勒索软件的演变代表了过去三十年网络安全领域最重要的转变之一。
自20世纪90年代,作为一种相对粗糙的数字勒索形式起步以来,勒索软件如今已经演变成一种极为复杂、动辄造成数十亿美元损失的新型网络威胁。
1989年,首个勒索软件——AIDS特洛伊木马出现,它要求受害者向巴拿马的一个邮政信箱邮寄189美元,这也是最原始的勒索攻击,随着网络攻击技术的不断发展,已经演变为采用高级加密、双重勒索策略、加密货币支付的一场精心策划的网络攻击行动。
这种演变不仅反映了技术的进步,也反映了网络犯罪本身的变化,机会主义者已经让位于以类似企业的效率运作的专业犯罪组织。通过审视20世纪90年代至2024年的关键勒索软件毒株和转折点,我们可以惊喜分析,勒索攻击是如何从根本上重塑了网络安全实践,并迫使组织重新思考数据保护方法。
勒索软件的起源:AIDS特洛伊木马
随着1989年AIDS特洛伊木马(常称为PC Cyborg)的出现,勒索软件首次在公众面前亮相,这是世界上有记录的第一个勒索软件实例。该特洛伊木马通过将2万个受感染的软盘,发送给在瑞典举行的世界卫生组织全球艾滋病会议的参与者进行传播。恶意软件由约瑟夫·波普博士创建,并插入磁盘上的艾滋病问卷中。
起初,该软件看似无害,但在重启90次后,恶意软件加密了文件名并要求支付赎金。为了恢复对其系统的访问权限,受害者被告知向巴拿马的一个邮政信箱存入189美元。尽管当时的攻击是新颖的,但按今天的标准来看却很原始。
由于勒索软件加密的是文件名而不是内容,而且支付方式依赖于海外汇款单,受害者很难遵从要求。
尽管只有很少的受害者支付赎金,但由于其影响而非财务成功,这次攻击引起了很多关注。在某些情况下,受害者因擦除和重建计算机而丢失了重要的研究数据。幸运的是,有网络安全专家创建了一个解密器,允许受害者在不支付赎金的情况下检索文件。
尽管AIDS特洛伊木马是一次开创性的网络攻击,但它仍然是一次孤立事件。在20世纪九十年代,勒索软件并不常见,因为当时几乎没有数字支付选择,也没有广泛互联的网络。这些对恶意软件的发展至关重要,也为后来几十年更先进、更具破坏性的勒索软件行动奠定了基础。
勒索软件演变的早期(2004-2007)
2004-2005年
2000年代初,勒索软件历史上的一个重要转折点,GPCoder成为当代勒索软件爆发的先驱。GPCoder于2005年被发现,可加密重要的数据文件,包括数据库、电子表格和文档,其策略包括在被影响的目录中放置勒索说明,要求通过西联汇款或高级短信支付200美元,尽管当时它尚未被正式归类为勒索软件。但是,这一勒索策略为后面即将到来的勒索软件攻击奠定了基础。
2005-2006年
2005年,勒索软件迎来了一次重大进步,Archievus首次使用了RSA非对称加密,因此迫使受害者必须支付赎金才能解密其数据。在其详细的说明中,Archievus警告受害者不要依赖外部援助或系统备份,这一主题至今仍在勒索软件电子邮件中存在。尽管技术上有所进步,但此次勒索攻击依旧有一个十分关键的缺陷:所有受害者的解密密码是一样的,这意味着只需要支付一份赎金,即可解密所有的文档。
2007年:锁定勒索软件出现
2007年,锁定勒索软件变体首次出现,极大地改变了勒索软件的情况。与基于加密的毒株不同,这些攻击试图通过关闭包括键盘、鼠标等计算机必要的功能,完全将受害者排除在其设备之外。这些变体经常针对俄罗斯用户,并通过显示成人图像等激进策略强迫受害者服从。早期勒索软件开发者使用了多种货币化技术,如通过高级电话呼叫或短信消息要求支付。
