安全机构研究发现:勒索软件在2020年最疯狂,攻击规模和频率以惊人的速度增长,同时也是给企业造成损失最大的攻击手段,甚至造成全球首例勒索软件致死事故。国际刑警组织也宣称,勒索软件构成网络安全的最大威胁因素。过去30年曾改写网络安全格局的勒索软件,在2020年进入最兴盛的突变元年。
自21世纪初以来,勒索软件一直是大型企业、中小商家及个人的突出网络威胁。2017年,FBI的互联网犯罪投诉中心(IC3)收到了1783起勒索软件投诉。2013年10月至2019年11月之间,受害者已向勒索软件攻击者支付了约1.44 亿美元。但这仅是向IC3报告的攻击。实际的勒索软件攻击数量和损失要高得多。
本文将回顾自1989年首次记录勒索软件攻击至今的勒索软件历史,尝试总结勒索软件在2020年的最新趋势。
勒索软件是什么?
勒索软件是一种恶意软件,它能够获取文件或系统的控制权限,并阻止用户控制这些文件或系统。然后,所有的文件甚至整个设备都会被加密技术挟持,直到受害者支付赎金以换取解密密钥。该密钥允许用户恢复被程序加密的文件或系统。
勒索软件已经存在了几十年,并且其变种在传播、逃避检测、加密文件和胁迫用户支付赎金的能力上已经越来越先进。新时代的勒索软件采用了先进的传播技术,以及确保难以逆向工程的加密算法。勒索软件还利用合法的系统功能,如微软的CryptoAPI,从而避免使用命令和控制(C2)通信。
受害者支付500美元赎金后,CryptoWall网站显示解密说明。
勒索软件稳居当今企业和个人所面临的最重大威胁之一。毫无疑问,攻击手段变的越来越复杂,防御措施将更具挑战,受害者则会面临更大的灾难。
勒索软件攻击是如何发生的?
"勒索软件"一词描述了软件的功能,即勒索用户或企业以获取经济利益。该软件必须能够控制被劫持的文件或系统,这种控制通过感染或攻击载体发生。
恶意软件和病毒软件与生物疾病有相似之处。正是由于这些相似性,仿照流行病学界对有害病原体的载体使用的术语,我们称入口点为 "载体"。像生物界一样,系统有许多方法可以被攻破,然后被劫持。从技术上讲,攻击或感染载体是勒索软件获得控制权的手段。
勒索软件的攻击载体一直在变化,但总体保持大致相同,就像钓鱼邮件攻击,不断利用曝出的各种技术漏洞,以及人的漏洞。
勒索软件的载体类型包括:
- 电子邮件:黑客传播勒索软件传统常见方法是通过钓鱼邮件。黑客使用精心制作的钓鱼邮件,利用令人信服的理由,诱骗受害者打开附件或单击包含恶意文件的链接。文件可以采用多种不同的格式,包括PDF、ZIP文件、Word文档或JavaScript。这种策略和其他相关策略一样,是通过欺骗手段来获取文件和/或系统的控制权限。
- 远程桌面协议(RDP):远程桌面协议(RDP)可以连接企业范围内的系统,使远程管理更加方便和容易。自2019年勒索犯罪组织将企业作为主要攻击目标后,RDP就成为其采用的首个攻击手段。
- 网站木马传播:用户访问恶意网站时,勒索软件会被浏览器自动下载并在后台运行;此外,攻击者会通过用户的浏览器的漏洞,将勒索软件下载到用户的主机。
- 恶意内部人员:内部人员通常是有权访问公司漏洞和信息的员工。所有有权访问网络和敏感数据的员工和用户都可能由于恶意意图和特权滥用而造成无法弥补的损失。特斯拉险被攻击的事件提醒了内部人员的风险。
- 社交网络:勒索软件攻击者采用的另一种欺骗手段是在社交账户上给受害者发信息。攻击者发送带有文件附件的消息。一旦附件被打开,勒索软件就可以获得控制权,并锁定受感染设备所连接的网络。此外,勒索软件还以社交网络中的图片或者其他恶意文件为载体来传播。
