用令人信服的理由,誘騙受害者打開(kāi)附件或單擊包含惡意文件的鏈接。文件可以采用多種不同的格式,包括PDF、ZIP文件、Word文檔或JavaScript。這種策略和其他相關(guān)策略一樣,是通過(guò)欺騙手段來(lái)獲取文件和/或系統(tǒng)的控制權(quán)限。
遠(yuǎn)程桌面協(xié)議(RDP):遠(yuǎn)程桌面協(xié)議(RDP)可以連接企業(yè)范圍內(nèi)的系統(tǒng),使遠(yuǎn)程管理更加方便和容易。自2019年勒索犯罪組織將企業(yè)作為主要攻擊目標(biāo)后,RDP就成為其采用的首個(gè)攻擊手段。
網(wǎng)站木馬傳播:用戶(hù)訪(fǎng)問(wèn)惡意網(wǎng)站時(shí),勒索軟件會(huì)被瀏覽器自動(dòng)下載并在后臺(tái)運(yùn)行;此外,攻擊者會(huì)通過(guò)用戶(hù)的瀏覽器的漏洞,將勒索軟件下載到用戶(hù)的主機(jī)。
惡意內(nèi)部人員:內(nèi)部人員通常是有權(quán)訪(fǎng)問(wèn)公司漏洞和信息的員工。所有有權(quán)訪(fǎng)問(wèn)網(wǎng)絡(luò)和敏感數(shù)據(jù)的員工和用戶(hù)都可能由于惡意意圖和特權(quán)濫用而造成無(wú)法彌補(bǔ)的損失。特斯拉險(xiǎn)被攻擊的事件提醒了內(nèi)部人員的風(fēng)險(xiǎn)。
社交網(wǎng)絡(luò):勒索軟件攻擊者采用的另一種欺騙手段是在社交賬戶(hù)上給受害者發(fā)信息。攻擊者發(fā)送帶有文件附件的消息。一旦附件被打開(kāi),勒索軟件就可以獲得控制權(quán),并鎖定受感染設(shè)備所連接的網(wǎng)絡(luò)。此外,勒索軟件還以社交網(wǎng)絡(luò)中的圖片或者其他惡意文件為載體來(lái)傳播。
彈窗:另一種常見(jiàn)但又比較古老的勒索軟件載體是在線(xiàn) "彈窗"。彈窗是為了模仿當(dāng)前正在使用的軟件,讓用戶(hù)更放心地按照提示操作,最終旨在攻擊用戶(hù)。
可移動(dòng)存儲(chǔ)介質(zhì)、本地和遠(yuǎn)程的驅(qū)動(dòng)器:勒索軟件用于滲透環(huán)境的另一種途徑是通過(guò)USB等可移動(dòng)存儲(chǔ)介質(zhì)。惡意軟件會(huì)自我復(fù)制到所有本地驅(qū)動(dòng)器的根目錄中,并成為具有隱藏屬性和系統(tǒng)屬性的可執(zhí)行文件。
勒索軟件發(fā)展歷程
最早的勒索軟件攻擊并不復(fù)雜,有報(bào)告顯示它存在缺陷,但它為勒索軟件演變?yōu)楝F(xiàn)在的復(fù)雜攻擊奠定了基礎(chǔ)。
商業(yè)雜志《快公司》的一篇文章稱(chēng),早期的勒索軟件開(kāi)發(fā)者通常會(huì)自己編寫(xiě)加密代碼。現(xiàn)在的攻擊者則越來(lái)越依賴(lài)于"明顯更難被破解的現(xiàn)成函數(shù)庫(kù)",并利用更復(fù)雜的傳播方法,如魚(yú)叉式釣魚(yú)活動(dòng),而不是傳統(tǒng)的群發(fā)釣魚(yú)郵件,因?yàn)楹笳叱1焕]件過(guò)濾器過(guò)濾掉。
高水平的攻擊者提供開(kāi)發(fā)工具包,使技術(shù)能力較低的攻擊者也可以下載和部署。網(wǎng)絡(luò)犯罪分子利用提供勒索軟件即服務(wù)(Raas)的方式,通過(guò)提供勒索軟件牟利,這導(dǎo)致了CryptoLocker、CryptoWall、Locky和TeslaCrypt等知名勒索軟件的崛起。僅CryptoWall就創(chuàng)造了超過(guò)3.2億美元的收入。
首個(gè)勒索軟件攻擊事件
自2005年以來(lái),勒索軟件一直穩(wěn)居最大的威脅之一,但首次攻擊卻發(fā)生的更早。根據(jù)《貝克爾醫(yī)院評(píng)論》(Becker's Hospital
Review)的數(shù)據(jù),首個(gè)已知的勒索軟件攻擊發(fā)生在1989年,攻擊目標(biāo)是醫(yī)療行業(yè)。醫(yī)療行業(yè)目前仍然是勒索軟件攻擊的首要目標(biāo)。
原始的AIDS 軟盤(pán)
首個(gè)已知的攻擊由艾滋病研究者Joseph
Popp博士在1989年發(fā)起,他通過(guò)向90多個(gè)國(guó)家的艾滋病研究者分發(fā)2萬(wàn)張軟盤(pán)來(lái)進(jìn)行攻擊。他聲稱(chēng)這些軟盤(pán)中包含一個(gè)程序,可以通過(guò)問(wèn)券調(diào)查來(lái)分析個(gè)人患艾滋病的風(fēng)險(xiǎn)。然而,磁盤(pán)中還包含一個(gè)惡意程序,該程序最初在電腦中一直處于休眠狀態(tài),只有在電腦開(kāi)機(jī)通電90次后才會(huì)激活。在達(dá)到90次的啟動(dòng)門(mén)檻后,惡意軟件顯示出一條信息,要求支付189美元,并支付378美元的軟件租賃費(fèi)。這種勒索軟件攻擊被稱(chēng)為艾滋病木馬,或PC
Cyborg。Joseph Popp博士被視為“勒索軟件之父”。
在1989年首次記錄的勒索軟件攻擊后,這種網(wǎng)絡(luò)犯罪仍不常見(jiàn),直到21世紀(jì)00年代中期,攻擊者開(kāi)始利用更復(fù)雜且更難被破解的加密算法,如RSA。這一期間流行的勒索軟件有Gpcode、TROJ.RANSOM.A、Archiveus、Krotten、Cryzip和MayArchive。
2006年,第一個(gè)使用非對(duì)稱(chēng)加密的勒索軟件“Archievus”的出現(xiàn)。它主要采用RSA加密方法,會(huì)對(duì)“我的文檔”目錄里面的所有內(nèi)容進(jìn)行加密。這個(gè)勒索軟件開(kāi)始把魔爪伸向受害者的錢(qián)包,要求用戶(hù)從特定網(wǎng)站來(lái)購(gòu)買(mǎi)獲取解密文件的密碼。這個(gè)方式至今是勒索軟件的主流獲利方式。
2010年-2012年: 收入兌現(xiàn)
在接下來(lái)的幾年中,勒索軟件不斷發(fā)展,使用和炒作都在增加,但直到2010年代中期,它才成為主流攻擊方式。