加密货币和勒索软件即服务(RaaS)
随着网络犯罪的发展,威胁行为者不断变化以提高收入并避免被发现。Vundo勒索软件在2009年首次出现,它会加密受害者的文件并要求支付赎金以解密。
2010年加密货币的出现进一步改变了游戏规则,为犯罪分子提供了一种去中心化的、无法追踪的支付方式。特别是比特币,由于其允许即时跨境支付,成为勒索软件的首选货币,使执法部门更难以追踪非法活动。
2012年,勒索软件即服务(RaaS)的引入,勒索软件商业模式得到了巨大的发展。这种策略首先被Reveton勒索软件使用,它假装成执法人员,威胁受害者支付赎金否则将面临严重的法律后果。RaaS 不仅使勒索软件更容易传播,而且通过降低技术门槛,也让低技术的黑客们更容易进入市场。
恐吓软件是当年的一种有利可图的策略。与传统的勒索软件不同,恐吓软件使用心理操纵来要求金钱以避免所谓的惩罚,并显示虚假的执法警告。尽管与勒索软件有类似的意图,但恐吓软件是网络犯罪生态系统中的一个独特现象,因为它依赖于基于恐惧的欺骗。
勒索软件的上升期
2013年至2016年间,勒索软件发生了重大变化,导致当代勒索软件作为一种反复出现的全球威胁而兴起。在此期间,勒索软件攻击的范围不断扩大,不仅针对Windows计算机,还针对其他操作系统和各种设备。
2013年推出的CryptoLocker勒索软件,是勒索软件史上一个重要的里程碑,它展示了基于加密的勒索攻击具有无与伦比的破坏力。CryptoLocker通过僵尸网络和网络钓鱼电子邮件传播,使用公钥-私钥加密锁定受害者的文件,并要求在短时间内支付赎金,最初的价格是300美元的比特币或MoneyPak。
随着CryptoLocker的出现,勒索软件发生了翻天覆地的变化。在实施方面,它成为了后续勒索软件变体的模型。到2015年底,联邦调查局估计受害者已支付超过2700万美元。如此庞大的收益导致勒索软件的创作激增,在随后的几年里出现了许多变体。
CryptoLocker的出现还促进了网络安全公司与执法部门之间日益增长的合作。2014年,一项包括私人企业和组织(如美国计算机紧急响应小组和欧洲刑警组织)在内的多国行动,拆除了支持CryptoLocker的基础设施。其运营商、俄罗斯国民叶夫根尼·米哈伊洛维奇·博加切夫被起诉,虽未成功捕获,但拆除行动大大减少了CryptoLocker的影响。
CryptoLocker还进一步展示了勒索软件行为者的多才多艺和顽强,以及成功打击网络犯罪所需国际合作的重要性。即使最初的毒株被消除,它带来的基本策略仍然影响着今天的勒索软件活动。
到2016年,随着Locky和Petya等主要毒株在规模和复杂性方面的显著优势,勒索软件已成为一种强大的网络威胁。Locky在当年首次亮相时,立即因其积极的传播策略(包括广泛的网络钓鱼活动)而闻名。
Petya带来了勒索软件功能的一次飞跃。与之前主要加密单个文件的前身不同,Petya针对主引导记录(MBR)和主文件表(MFT)。该勒索软件表明,通过阻止受害者访问整个系统,可以更成功地使组织无法运作,并要求支付更高的赎金以恢复访问权限。
其他勒索软件,包括Cerber、TeslaCrypt和Jigsaw在内,也在这一时期蔓延,这使2016年被称为“勒索软件之年”。这些变体利用网络钓鱼策略、漏洞利用和恶意广告中的漏洞,大批量地感染计算机。所有这些行动共同推动了勒索软件经济体量增加,勒索支付总额首次超过了10亿美元大关。
政府行为者登场:Petya和WannaCry