- 弹窗:另一种常见但又比较古老的勒索软件载体是在线 "弹窗"。弹窗是为了模仿当前正在使用的软件,让用户更放心地按照提示操作,最终旨在攻击用户。
- 可移动存储介质、本地和远程的驱动器:勒索软件用于渗透环境的另一种途径是通过USB等可移动存储介质。恶意软件会自我复制到所有本地驱动器的根目录中,并成为具有隐藏属性和系统属性的可执行文件。
勒索软件发展历程
最早的勒索软件攻击并不复杂,有报告显示它存在缺陷,但它为勒索软件演变为现在的复杂攻击奠定了基础。
商业杂志《快公司》的一篇文章称,早期的勒索软件开发者通常会自己编写加密代码。现在的攻击者则越来越依赖于"明显更难被破解的现成函数库",并利用更复杂的传播方法,如鱼叉式钓鱼活动,而不是传统的群发钓鱼邮件,因为后者常被垃圾邮件过滤器过滤掉。
高水平的攻击者提供开发工具包,使技术能力较低的攻击者也可以下载和部署。网络犯罪分子利用提供勒索软件即服务(Raas)的方式,通过提供勒索软件牟利,这导致了CryptoLocker、CryptoWall、Locky和TeslaCrypt等知名勒索软件的崛起。仅CryptoWall就创造了超过3.2亿美元的收入。
首个勒索软件攻击事件
自2005年以来,勒索软件一直稳居最大的威胁之一,但首次攻击却发生的更早。根据《贝克尔医院评论》(Becker's Hospital Review)的数据,首个已知的勒索软件攻击发生在1989年,攻击目标是医疗行业。医疗行业目前仍然是勒索软件攻击的首要目标。
原始的AIDS 软盘
首个已知的攻击由艾滋病研究者Joseph Popp博士在1989年发起,他通过向90多个国家的艾滋病研究者分发2万张软盘来进行攻击。他声称这些软盘中包含一个程序,可以通过问券调查来分析个人患艾滋病的风险。然而,磁盘中还包含一个恶意程序,该程序最初在电脑中一直处于休眠状态,只有在电脑开机通电90次后才会激活。在达到90次的启动门槛后,恶意软件显示出一条信息,要求支付189美元,并支付378美元的软件租赁费。这种勒索软件攻击被称为艾滋病木马,或PC Cyborg。Joseph Popp博士被视为“勒索软件之父”。
在1989年首次记录的勒索软件攻击后,这种网络犯罪仍不常见,直到21世纪00年代中期,攻击者开始利用更复杂且更难被破解的加密算法,如RSA。这一期间流行的勒索软件有Gpcode、TROJ.RANSOM.A、Archiveus、Krotten、Cryzip和MayArchive。
2006年,第一个使用非对称加密的勒索软件“Archievus”的出现。它主要采用RSA加密方法,会对“我的文档”目录里面的所有内容进行加密。这个勒索软件开始把魔爪伸向受害者的钱包,要求用户从特定网站来购买获取解密文件的密码。这个方式至今是勒索软件的主流获利方式。
(1) 2010年-2012年:收入兑现
在接下来的几年中,勒索软件不断发展,使用和炒作都在增加,但直到2010年代中期,它才成为主流攻击方式。
从2011年开始,勒索软件风靡一时。2011年第三季度,恶意软件样本的发现量激增,发现了约60,000种新的勒索软件。2012年第三季度则翻了一番,达到200,000多种。但McAfee的《2011年第四季度威胁报告》中却从未提及该术语。直到2012年,安全公司才开始讨论勒索软件是一种重大威胁。
2009年1月比特币的出现及繁荣,帮助改变了一切,让这个地下产业蓬勃发展。2010年左右,网络犯罪分子已经知道如何利用勒索软件赚钱。2010年代的头几年,勒索软件开始盈利,但并不是很普遍。通过以数字货币为代表的匿名支付方式,网络勒索者将可以更好地隐藏自己、“安全”的获得高额收益。