從2011年開(kāi)始,勒索軟件風(fēng)靡一時(shí)。2011年第三季度,惡意軟件樣本的發(fā)現(xiàn)量激增,發(fā)現(xiàn)了約60,000種新的勒索軟件。2012年第三季度則翻了一番,達(dá)到200,000多種。但McAfee的《2011年第四季度威脅報(bào)告》中卻從未提及該術(shù)語(yǔ)。直到2012年,安全公司才開(kāi)始討論勒索軟件是一種重大威脅。
2009年1月比特幣的出現(xiàn)及繁榮,幫助改變了一切,讓這個(gè)地下產(chǎn)業(yè)蓬勃發(fā)展。2010年左右,網(wǎng)絡(luò)犯罪分子已經(jīng)知道如何利用勒索軟件賺錢(qián)。2010年代的頭幾年,勒索軟件開(kāi)始盈利,但并不是很普遍。通過(guò)以數(shù)字貨幣為代表的匿名支付方式,網(wǎng)絡(luò)勒索者將可以更好地隱藏自己、“安全”的獲得高額收益。
2013年-2016年:現(xiàn)代勒索軟件興起
2013年9月是勒索軟件歷史的關(guān)鍵時(shí)刻,
CryptoLocker誕生了。除了鎖定系統(tǒng)外,還對(duì)文件進(jìn)行加密。它的出現(xiàn)標(biāo)志著進(jìn)入真正的勒索軟件時(shí)代,具有決定性意義。它是首個(gè)將所有關(guān)鍵技術(shù)結(jié)合起來(lái)的勒索軟件,構(gòu)成了現(xiàn)代勒索軟件的基礎(chǔ)。2013年10月,CryptoLocker感染達(dá)到峰值,月感染大約15萬(wàn)臺(tái)計(jì)算機(jī)。
CryptoLocker利用AES-256來(lái)加密特定擴(kuò)展名的文件,然后使用C&C服務(wù)器生成的2048位RSA秘鑰來(lái)加密AES-256位密鑰。CryptoLocker在傳播的方式上也有新突破。它通過(guò)Gameover
Zeus僵尸網(wǎng)絡(luò)來(lái)傳播,被標(biāo)記為首個(gè)通過(guò)被感染網(wǎng)站傳播的勒索病毒案。CryptoLocker也以電子郵件附件方式通過(guò)魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)傳播。
從2014年第三季度到2015年第一季度,勒索軟件的數(shù)量增長(zhǎng)了三倍多。2015年,影響多個(gè)平臺(tái)的病毒變種對(duì)全球用戶(hù)造成了嚴(yán)重的破壞。
卡巴斯基的SecureList報(bào)告表明,從2014年4月到2015年3月,最突出的勒索軟件威脅是CryptoWall、Cryakl、Scatter、Mor、CTB-Locker、TorrentLocker、Fury、Lortok、Aura和Shade。報(bào)告顯示:"它們攻擊了全球101,568名用戶(hù),占同期所有被加密勒索軟件攻擊的用戶(hù)的77.48%"。勒索攻擊形勢(shì)變化顯著。據(jù)卡巴斯基2015-2016年的研究報(bào)告,"TeslaCrypt與CTB-Locker、Scatter和Cryakl一起,造成了79.21%的加密勒索軟件攻擊”。
從2014年4月到2016年初,CryptoWall是最常見(jiàn)的勒索軟件,其變種感染了數(shù)十萬(wàn)個(gè)人和企業(yè)。到2015年年中,CryptoWall已經(jīng)向受害者勒索了超過(guò)1800萬(wàn)美元,促使FBI發(fā)布了關(guān)于該威脅的警告。
2015年,一些網(wǎng)絡(luò)犯罪組織采用了所謂的“勒索軟件即服務(wù)”(RaaS)模式,開(kāi)發(fā)人員可以從同伙的攻擊中獲利。從那時(shí)起,勒索活動(dòng)就變得像普通的Web業(yè)務(wù)。
2016年也是勒索軟件攻擊的重要一年,自2016年針對(duì)企業(yè)的勒索攻擊開(kāi)始出現(xiàn),出現(xiàn)了一些著名的加密勒索軟件:LOCKY
2016年2月發(fā)現(xiàn)。PETYA、CERBER、SAMSAM于2016年3月首次出現(xiàn)。
與以前的勒索軟件系列不同,Samas勒索軟件特別關(guān)注企業(yè)而不是個(gè)人。2016年4月,SamSam利用醫(yī)院系統(tǒng)的服務(wù)器漏洞實(shí)施入侵,成功感染了國(guó)外多家醫(yī)院。SamSam的出現(xiàn),意味著勒索軟件攻擊企業(yè)服務(wù)器,甚至攻擊整個(gè)企業(yè)網(wǎng)絡(luò)已經(jīng)成為新的攻擊方向。2016年勒索軟件為網(wǎng)絡(luò)犯罪分子共凈賺了10億美元。
2014-2015年卡巴斯基實(shí)驗(yàn)室觀察到的勒索軟件變種分布。
2015-2016年卡巴斯基實(shí)驗(yàn)室觀察到的勒索軟件變種分布。
2017年: 勒索病毒爆發(fā)年
盡管CryptoLocker、TeslaCrypt和
Locky等勒索軟件家族都在全球范圍內(nèi)感染了大量系統(tǒng)。然而,直到2017年中,WannaCry、NotPetya兩大勒索軟件攻擊將戰(zhàn)火蔓延至全球,攻擊覆蓋了從烏克蘭的醫(yī)院到加利福尼亞的廣播電臺(tái)等機(jī)構(gòu),勒索軟件展示了其不可忽視的危害性、破壞性。
WannaCry是WannaCrypt的簡(jiǎn)寫(xiě),意味著WannaCry是加密病毒軟件的事實(shí)。更具體來(lái)說(shuō)就是,它就是加密蠕蟲(chóng),能自動(dòng)復(fù)制及散播開(kāi)來(lái)。WannaCry勒索病毒利用Windows
SMB(“永恒之藍(lán)”)漏洞在全球快速傳播,感染全球99個(gè)國(guó)家和地區(qū)超過(guò)百萬(wàn)臺(tái)電腦,這使得WannaCry成為史上規(guī)模最大的勒索病毒襲擊事件。WannaCry所造成損失據(jù)估計(jì)為40億美元到80億美元之間。
NotPetya又稱(chēng)Petya、Petrwrap或GoldenEye,最先于2017年6月在烏克蘭被發(fā)現(xiàn),當(dāng)?shù)卣块T(mén)、醫(yī)院、銀行、機(jī)場(chǎng)等系統(tǒng)均被攻擊,連切爾諾貝爾核電廠災(zāi)區(qū)電腦系統(tǒng)也受影響。它被網(wǎng)絡(luò)安全界認(rèn)為是歷史上最昂貴、最具破壞性的勒索攻擊。美國(guó)白宮估計(jì),其結(jié)果就是超過(guò)100億美元的總損失。NotPetya被定義為網(wǎng)絡(luò)戰(zhàn)的一部分。提醒我們網(wǎng)絡(luò)戰(zhàn)爭(zhēng)的危險(xiǎn)性已威脅到全球現(xiàn)代基礎(chǔ)設(shè)施。