2017年的安全事件是勒索软件发展,及其对网络安全和地缘政治更广泛影响的另一个重要转折点。WannaCry和Petya这两个著名的实例展示了勒索软件的破坏性潜力,同时也带来了包括国家支持的倡议在内的网络操作的复杂性。
在感染了150多个国家的数十万台系统后,WannaCry迅速引起了国际关注。WannaCry利用美国国家安全局(NSA)泄露的,微软服务器消息块(SMB)协议中的EternalBlue漏洞,以蠕虫形式自行传播。庆幸的是安全研究员Marcus Hutchins发现了一个终止其传播的关键因素,尽管WannaCry 影响遍及全球,但该发现有效阻止了攻击的传播并减轻了影响。但由于没有有效的解密密钥,用户依旧无法恢复数据。至2017年年底,部分国家将WannaCry蠕虫病毒归咎于朝鲜,突显了其作为国家支持的勒索软件网络攻击前兆的重要性。
在很短的时间内,Petya以截然不同的目标,但在操作上却十分类似。尽管它伪装成勒索软件,但其实更像是一种擦除器,即使用户支付了赎金也无法恢复数据。除了其他漏洞外,该攻击还利用了EternalBlue漏洞。
它通过入侵乌克兰一款流行的会计程序M.E.Doc的更新进行传播。最初该攻击只是针对乌克兰基础设施,例如金融、能源和政府部门,但在不久之后,Petya迅速扩展到乌克兰之外,并干扰了许多企业的国际业务。
在2018年,Petya攻击被归咎于俄罗斯国家行为者,而这种攻击以金融勒索为幌子,实际上却是将恶意软件用作地缘政治的工具。
这些事件突显了网络安全的重要发展。它们展示了出于情报目的创建的漏洞,如何被转化为武器并在全球范围内使用。此外,网络攻击技术成为国际冲突和战略的关键要素的时代已经到来,国家支持与常规网络犯罪之间的界限变得模糊。Petya凸显了勒索软件在地缘政治影响方面的潜力,改变了各国和企业随后几年对网络安全的看法,而WannaCry则使勒索软件成为一个广为人知的问题。
勒索软件运营商瞄准大玩家
到2018年,勒索软件行动已从无差别攻击发展为更有针对性的高价值实体,包括交通网络、医疗服务提供商、州地方政府以及工业公司。这种变化有时被称为“大狩猎战术”,标志着一种战略转变,攻击者瞄准拥有重要资源和关键运营的组织,以获得更高的收入。
因此,这类目标在遭受勒索攻击后,常面临极为严重的后果,包括财务压力、声誉损害、业务中断等。
大约在同一时间,不同的数据窃取技术被纳入勒索软件策略,使其变的更加复杂。例如GrandCrab RaaS勒索病毒结合了文件加密和数据勒索能力,就是其中的典型案例。在加密受害者的系统之前,攻击者使用这些工具提取凭据、私人文件、屏幕截图和其他重要数据,增加了威胁性和勒索赎金的成功率。
双重勒索技术的出现
Maze是首个开始使用双重勒索的勒索软件。除了加密受害者的文件外,该策略还包括窃取私人信息并威胁公开发布,直到受害者支付进一步的赎金。即使有强大恢复系统的企业,也面临其被盗数据被公开的风险,这一创新使拥有备份的企业也感到很棘手,从而提高勒索成功率。
很快,这种勒索策略被其他勒索组织利用,增加了受害者遵守勒索要求的压力。
在2019年至2020年期间,作为这一发展的一部分,特定的泄露网站开始出现在暗网上。这些平台通过充当被盗数据的开放存储库,增加了对受害者的财务和声誉损害。尽管泄露网站也通过披露凭据和私人数据,进一步刺激了勒索攻击的发展,但它们也为网络安全研究人员提供了有用的线索,使他们能够追踪勒索软件活动并针对其背后的组织。
双重或三重勒索?