(2) 2013年-2016年:现代勒索软件兴起
2013年9月是勒索软件历史的关键时刻, CryptoLocker诞生了。除了锁定系统外,还对文件进行加密。它的出现标志着进入真正的勒索软件时代,具有决定性意义。它是首个将所有关键技术结合起来的勒索软件,构成了现代勒索软件的基础。2013年10月,CryptoLocker感染达到峰值,月感染大约15万台计算机。
CryptoLocker利用AES-256来加密特定扩展名的文件,然后使用C&C服务器生成的2048位RSA秘钥来加密AES-256位密钥。CryptoLocker在传播的方式上也有新突破。它通过Gameover Zeus僵尸网络来传播,被标记为首个通过被感染网站传播的勒索病毒案。CryptoLocker也以电子邮件附件方式通过鱼叉式网络钓鱼传播。
从2014年第三季度到2015年第一季度,勒索软件的数量增长了三倍多。2015年,影响多个平台的病毒变种对全球用户造成了严重的破坏。
卡巴斯基的SecureList报告表明,从2014年4月到2015年3月,最突出的勒索软件威胁是CryptoWall、Cryakl、Scatter、Mor、CTB-Locker、TorrentLocker、Fury、Lortok、Aura和Shade。报告显示:"它们攻击了全球101,568名用户,占同期所有被加密勒索软件攻击的用户的77.48%"。勒索攻击形势变化显著。据卡巴斯基2015-2016年的研究报告,"TeslaCrypt与CTB-Locker、Scatter和Cryakl一起,造成了79.21%的加密勒索软件攻击”。
从2014年4月到2016年初,CryptoWall是最常见的勒索软件,其变种感染了数十万个人和企业。到2015年年中,CryptoWall已经向受害者勒索了超过1800万美元,促使FBI发布了关于该威胁的警告。
2015年,一些网络犯罪组织采用了所谓的“勒索软件即服务”(RaaS)模式,开发人员可以从同伙的攻击中获利。从那时起,勒索活动就变得像普通的Web业务。
2016年也是勒索软件攻击的重要一年,自2016年针对企业的勒索攻击开始出现,出现了一些著名的加密勒索软件:LOCKY 2016年2月发现。PETYA、CERBER、SAMSAM于2016年3月首次出现。
与以前的勒索软件系列不同,Samas勒索软件特别关注企业而不是个人。2016年4月,SamSam利用医院系统的服务器漏洞实施入侵,成功感染了国外多家医院。SamSam的出现,意味着勒索软件攻击企业服务器,甚至攻击整个企业网络已经成为新的攻击方向。2016年勒索软件为网络犯罪分子共净赚了10亿美元。
2014-2015年卡巴斯基实验室观察到的勒索软件变种分布。
2015-2016年卡巴斯基实验室观察到的勒索软件变种分布。
(3) 2017年:勒索病毒爆发年
尽管CryptoLocker、TeslaCrypt和 Locky等勒索软件家族都在全球范围内感染了大量系统。然而,直到2017年中,WannaCry、NotPetya两大勒索软件攻击将战火蔓延至全球,攻击覆盖了从乌克兰的医院到加利福尼亚的广播电台等机构,勒索软件展示了其不可忽视的危害性、破坏性。
WannaCry是WannaCrypt的简写,意味着WannaCry是加密病毒软件的事实。更具体来说就是,它就是加密蠕虫,能自动复制及散播开来。WannaCry勒索病毒利用Windows SMB(“永恒之蓝”)漏洞在全球快速传播,感染全球99个国家和地区超过百万台电脑,这使得WannaCry成为史上规模最大的勒索病毒袭击事件。WannaCry所造成损失据估计为40亿美元到80亿美元之间。