更精確的說(shuō),Wannacry和Nonpetya屬于Wipeware(清除軟件,唯一的目的即徹底損毀所有的文件數(shù)據(jù)),而不是勒索軟件。人們普遍認(rèn)為,這兩個(gè)惡意軟件都受到了某國(guó)家政府的支持,故意偽裝成勒索軟件,隱匿行蹤、混淆視聽(tīng),延長(zhǎng)調(diào)查周期。由于烏克蘭是重災(zāi)區(qū),有大量猜測(cè)認(rèn)為,NotPetya
根本就不是勒索軟件,而是俄羅斯針對(duì)烏克蘭實(shí)施網(wǎng)絡(luò)攻擊的偽裝。
2018年-2019年:攻擊重點(diǎn)轉(zhuǎn)移至企業(yè)
自2018年第一季度開(kāi)始,勒索軟件攻擊將重點(diǎn)從消費(fèi)者轉(zhuǎn)移至企業(yè):針對(duì)消費(fèi)者個(gè)人的攻擊從下半年開(kāi)始出現(xiàn)顯著下降。在2019年,針對(duì)企業(yè)的勒索軟件攻擊數(shù)量首次超過(guò)了針對(duì)消費(fèi)者的數(shù)量,前者在2019年第二季度比2018年第二季度增長(zhǎng)了363%。勒索軟件犯罪團(tuán)伙已經(jīng)不再以家庭用戶(hù)為目標(biāo),而主要是針對(duì)大型企業(yè)網(wǎng)絡(luò)。
2018年,勒索病毒攻擊整體態(tài)勢(shì)以服務(wù)器定向攻擊為主,輔以撒網(wǎng)式無(wú)差別攻擊手段。GandCrab、GlobeImposter、CrySis這三大家族勒索病毒的受害者最多,合計(jì)占比高達(dá)80.2%;勒索病毒最常使用的攻擊手段是遠(yuǎn)程桌面弱口令暴力破解攻擊。
2019年,勒索軟件朝著新目標(biāo)——市政機(jī)構(gòu)發(fā)起攻擊。根據(jù)卡巴斯基公開(kāi)統(tǒng)計(jì)數(shù)據(jù)和公告,2019年至少有174個(gè)市政機(jī)構(gòu)受到了勒索軟件的攻擊。比一年前報(bào)告的數(shù)量增加大約60%。最著名、最廣泛討論的事件是對(duì)美國(guó)巴爾的摩市的攻擊,大規(guī)模勒索軟件攻擊導(dǎo)致巴爾的摩市的大量城市服務(wù)癱瘓,最終花費(fèi)數(shù)千萬(wàn)美元才恢復(fù)城市IT網(wǎng)絡(luò)。
在2019年,按攻擊事件計(jì)數(shù),Sodinokibi是最流行的勒索軟件類(lèi)型。Ryuk繼續(xù)困擾大型企業(yè),成為第二種最常見(jiàn)的勒索軟件。Phobos和Dharma仍然繼續(xù)是小型企業(yè)勒索軟件攻擊的穩(wěn)定部分。
2019年主要勒索病毒。數(shù)據(jù)來(lái)源:Coveware公司
2020:勒索軟件最瘋狂的年份
Check
Point研究表明,勒索軟件是2020年最瘋狂,同時(shí)也是給企業(yè)造成損失最大的攻擊手段。全球企業(yè)風(fēng)險(xiǎn)咨詢(xún)公司Kroll的調(diào)查也顯示,勒索軟件是2020年最常見(jiàn)的威脅。2020年,勒索攻擊數(shù)量增加,部分原因是由于新冠疫情帶來(lái)的遠(yuǎn)程工作方式為黑客開(kāi)辟了新的攻擊面。
2020年上半年,Sodinokibi、GlobeImposter、Dharma、Phobos等勒索病毒家族占比較高,牢牢統(tǒng)治著勒索病毒的半壁江山。其中,Sodinokibi(也稱(chēng)為REvil)是2020年最經(jīng)常看到的勒索軟件病毒,這是一種勒索軟件即服務(wù)(RaaS)攻擊模型,已經(jīng)利用混合勒索軟件來(lái)進(jìn)行勒索攻擊。Ryuk作為相對(duì)年輕的勒索軟件家族,在2020年人氣顯著上升。遠(yuǎn)程辦公增加了該勒索軟件的感染率。
在Kroll觀察到的近一半(47%)勒索軟件案例中,攻擊者都是利用開(kāi)放式遠(yuǎn)程桌面協(xié)議(RDP)和Microsoft專(zhuān)有的網(wǎng)絡(luò)通信協(xié)議來(lái)發(fā)起攻擊。僅有四分之一(26%)的勒索軟件攻擊案例可追溯到網(wǎng)絡(luò)釣魚(yú)電子郵件,而17%的案例與漏洞利用有關(guān)。
2020年上半年活躍家族所占比例 數(shù)據(jù)來(lái)源:奇安信勒索病毒搜索引擎
勒索軟件的最新攻擊趨勢(shì)
一夜之間激增的遠(yuǎn)程辦公給網(wǎng)絡(luò)犯罪分子提供了有吸引力的新攻擊目標(biāo)。數(shù)以百萬(wàn)計(jì)的人在家工作,感染勒索軟件的機(jī)會(huì)比以往任何時(shí)候都高。在過(guò)去的12個(gè)月中,我們看到的勒索軟件攻擊比任何時(shí)期都要多。2020年報(bào)告的惡意軟件事件,有27%歸因于勒索軟件。
2020年,勒索軟件攻擊有如下趨勢(shì):
雙重勒索成為新常態(tài)。勒索軟件正在演變成一種新型威脅,網(wǎng)絡(luò)犯罪分子不僅加密數(shù)據(jù),還竊取數(shù)據(jù)并威脅要在互聯(lián)網(wǎng)上發(fā)布數(shù)據(jù)。這使得機(jī)構(gòu)不僅要面臨破壞性的數(shù)據(jù)泄露,還有相關(guān)的法規(guī)、財(cái)務(wù)和聲譽(yù)影響。這種勒索策略被稱(chēng)為“雙重勒索”。這無(wú)疑讓受害者承受更大的數(shù)據(jù)泄露壓力,使受害者被迫支付贖金的可能性大幅提高。受害者同時(shí)承受著支付贖金后的數(shù)據(jù)被公開(kāi)的不確定性,以及監(jiān)管機(jī)構(gòu)對(duì)其數(shù)據(jù)泄露進(jìn)行處罰的雙重壓力。越來(lái)越多的勒索家族在暗網(wǎng)建立數(shù)據(jù)泄露網(wǎng)站。今年上半年勒索家族的數(shù)據(jù)泄露站暴增,用于發(fā)布那些不支付贖金企業(yè)的數(shù)據(jù)。2020年8月,Maze勒索團(tuán)伙因?yàn)槔账魇?,泄露?0.2GB
的LG內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)以及25.8GB的Xerox數(shù)據(jù)。雙重勒索可能會(huì)成為勒索軟件攻擊的“新常態(tài)”。