到2020年,随着“三重勒索”策略的引入,勒索软件进一步发展。通过增加额外的压力,例如针对其数据被盗的人,威胁进行第二次攻击,分布式拒绝服务(DDoS)攻击等,这种策略扩展了双重勒索。与此同时,针对工业控制系统(ICS)和运营技术(OT)的勒索软件开始出现,例如EKANS(Snake)恶意软件,也标志着勒索攻击开始转向针对关键基础设施。
LockBit和RaaS的增加
到2020年,RaaS勒索软件发生了显著变化,LockBit勒索组织成为其中的佼佼者。为了让不同专业水平的攻击者都能租用先进的工具和基础设施,LockBit 开始采用“大众化”的运营策略,让低技术的攻击者可以展现高攻击能力。
RaaS生态系统的稳健性保证了即使在执法部门取得胜利(如关闭LockBit网站)的情况下,也能快速恢复并进行持续攻击。由于这些平台进一步拓展了灵活性,附属机构能够在不受干扰的情况下引入新的勒索软件病毒。
同时,Conti勒索软件优先考虑数据窃取而非加密,重新定义了勒索策略。自2020年以来,他们经常使用网络入侵、敏感数据盗窃和公开曝光的恐惧来迫使支付。这种方法之所以有效,是因为企业不得不应对增加的财务需求以及声誉、监管问题。
2021年对Colonial Pipeline的攻击展示了勒索软件严重的现实世界后果。在一条重要的能源管道暂停六天后,出现了广泛的汽油短缺,突显了关键基础设施的脆弱性。赎金支付揭示了公司在压力下必须做出的艰难选择,权衡给予攻击者更多信心的可能性与恢复运营的需求。
新的犯罪业务:初始访问经纪人
到2020年代初,网络犯罪生态系统观察到勒索软件运营策略和框架的重大进步。初始访问经纪人(IABs)的出现并作为关键参与者,使RaaS的扩张成为可能。IABs通过出售对被黑网络的访问权限,简化了成熟的勒索软件团伙的运营,并为新手攻击者降低了门槛。这种合作迅速改变了勒索软件格局,使威胁行为者能够专注于更有效地发起和控制其攻击。
到2023年,双重勒索甚至三重勒索变得更加普遍。除了数据加密和公开披露威胁外,攻击者还普遍采用分布式拒绝服务(DDoS)攻击甚至监管利用,例如向证券交易委员会(SEC)报告违规行为以对受害者施加压力。由于这些多方面的策略,勒索软件攻击变得更加复杂,迫使防御方应对变得越来越有创意和足智多谋的对手。
勒索软件的运营模式也发生了变化。威胁组织改变其身份并实施更有效的支付方式,以逃避处罚。许多人采用类似企业的方法来处理其有害活动,通过实施类似客户支持的程序(如自助服务台),以提高受害者合规性。这些模式突显了勒索软件运营的组织成熟度和技术复杂性的持续上升。
未来展望
由于全球执法部门和复杂的网络安全防护措施的压力加大,勒索软件演变所采用的策略发生了显著变化。最近的事件表明了一种更积极、更灵活的策略来克服这些障碍。
到2023年底,著名的勒索软件组织已经改变了他们的策略以保持盈利并对受害者施加压力。这涉及到利用监管框架、利用公开披露和实施新的谈判技巧。例如,关注保险公司或利用第三方披露等策略显示出减少对直接勒索支付的依赖并最大化影响的趋势。
此外,在2023年的后几个月,明显强调多阶段勒索策略。在黑客攻击之后,像Royal和Akira这样的团体加强了对受害者的攻击,以获得对其更多的控制权。类似地,AlphV表现出将威胁扩散到主要目标之外,表明勒索软件生态系统朝着更具创意和扩展性的勒索形式的大趋势。
勒索软件技术的发展强调了企业保持警惕防范违规行为,以及在首次入侵后数年出现的复杂和持久威胁做好准备的重要性。
在未来,由AI驱动的自动化和侦察推动的超针对性、多层次勒索尝试将在勒索软件中变得更加普遍。威胁行为者将逐步利用操作技术系统和物联网中的新漏洞,特别是在供应链和关键基础设施中,这将对整个行业产生多米诺骨牌效应。
参考来源:https://socradar.io/the-evolution-of-ransomware-from-simple-encryption-to-double-extortion-tactics/