NotPetya又称Petya、Petrwrap或GoldenEye,最先于2017年6月在乌克兰被发现,当地政府部门、医院、银行、机场等系统均被攻击,连切尔诺贝尔核电厂灾区电脑系统也受影响。它被网络安全界认为是历史上最昂贵、最具破坏性的勒索攻击。美国白宫估计,其结果就是超过100亿美元的总损失。NotPetya被定义为网络战的一部分。提醒我们网络战争的危险性已威胁到全球现代基础设施。
更精确的说,Wannacry和Nonpetya属于Wipeware(清除软件,唯一的目的即彻底损毁所有的文件数据),而不是勒索软件。人们普遍认为,这两个恶意软件都受到了某国家政府的支持,故意伪装成勒索软件,隐匿行踪、混淆视听,延长调查周期。由于乌克兰是重灾区,有大量猜测认为,NotPetya 根本就不是勒索软件,而是俄罗斯针对乌克兰实施网络攻击的伪装。
(4) 2018年-2019年:攻击重点转移至企业
自2018年第一季度开始,勒索软件攻击将重点从消费者转移至企业:针对消费者个人的攻击从下半年开始出现显著下降。在2019年,针对企业的勒索软件攻击数量首次超过了针对消费者的数量,前者在2019年第二季度比2018年第二季度增长了363%。勒索软件犯罪团伙已经不再以家庭用户为目标,而主要是针对大型企业网络。
2018年,勒索病毒攻击整体态势以服务器定向攻击为主,辅以撒网式无差别攻击手段。GandCrab、GlobeImposter、CrySis这三大家族勒索病毒的受害者最多,合计占比高达80.2%;勒索病毒最常使用的攻击手段是远程桌面弱口令暴力破解攻击。
2019年,勒索软件朝着新目标——市政机构发起攻击。根据卡巴斯基公开统计数据和公告,2019年至少有174个市政机构受到了勒索软件的攻击。比一年前报告的数量增加大约60%。最著名、最广泛讨论的事件是对美国巴尔的摩市的攻击,大规模勒索软件攻击导致巴尔的摩市的大量城市服务瘫痪,最终花费数千万美元才恢复城市IT网络。
在2019年,按攻击事件计数,Sodinokibi是最流行的勒索软件类型。Ryuk继续困扰大型企业,成为第二种最常见的勒索软件。Phobos和Dharma仍然继续是小型企业勒索软件攻击的稳定部分。
2019年主要勒索病毒。数据来源:Coveware公司
(5) 2020:勒索软件最疯狂的年份
Check Point研究表明,勒索软件是2020年最疯狂,同时也是给企业造成损失最大的攻击手段。全球企业风险咨询公司Kroll的调查也显示,勒索软件是2020年最常见的威胁。2020年,勒索攻击数量增加,部分原因是由于新冠疫情带来的远程工作方式为黑客开辟了新的攻击面。
2020年上半年,Sodinokibi、GlobeImposter、Dharma、Phobos等勒索病毒家族占比较高,牢牢统治着勒索病毒的半壁江山。其中,Sodinokibi(也称为REvil)是2020年最经常看到的勒索软件病毒,这是一种勒索软件即服务(RaaS)攻击模型,已经利用混合勒索软件来进行勒索攻击。Ryuk作为相对年轻的勒索软件家族,在2020年人气显著上升。远程办公增加了该勒索软件的感染率。
在Kroll观察到的近一半(47%)勒索软件案例中,攻击者都是利用开放式远程桌面协议(RDP)和Microsoft专有的网络通信协议来发起攻击。仅有四分之一(26%)的勒索软件攻击案例可追溯到网络钓鱼电子邮件,而17%的案例与漏洞利用有关。
2020年上半年活跃家族所占比例 数据来源:奇安信勒索病毒搜索引擎
勒索软件的最新攻击趋势