IoT成為勒索軟件攻擊新突破口。黑客通常通過(guò)向互聯(lián)網(wǎng)開(kāi)放的IoT設(shè)備來(lái)訪(fǎng)問(wèn)公司網(wǎng)絡(luò)。他們遠(yuǎn)程掃描公司網(wǎng)絡(luò)以查找設(shè)備,掃描網(wǎng)絡(luò)中的已知漏洞。根據(jù)SonicWall安全研究人員2020年11月發(fā)布的2020年第三季度威脅情報(bào),針對(duì)物聯(lián)網(wǎng)的攻擊數(shù)量增加了30%,勒索軟件攻擊數(shù)量激增了40%,早在2017年,就出現(xiàn)了首個(gè)針對(duì)聯(lián)網(wǎng)設(shè)備的勒索軟件攻擊報(bào)告:55個(gè)交通攝像頭感染了WannaCry勒索軟件。物聯(lián)網(wǎng)的發(fā)展速度,加上被廣泛報(bào)道的物聯(lián)網(wǎng)設(shè)備的脆弱性,為勒索軟件運(yùn)營(yíng)提供了全新的領(lǐng)域。
關(guān)鍵基礎(chǔ)設(shè)施成勒索軟件攻擊的重要目標(biāo)。費(fèi)城天普大學(xué)的研究團(tuán)隊(duì)一直跟蹤針對(duì)全球關(guān)鍵基礎(chǔ)設(shè)施的勒索軟件攻擊。近兩年來(lái),勒索軟件的頻次逐年上升。今年僅僅2020前8個(gè)月已有241起。被勒索的關(guān)鍵基礎(chǔ)設(shè)施行業(yè)來(lái)看,政府部門(mén)是勒索的重點(diǎn),達(dá)到了199次。緊隨其次的教育行業(yè)和醫(yī)療衛(wèi)生行業(yè),均為106次。關(guān)鍵制造、應(yīng)急服務(wù)、通信、效能系統(tǒng)、商業(yè)行業(yè)、金融行業(yè)、能源、食品和農(nóng)業(yè)、水務(wù)和污水處理、化工、國(guó)防工業(yè)基礎(chǔ)行業(yè)、核工業(yè)等都是勒索的高發(fā)區(qū)。
勒索攻擊更加定向、復(fù)雜。勒索軟件攻擊正變成高度針對(duì)性的復(fù)雜攻擊。Ekans勒索軟件(Snake變體)
對(duì)本田公司的攻擊事件中,其樣本出現(xiàn)了定向化攻擊的特征,會(huì)檢查執(zhí)行環(huán)境是否在指定公司的域環(huán)境中,如果不在則退出。EKANS加入了一些特定于ICS的特定惡意軟件變體,例如Havex和CRASHOVERRID,能夠終止受害設(shè)備上的幾個(gè)關(guān)鍵進(jìn)程,包括與工業(yè)控制系統(tǒng)(ICS)操作直接相關(guān)的某些進(jìn)程。目前,勒索軟件目前已成為針對(duì)制造業(yè)的最大網(wǎng)絡(luò)安全威脅。此外,威脅行為體對(duì)勒索軟件采用高級(jí)持續(xù)威脅(APT)方法已經(jīng)變得越來(lái)越普遍。在APT勒索軟件策略下,威脅行為體通過(guò)漏洞利用、社會(huì)工程或各種其他手段獲得對(duì)目標(biāo)網(wǎng)絡(luò)進(jìn)行未授權(quán)訪(fǎng)問(wèn),然后釋放勒索軟件。尚不具備APT防御能力的組織可能會(huì)更容易遭受勒索軟件和其他復(fù)雜的網(wǎng)絡(luò)犯罪攻擊的打擊。
關(guān)于勒索軟件的未來(lái)
勒索軟件攻擊日益肆虐,業(yè)界對(duì)未來(lái)的防護(hù)前景并不看好。有安全研究人員稱(chēng),100%確信勒索軟件未來(lái)將繼續(xù)給全球帶來(lái)沉重打擊。
知名投資咨詢(xún)公司 Cybersecurity Ventures預(yù)計(jì),2021年企業(yè)每11秒遭受一次勒索攻擊,給企業(yè)造成200億美元的損失。
“試想在未來(lái)某個(gè)時(shí)候,您使用自動(dòng)駕駛的汽車(chē),被黑客入侵,只有10分鐘的時(shí)間支付贖金,否則就會(huì)把車(chē)撞壞。這不是科幻小說(shuō),而是未來(lái)能看到的趨勢(shì)。”
參考文章:
https://digitalguardian.com/blog/history-ransomware-attacks-biggest-and-worst-ransomware-attacks-all-time
https://www.secrss.com/articles/24097
https://www.vpnmentor.com/blog/history-ransomware-threat-past-present-and-future/
https://digitalguardian.com/blog/history-ransomware-attacks-biggest-and-worst-ransomware-attacks-all-time
https://www.secrss.com/articles/25513
https://www.infradata.com/news-blog/ransomware-data-leak-extortion-part-1/
文章來(lái)源:虎符智庫(kù)
安全機(jī)構(gòu)研究發(fā)現(xiàn):勒索軟件在2020年最瘋狂,攻擊規(guī)模和頻率以驚人的速度增長(zhǎng),同時(shí)也是給企業(yè)造成損失最大的攻擊手段,甚至造成全球首例勒索軟件致死事故。國(guó)際刑警組織也宣稱(chēng),勒索軟件構(gòu)成網(wǎng)絡(luò)安全的最大威脅因素。過(guò)去30年曾改寫(xiě)網(wǎng)絡(luò)安全格局的勒索軟件,在2020年進(jìn)入最興盛的突變?cè)辍?/p>
自21世紀(jì)初以來(lái),勒索軟件一直是大型企業(yè)、中小商家及個(gè)人的突出網(wǎng)絡(luò)威脅。2017年,F(xiàn)BI的互聯(lián)網(wǎng)犯罪投訴中心(IC3)收到了1783起勒索軟件投訴。2013年10月至2019年11月之間,受害者已向勒索軟件攻擊者支付了約1.44 億美元。但這僅是向IC3報(bào)告的攻擊。實(shí)際的勒索軟件攻擊數(shù)量和損失要高得多。
本文將回顧自1989年首次記錄勒索軟件攻擊至今的勒索軟件歷史,嘗試總結(jié)勒索軟件在2020年的最新趨勢(shì)。
勒索軟件是什么?
勒索軟件是一種惡意軟件,它能夠獲取文件或系統(tǒng)的控制權(quán)限,并阻止用戶(hù)控制這些文件或系統(tǒng)。然后,所有的文件甚至整個(gè)設(shè)備都會(huì)被加密技術(shù)挾持,直到受害者支付贖金以換取解密密鑰。該密鑰允許用戶(hù)恢復(fù)被程序加密的文件或系統(tǒng)。
勒索軟件已經(jīng)存在了幾十年,并且其變種在傳播、逃避檢測(cè)、加密文件和脅迫用戶(hù)支付贖金的能力上已經(jīng)越來(lái)越先進(jìn)。新時(shí)代的勒索軟件采用了先進(jìn)的傳播技術(shù),以及確保難以逆向工程的加密算法。勒索軟件還利用合法的系統(tǒng)功能,如微軟的CryptoAPI,從而避免使用命令和控制(C2)通信。
受害者支付500美元贖金后,CryptoWall網(wǎng)站顯示解密說(shuō)明。
勒索軟件穩(wěn)居當(dāng)今企業(yè)和個(gè)人所面臨的最重大威脅之一。毫無(wú)疑問(wèn),攻擊手段變的越來(lái)越復(fù)雜,防御措施將更具挑戰(zhàn),受害者則會(huì)面臨更大的災(zāi)難。
勒索軟件攻擊是如何發(fā)生的?
"勒索軟件"一詞描述了軟件的功能,即勒索用戶(hù)或企業(yè)以獲取經(jīng)濟(jì)利益。該軟件必須能夠控制被劫持的文件或系統(tǒng),這種控制通過(guò)感染或攻擊載體發(fā)生。
惡意軟件和病毒軟件與生物疾病有相似之處。正是由于這些相似性,仿照流行病學(xué)界對(duì)有害病原體的載體使用的術(shù)語(yǔ),我們稱(chēng)入口點(diǎn)為 "載體"。像生物界一樣,系統(tǒng)有許多方法可以被攻破,然后被劫持。從技術(shù)上講,攻擊或感染載體是勒索軟件獲得控制權(quán)的手段。
勒索軟件的攻擊載體一直在變化,但總體保持大致相同,就像釣魚(yú)郵件攻擊,不斷利用曝出的各種技術(shù)漏洞,以及人的漏洞。
勒索軟件的載體類(lèi)型包括:
電子郵件:黑客傳播勒索軟件傳統(tǒng)常見(jiàn)方法是通過(guò)釣魚(yú)郵件。黑客使用精心制作的釣魚(yú)郵件,利用令人信服的理由,誘騙受害者打開(kāi)附件或單擊包含惡意文件的鏈接。文件可以采用多種不同的格式,包括PDF、ZIP文件、Word文檔或JavaScript。這種策略和其他相關(guān)策略一樣,是通過(guò)欺騙手段來(lái)獲取文件和/或系統(tǒng)的控制權(quán)限。
遠(yuǎn)程桌面協(xié)議(RDP):遠(yuǎn)程桌面協(xié)議(RDP)可以連接企業(yè)范圍內(nèi)的系統(tǒng),使遠(yuǎn)程管理更加方便和容易。自2019年勒索犯罪組織將企業(yè)作為主要攻擊目標(biāo)后,RDP就成為其采用的首個(gè)攻擊手段。
網(wǎng)站木馬傳播:用戶(hù)訪(fǎng)問(wèn)惡意網(wǎng)站時(shí),勒索軟件會(huì)被瀏覽器自動(dòng)下載并在后臺(tái)運(yùn)行;此外,攻擊者會(huì)通過(guò)用戶(hù)的瀏覽器的漏洞,將勒索軟件下載到用戶(hù)的主機(jī)。
惡意內(nèi)部人員:內(nèi)部人員通常是有權(quán)訪(fǎng)問(wèn)公司漏洞和信息的員工。所有有權(quán)訪(fǎng)問(wèn)網(wǎng)絡(luò)和敏感數(shù)據(jù)的員工和用戶(hù)都可能由于惡意意圖和特權(quán)濫用而造成無(wú)法彌補(bǔ)的損失。特斯拉險(xiǎn)被攻擊的事件提醒了內(nèi)部人員的風(fēng)險(xiǎn)。
社交網(wǎng)絡(luò):勒索軟件攻擊者采用的另一種欺騙手段是在社交賬戶(hù)上給受害者發(fā)信息。攻擊者發(fā)送帶有文件附件的消息。一旦附件被打開(kāi),勒索軟件就可以獲得控制權(quán),并鎖定受感染設(shè)備所連接的網(wǎng)絡(luò)。此外,勒索軟件還以社交網(wǎng)絡(luò)中的圖片或者其他惡意文件為載體來(lái)傳播。
彈窗:另一種常見(jiàn)但又比較古老的勒索軟件載體是在線(xiàn) "彈窗"。彈窗是為了模仿當(dāng)前正在使用的軟件,讓用戶(hù)更放心地按照提示操作,最終旨在攻擊用戶(hù)。
可移動(dòng)存儲(chǔ)介質(zhì)、本地和遠(yuǎn)程的驅(qū)動(dòng)器:勒索軟件用于滲透環(huán)境的另一種途徑是通過(guò)USB等可移動(dòng)存儲(chǔ)介質(zhì)。惡意軟件會(huì)自我復(fù)制到所有本地驅(qū)動(dòng)器的根目錄中,并成為具有隱藏屬性和系統(tǒng)屬性的可執(zhí)行文件。
勒索軟件發(fā)展歷程
最早的勒索軟件攻擊并不復(fù)雜,有報(bào)告顯示它存在缺陷,但它為勒索軟件演變?yōu)楝F(xiàn)在的復(fù)雜攻擊奠定了基礎(chǔ)。
商業(yè)雜志《快公司》的一篇文章稱(chēng),早期的勒索軟件開(kāi)發(fā)者通常會(huì)自己編寫(xiě)加密代碼。現(xiàn)在的攻擊者則越來(lái)越依賴(lài)于"明顯更難被破解的現(xiàn)成函數(shù)庫(kù)",并利用更復(fù)雜的傳播方法,如魚(yú)叉式釣魚(yú)活動(dòng),而不是傳統(tǒng)的群發(fā)釣魚(yú)郵件,因?yàn)楹笳叱1焕]件過(guò)濾器過(guò)濾掉。
高水平的攻擊者提供開(kāi)發(fā)工具包,使技術(shù)能力較低的攻擊者也可以下載和部署。網(wǎng)絡(luò)犯罪分子利用提供勒索軟件即服務(wù)(Raas)的方式,通過(guò)提供勒索軟件牟利,這導(dǎo)致了CryptoLocker、CryptoWall、Locky和TeslaCrypt等知名勒索軟件的崛起。僅CryptoWall就創(chuàng)造了超過(guò)3.2億美元的收入。
首個(gè)勒索軟件攻擊事件
自2005年以來(lái),勒索軟件一直穩(wěn)居最大的威脅之一,但首次攻擊卻發(fā)生的更早。根據(jù)《貝克爾醫(yī)院評(píng)論》(Becker's Hospital Review)的數(shù)據(jù),首個(gè)已知的勒索軟件攻擊發(fā)生在1989年,攻擊目標(biāo)是醫(yī)療行業(yè)。醫(yī)療行業(yè)目前仍然是勒索軟件攻擊的首要目標(biāo)。
原始的AIDS 軟盤(pán)