一夜之间激增的远程办公给网络犯罪分子提供了有吸引力的新攻击目标。数以百万计的人在家工作,感染勒索软件的机会比以往任何时候都高。在过去的12个月中,我们看到的勒索软件攻击比任何时期都要多。2020年报告的恶意软件事件,有27%归因于勒索软件。
2020年,勒索软件攻击有如下趋势:
(1) 双重勒索成为新常态。
勒索软件正在演变成一种新型威胁,网络犯罪分子不仅加密数据,还窃取数据并威胁要在互联网上发布数据。这使得机构不仅要面临破坏性的数据泄露,还有相关的法规、财务和声誉影响。这种勒索策略被称为“双重勒索”。这无疑让受害者承受更大的数据泄露压力,使受害者被迫支付赎金的可能性大幅提高。受害者同时承受着支付赎金后的数据被公开的不确定性,以及监管机构对其数据泄露进行处罚的双重压力。越来越多的勒索家族在暗网建立数据泄露网站。今年上半年勒索家族的数据泄露站暴增,用于发布那些不支付赎金企业的数据。2020年8月,Maze勒索团伙因为勒索失败,泄露了50.2GB 的LG内部网络数据以及25.8GB的Xerox数据。双重勒索可能会成为勒索软件攻击的“新常态”。
(2) IoT成为勒索软件攻击新突破口。
黑客通常通过向互联网开放的IoT设备来访问公司网络。他们远程扫描公司网络以查找设备,扫描网络中的已知漏洞。根据SonicWall安全研究人员2020年11月发布的2020年第三季度威胁情报,针对物联网的攻击数量增加了30%,勒索软件攻击数量激增了40%,早在2017年,就出现了首个针对联网设备的勒索软件攻击报告:55个交通摄像头感染了WannaCry勒索软件。物联网的发展速度,加上被广泛报道的物联网设备的脆弱性,为勒索软件运营提供了全新的领域。
(3) 关键基础设施成勒索软件攻击的重要目标。
费城天普大学的研究团队一直跟踪针对全球关键基础设施的勒索软件攻击。近两年来,勒索软件的频次逐年上升。今年仅仅2020前8个月已有241起。被勒索的关键基础设施行业来看,政府部门是勒索的重点,达到了199次。紧随其次的教育行业和医疗卫生行业,均为106次。关键制造、应急服务、通信、效能系统、商业行业、金融行业、能源、食品和农业、水务和污水处理、化工、国防工业基础行业、核工业等都是勒索的高发区。
(4) 勒索攻击更加定向、复杂。
勒索软件攻击正变成高度针对性的复杂攻击。Ekans勒索软件(Snake变体) 对本田公司的攻击事件中,其样本出现了定向化攻击的特征,会检查执行环境是否在指定公司的域环境中,如果不在则退出。EKANS加入了一些特定于ICS的特定恶意软件变体,例如Havex和CRASHOVERRID,能够终止受害设备上的几个关键进程,包括与工业控制系统(ICS)操作直接相关的某些进程。目前,勒索软件目前已成为针对制造业的最大网络安全威胁。此外,威胁行为体对勒索软件采用高级持续威胁(APT)方法已经变得越来越普遍。在APT勒索软件策略下,威胁行为体通过漏洞利用、社会工程或各种其他手段获得对目标网络进行未授权访问,然后释放勒索软件。尚不具备APT防御能力的组织可能会更容易遭受勒索软件和其他复杂的网络犯罪攻击的打击。
关于勒索软件的未来
勒索软件攻击日益肆虐,业界对未来的防护前景并不看好。有安全研究人员称,100%确信勒索软件未来将继续给全球带来沉重打击。
知名投资咨询公司 Cybersecurity Ventures预计,2021年企业每11秒遭受一次勒索攻击,给企业造成200亿美元的损失。
“试想在未来某个时候,您使用自动驾驶的汽车,被黑客入侵,只有10分钟的时间支付赎金,否则就会把车撞坏。这不是科幻小说,而是未来能看到的趋势。”