首個(gè)已知的攻擊由艾滋病研究者Joseph Popp博士在1989年發(fā)起,他通過(guò)向90多個(gè)國(guó)家的艾滋病研究者分發(fā)2萬(wàn)張軟盤(pán)來(lái)進(jìn)行攻擊。他聲稱(chēng)這些軟盤(pán)中包含一個(gè)程序,可以通過(guò)問(wèn)券調(diào)查來(lái)分析個(gè)人患艾滋病的風(fēng)險(xiǎn)。然而,磁盤(pán)中還包含一個(gè)惡意程序,該程序最初在電腦中一直處于休眠狀態(tài),只有在電腦開(kāi)機(jī)通電90次后才會(huì)激活。在達(dá)到90次的啟動(dòng)門(mén)檻后,惡意軟件顯示出一條信息,要求支付189美元,并支付378美元的軟件租賃費(fèi)。這種勒索軟件攻擊被稱(chēng)為艾滋病木馬,或PC Cyborg。Joseph Popp博士被視為“勒索軟件之父”。
在1989年首次記錄的勒索軟件攻擊后,這種網(wǎng)絡(luò)犯罪仍不常見(jiàn),直到21世紀(jì)00年代中期,攻擊者開(kāi)始利用更復(fù)雜且更難被破解的加密算法,如RSA。這一期間流行的勒索軟件有Gpcode、TROJ.RANSOM.A、Archiveus、Krotten、Cryzip和MayArchive。
2006年,第一個(gè)使用非對(duì)稱(chēng)加密的勒索軟件“Archievus”的出現(xiàn)。它主要采用RSA加密方法,會(huì)對(duì)“我的文檔”目錄里面的所有內(nèi)容進(jìn)行加密。這個(gè)勒索軟件開(kāi)始把魔爪伸向受害者的錢(qián)包,要求用戶(hù)從特定網(wǎng)站來(lái)購(gòu)買(mǎi)獲取解密文件的密碼。這個(gè)方式至今是勒索軟件的主流獲利方式。
2010年-2012年: 收入兌現(xiàn)
在接下來(lái)的幾年中,勒索軟件不斷發(fā)展,使用和炒作都在增加,但直到2010年代中期,它才成為主流攻擊方式。
從2011年開(kāi)始,勒索軟件風(fēng)靡一時(shí)。2011年第三季度,惡意軟件樣本的發(fā)現(xiàn)量激增,發(fā)現(xiàn)了約60,000種新的勒索軟件。2012年第三季度則翻了一番,達(dá)到200,000多種。但McAfee的《2011年第四季度威脅報(bào)告》中卻從未提及該術(shù)語(yǔ)。直到2012年,安全公司才開(kāi)始討論勒索軟件是一種重大威脅。
2009年1月比特幣的出現(xiàn)及繁榮,幫助改變了一切,讓這個(gè)地下產(chǎn)業(yè)蓬勃發(fā)展。2010年左右,網(wǎng)絡(luò)犯罪分子已經(jīng)知道如何利用勒索軟件賺錢(qián)。2010年代的頭幾年,勒索軟件開(kāi)始盈利,但并不是很普遍。通過(guò)以數(shù)字貨幣為代表的匿名支付方式,網(wǎng)絡(luò)勒索者將可以更好地隱藏自己、“安全”的獲得高額收益。
2013年-2016年:現(xiàn)代勒索軟件興起
2013年9月是勒索軟件歷史的關(guān)鍵時(shí)刻, CryptoLocker誕生了。除了鎖定系統(tǒng)外,還對(duì)文件進(jìn)行加密。它的出現(xiàn)標(biāo)志著進(jìn)入真正的勒索軟件時(shí)代,具有決定性意義。它是首個(gè)將所有關(guān)鍵技術(shù)結(jié)合起來(lái)的勒索軟件,構(gòu)成了現(xiàn)代勒索軟件的基礎(chǔ)。2013年10月,CryptoLocker感染達(dá)到峰值,月感染大約15萬(wàn)臺(tái)計(jì)算機(jī)。
CryptoLocker利用AES-256來(lái)加密特定擴(kuò)展名的文件,然后使用C&C服務(wù)器生成的2048位RSA秘鑰來(lái)加密AES-256位密鑰。CryptoLocker在傳播的方式上也有新突破。它通過(guò)Gameover Zeus僵尸網(wǎng)絡(luò)來(lái)傳播,被標(biāo)記為首個(gè)通過(guò)被感染網(wǎng)站傳播的勒索病毒案。CryptoLocker也以電子郵件附件方式通過(guò)魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)傳播。
從2014年第三季度到2015年第一季度,勒索軟件的數(shù)量增長(zhǎng)了三倍多。2015年,影響多個(gè)平臺(tái)的病毒變種對(duì)全球用戶(hù)造成了嚴(yán)重的破壞。
卡巴斯基的SecureList報(bào)告表明,從2014年4月到2015年3月,最突出的勒索軟件威脅是CryptoWall、Cryakl、Scatter、Mor、CTB-Locker、TorrentLocker、Fury、Lortok、Aura和Shade。報(bào)告顯示:"它們攻擊了全球101,568名用戶(hù),占同期所有被加密勒索軟件攻擊的用戶(hù)的77.48%"。勒索攻擊形勢(shì)變化顯著。據(jù)卡巴斯基2015-2016年的研究報(bào)告,"TeslaCrypt與CTB-Locker、Scatter和Cryakl一起,造成了79.21%的加密勒索軟件攻擊”。
從2014年4月到2016年初,CryptoWall是最常見(jiàn)的勒索軟件,其變種感染了數(shù)十萬(wàn)個(gè)人和企業(yè)。到2015年年中,CryptoWall已經(jīng)向受害者勒索了超過(guò)1800萬(wàn)美元,促使FBI發(fā)布了關(guān)于該威脅的警告。
2015年,一些網(wǎng)絡(luò)犯罪組織采用了所謂的“勒索軟件即服務(wù)”(RaaS)模式,開(kāi)發(fā)人員可以從同伙的攻擊中獲利。從那時(shí)起,勒索活動(dòng)就變得像普通的Web業(yè)務(wù)。
2016年也是勒索軟件攻擊的重要一年,自2016年針對(duì)企業(yè)的勒索攻擊開(kāi)始出現(xiàn),出現(xiàn)了一些著名的加密勒索軟件:LOCKY 2016年2月發(fā)現(xiàn)。PETYA、CERBER、SAMSAM于2016年3月首次出現(xiàn)。
與以前的勒索軟件系列不同,Samas勒索軟件特別關(guān)注企業(yè)而不是個(gè)人。2016年4月,SamSam利用醫(yī)院系統(tǒng)的服務(wù)器漏洞實(shí)施入侵,成功感染了國(guó)外多家醫(yī)院。SamSam的出現(xiàn),意味著勒索軟件攻擊企業(yè)服務(wù)器,甚至攻擊整個(gè)企業(yè)網(wǎng)絡(luò)已經(jīng)成為新的攻擊方向。2016年勒索軟件為網(wǎng)絡(luò)犯罪分子共凈賺了10億美元。
2014-2015年卡巴斯基實(shí)驗(yàn)室觀察到的勒索軟件變種分布。
2015-2016年卡巴斯基實(shí)驗(yàn)室觀察到的勒索軟件變種分布。
2017年: 勒索病毒爆發(fā)年
盡管CryptoLocker、TeslaCrypt和 Locky等勒索軟件家族都在全球范圍內(nèi)感染了大量系統(tǒng)。然而,直到2017年中,WannaCry、NotPetya兩大勒索軟件攻擊將戰(zhàn)火蔓延至全球,攻擊覆蓋了從烏克蘭的醫(yī)院到加利福尼亞的廣播電臺(tái)等機(jī)構(gòu),勒索軟件展示了其不可忽視的危害性、破壞性。
WannaCry是WannaCrypt的簡(jiǎn)寫(xiě),意味著WannaCry是加密病毒軟件的事實(shí)。更具體來(lái)說(shuō)就是,它就是加密蠕蟲(chóng),能自動(dòng)復(fù)制及散播開(kāi)來(lái)。WannaCry勒索病毒利用Windows SMB(“永恒之藍(lán)”)漏洞在全球快速傳播,感染全球99個(gè)國(guó)家和地區(qū)超過(guò)百萬(wàn)臺(tái)電腦,這使得WannaCry成為史上規(guī)模最大的勒索病毒襲擊事件。WannaCry所造成損失據(jù)估計(jì)為40億美元到80億美元之間。
NotPetya又稱(chēng)Petya、Petrwrap或GoldenEye,最先于2017年6月在烏克蘭被發(fā)現(xiàn),當(dāng)?shù)卣块T(mén)、醫(yī)院、銀行、機(jī)場(chǎng)等系統(tǒng)均被攻擊,連切爾諾貝爾核電廠災(zāi)區(qū)電腦系統(tǒng)也受影響。它被網(wǎng)絡(luò)安全界認(rèn)為是歷史上最昂貴、最具破壞性的勒索攻擊。美國(guó)白宮估計(jì),其結(jié)果就是超過(guò)100億美元的總損失。NotPetya被定義為網(wǎng)絡(luò)戰(zhàn)的一部分。提醒我們網(wǎng)絡(luò)戰(zhàn)爭(zhēng)的危險(xiǎn)性已威脅到全球現(xiàn)代基礎(chǔ)設(shè)施。
更精確的說(shuō),Wannacry和Nonpetya屬于Wipeware(清除軟件,唯一的目的即徹底損毀所有的文件數(shù)據(jù)),而不是勒索軟件。人們普遍認(rèn)為,這兩個(gè)惡意軟件都受到了某國(guó)家政府的支持,故意偽裝成勒索軟件,隱匿行蹤、混淆視聽(tīng),延長(zhǎng)調(diào)查周期。由于烏克蘭是重災(zāi)區(qū),有大量猜測(cè)認(rèn)為,NotPetya 根本就不是勒索軟件,而是俄羅斯針對(duì)烏克蘭實(shí)施網(wǎng)絡(luò)攻擊的偽裝。
2018年-2019年:攻擊重點(diǎn)轉(zhuǎn)移至企業(yè)
自2018年第一季度開(kāi)始,勒索軟件攻擊將重點(diǎn)從消費(fèi)者轉(zhuǎn)移至企業(yè):針對(duì)消費(fèi)者個(gè)人的攻擊從下半年開(kāi)始出現(xiàn)顯著下降。在2019年,針對(duì)企業(yè)的勒索軟件攻擊數(shù)量首次超過(guò)了針對(duì)消費(fèi)者的數(shù)量,前者在2019年第二季度比2018年第二季度增長(zhǎng)了363%。勒索軟件犯罪團(tuán)伙已經(jīng)不再以家庭用戶(hù)為目標(biāo),而主要是針對(duì)大型企業(yè)網(wǎng)絡(luò)。
2018年,勒索病毒攻擊整體態(tài)勢(shì)以服務(wù)器定向攻擊為主,輔以撒網(wǎng)式無(wú)差別攻擊手段。GandCrab、GlobeImposter、CrySis這三大家族勒索病毒的受害者最多,合計(jì)占比高達(dá)80.2%;勒索病毒最常使用的攻擊手段是遠(yuǎn)程桌面弱口令暴力破解攻擊。
2019年,勒索軟件朝著新目標(biāo)——市政機(jī)構(gòu)發(fā)起攻擊。根據(jù)卡巴斯基公開(kāi)統(tǒng)計(jì)數(shù)據(jù)和公告,2019年至少有174個(gè)市政機(jī)構(gòu)受到了勒索軟件的攻擊。比一年前報(bào)告的數(shù)量增加大約60%。最著名、最廣泛討論的事件是對(duì)美國(guó)巴爾的摩市的攻擊,大規(guī)模勒索軟件攻擊導(dǎo)致巴爾的摩市的大量城市服務(wù)癱瘓,最終花費(fèi)數(shù)千萬(wàn)美元才恢復(fù)城市IT網(wǎng)絡(luò)。
在2019年,按攻擊事件計(jì)數(shù),Sodinokibi是最流行的勒索軟件類(lèi)型。Ryuk繼續(xù)困擾大型企業(yè),成為第二種最常見(jiàn)的勒索軟件。Phobos和Dharma仍然繼續(xù)是小型企業(yè)勒索軟件攻擊的穩(wěn)定部分。
2019年主要勒索病毒。數(shù)據(jù)來(lái)源:Coveware公司
2020:勒索軟件最瘋狂的年份
Check Point研究表明,勒索軟件是2020年最瘋狂,同時(shí)也是給企業(yè)造成損失最大的攻擊手段。全球企業(yè)風(fēng)險(xiǎn)咨詢(xún)公司Kroll的調(diào)查也顯示,勒索軟件是2020年最常見(jiàn)的威脅。2020年,勒索攻擊數(shù)量增加,部分原因是由于新冠疫情帶來(lái)的遠(yuǎn)程工作方式為黑客開(kāi)辟了新的攻擊面。
2020年上半年,Sodinokibi、GlobeImposter、Dharma、Phobos等勒索病毒家族占比較高,牢牢統(tǒng)治著勒索病毒的半壁江山。其中,Sodinokibi(也稱(chēng)為REvil)是2020年最經(jīng)常看到的勒索軟件病毒,這是一種勒索軟件即服務(wù)(RaaS)攻擊模型,已經(jīng)利用混合勒索軟件來(lái)進(jìn)行勒索攻擊。Ryuk作為相對(duì)年輕的勒索軟件家族,在2020年人氣顯著上升。遠(yuǎn)程辦公增加了該勒索軟件的感染率。
在Kroll觀察到的近一半(47%)勒索軟件案例中,攻擊者都是利用開(kāi)放式遠(yuǎn)程桌面協(xié)議(RDP)和Microsoft專(zhuān)有的網(wǎng)絡(luò)通信協(xié)議來(lái)發(fā)起攻擊。僅有四分之一(26%)的勒索軟件攻擊案例可追溯到網(wǎng)絡(luò)釣魚(yú)電子郵件,而17%的案例與漏洞利用有關(guān)。
2020年上半年活躍家族所占比例 數(shù)據(jù)來(lái)源:奇安信勒索病毒搜索引擎
勒索軟件的最新攻擊趨勢(shì)
一夜之間激增的遠(yuǎn)程辦公給網(wǎng)絡(luò)犯罪分子提供了有吸引力的新攻擊目標(biāo)。數(shù)以百萬(wàn)計(jì)的人在家工作,感染勒索軟件的機(jī)會(huì)比以往任何時(shí)候都高。在過(guò)去的12個(gè)月中,我們看到的勒索軟件攻擊比任何時(shí)期都要多。2020年報(bào)告的惡意軟件事件,有27%歸因于勒索軟件。
2020年,勒索軟件攻擊有如下趨勢(shì):
雙重勒索成為新常態(tài)。勒索軟件正在演變成一種新型威脅,網(wǎng)絡(luò)犯罪分子不僅加密數(shù)據(jù),還竊取數(shù)據(jù)并威脅要在互聯(lián)網(wǎng)上發(fā)布數(shù)據(jù)。這使得機(jī)構(gòu)不僅要面臨破壞性的數(shù)據(jù)泄露,還有相關(guān)的法規(guī)、財(cái)務(wù)和聲譽(yù)影響。這種勒索策略被稱(chēng)為“雙重勒索”。這無(wú)疑讓受害者承受更大的數(shù)據(jù)泄露壓力,使受害者被迫支付贖金的可能性大幅提高。受害者同時(shí)承受著支付贖金后的數(shù)據(jù)被公開(kāi)的不確定性,以及監(jiān)管機(jī)構(gòu)對(duì)其數(shù)據(jù)泄露進(jìn)行處罰的雙重壓力。越來(lái)越多的勒索家族在暗網(wǎng)建立數(shù)據(jù)泄露網(wǎng)站。今年上半年勒索家族的數(shù)據(jù)泄露站暴增,用于發(fā)布那些不支付贖金企業(yè)的數(shù)據(jù)。2020年8月,Maze勒索團(tuán)伙因?yàn)槔账魇?,泄露?0.2GB 的LG內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)以及25.8GB的Xerox數(shù)據(jù)。雙重勒索可能會(huì)成為勒索軟件攻擊的“新常態(tài)”。
IoT成為勒索軟件攻擊新突破口。黑客通常通過(guò)向互聯(lián)網(wǎng)開(kāi)放的IoT設(shè)備來(lái)訪(fǎng)問(wèn)公司網(wǎng)絡(luò)。他們遠(yuǎn)程掃描公司網(wǎng)絡(luò)以查找設(shè)備,掃描網(wǎng)絡(luò)中的已知漏洞。根據(jù)SonicWall安全研究人員2020年11月發(fā)布的2020年第三季度威脅情報(bào),針對(duì)物聯(lián)網(wǎng)的攻擊數(shù)量增加了30%,勒索軟件攻擊數(shù)量激增了40%,早在2017年,就出現(xiàn)了首個(gè)針對(duì)聯(lián)網(wǎng)設(shè)備的勒索軟件攻擊報(bào)告:55個(gè)交通攝像頭感染了WannaCry勒索軟件。物聯(lián)網(wǎng)的發(fā)展速度,加上被廣泛報(bào)道的物聯(lián)網(wǎng)設(shè)備的脆弱性,為勒索軟件運(yùn)營(yíng)提供了全新的領(lǐng)域。
關(guān)鍵基礎(chǔ)設(shè)施成勒索軟件攻擊的重要目標(biāo)。費(fèi)城天普大學(xué)的研究團(tuán)隊(duì)一直跟蹤針對(duì)全球關(guān)鍵基礎(chǔ)設(shè)施的勒索軟件攻擊。近兩年來(lái),勒索軟件的頻次逐年上升。今年僅僅2020前8個(gè)月已有241起。被勒索的關(guān)鍵基礎(chǔ)設(shè)施行業(yè)來(lái)看,政府部門(mén)是勒索的重點(diǎn),達(dá)到了199次。緊隨其次的教育行業(yè)和醫(yī)療衛(wèi)生行業(yè),均為106次。關(guān)鍵制造、應(yīng)急服務(wù)、通信、效能系統(tǒng)、商業(yè)行業(yè)、金融行業(yè)、能源、食品和農(nóng)業(yè)、水務(wù)和污水處理、化工、國(guó)防工業(yè)基礎(chǔ)行業(yè)、核工業(yè)等都是勒索的高發(fā)區(qū)。
勒索攻擊更加定向、復(fù)雜。勒索軟件攻擊正變成高度針對(duì)性的復(fù)雜攻擊。Ekans勒索軟件(Snake變體) 對(duì)本田公司的攻擊事件中,其樣本出現(xiàn)了定向化攻擊的特征,會(huì)檢查執(zhí)行環(huán)境是否在指定公司的域環(huán)境中,如果不在則退出。EKANS加入了一些特定于ICS的特定惡意軟件變體,例如Havex和CRASHOVERRID,能夠終止受害設(shè)備上的幾個(gè)關(guān)鍵進(jìn)程,包括與工業(yè)控制系統(tǒng)(ICS)操作直接相關(guān)的某些進(jìn)程。目前,勒索軟件目前已成為針對(duì)制造業(yè)的最大網(wǎng)絡(luò)安全威脅。此外,威脅行為體對(duì)勒索軟件采用高級(jí)持續(xù)威脅(APT)方法已經(jīng)變得越來(lái)越普遍。在APT勒索軟件策略下,威脅行為體通過(guò)漏洞利用、社會(huì)工程或各種其他手段獲得對(duì)目標(biāo)網(wǎng)絡(luò)進(jìn)行未授權(quán)訪(fǎng)問(wèn),然后釋放勒索軟件。尚不具備APT防御能力的組織可能會(huì)更容易遭受勒索軟件和其他復(fù)雜的網(wǎng)絡(luò)犯罪攻擊的打擊。
關(guān)于勒索軟件的未來(lái)
勒索軟件攻擊日益肆虐,業(yè)界對(duì)未來(lái)的防護(hù)前景并不看好。有安全研究人員稱(chēng),100%確信勒索軟件未來(lái)將繼續(xù)給全球帶來(lái)沉重打擊。
知名投資咨詢(xún)公司 Cybersecurity Ventures預(yù)計(jì),2021年企業(yè)每11秒遭受一次勒索攻擊,給企業(yè)造成200億美元的損失。
“試想在未來(lái)某個(gè)時(shí)候,您使用自動(dòng)駕駛的汽車(chē),被黑客入侵,只有10分鐘的時(shí)間支付贖金,否則就會(huì)把車(chē)撞壞。這不是科幻小說(shuō),而是未來(lái)能看到的趨勢(shì)。”
參考文章:
https://digitalguardian.com/blog/history-ransomware-attacks-biggest-and-worst-ransomware-attacks-all-time
https://www.secrss.com/articles/24097
https://www.vpnmentor.com/blog/history-ransomware-threat-past-present-and-future/
https://digitalguardian.com/blog/history-ransomware-attacks-biggest-and-worst-ransomware-attacks-all-time
https://www.secrss.com/articles/25513
https://www.infradata.com/news-blog/ransomware-data-leak-extortion-part-1/
文章來(lái)源:虎符智庫(kù)