根据Cybersecurity Ventures在2021年发布的预测报告,到2031年,勒索软件每年给受害者造成的损失预计将达到2650亿美元。同时,随着勒索软件犯罪者逐步完善其恶意软件的有效载荷和相关勒索活动,平均每 2 秒就有一次新的攻击。
事实也是如此,每周几乎都有新的勒索软件攻击事件发生,影响的范围广泛,包括各级政府机构和企业。这些攻击不仅涉及赎金要求,还可能导致受害者遭受数据损坏或丢失、业务中断、生产力下降、正常运营受干扰、取证调查成本、数据与系统恢复费用、声誉损害,以及员工应对攻击的培训开支。
IBM X-Force威胁情报指数在2023年的报告中指出,勒索软件攻击占所有网络攻击的20%。这些攻击发生的极为迅速,从黑客侵入网络到部署勒索软件,通常只需不到四天时间,使得企业或者个人难以及时检测和阻止攻击。根据IBM的数据泄露成本报告,勒索软件泄露的平均成本为513万美元,这还不包括支付的赎金。
1989年标志着勒索软件的诞生,哈佛大学进化生物学家Joseph L. Popp博士发布了首个勒索软件病毒AIDS Trojan,亦称PC Cyborg,Popp因此被誉为“勒索软件之父”。
在斯德哥尔摩的世界卫生组织国际艾滋病会议上,Popp分发了2万张标记为“艾滋病信息-介绍性磁盘”的感染磁盘,这些磁盘含有恶意代码,能够隐藏文件目录、锁定文件,并要求受害者向巴拿马的邮政信箱支付189美元以解锁数据。AIDS Trojan作为第一代勒索软件,采用了简单的对称加密,相对容易被破解。
1991年11月,法官Geoffrey Rivlin裁定Joseph L. Popp不适合受审,案件因此被驳回。这种早期的勒索软件使用对称加密,易于解密,因此并未构成严重威胁。1996年,密码学家Adam L. Young和Moti M. Yung在分析AIDS Trojan时警告,未来的勒索软件可能会采用更复杂的非对称加密技术(RSA),预示着更大的破坏潜力。
2005年,首个采用了非对称加密技术的勒索软件程序出现。这些程序使用对称密钥进行加密,但密钥本身由RSA保护,需要私钥才能解锁数据。随着更有效的勒索手段出现,网络犯罪分子开始广泛传播勒索软件。
2006年,Archiveus木马成为首个使用RSA加密的勒索软件病毒,它加密MyDocuments目录中的内容,并要求受害者从在线药店购买商品以获取解密密码。随后,GPcode、Krotten和Cryzip等新病毒也相继出现,使用强大的660位RSA公钥进行传播。
2008年,GPcode.AK变种使用1024位RSA密钥发布,进一步提升了勒索软件的复杂性。同年,比特币的出现为网络犯罪分子提供了一种新的、匿名的支付方式,推动了勒索软件攻击的规模化。
爆发阶段-2011年
2011年,勒索软件进入大规模爆发阶段,匿名支付服务的使用使得犯罪分子更容易从受害者那里获取资金。前两个季度,每个季度都检测到约30,000个新样本。
2013年,首个通过电子邮件附件和受感染网站传播的加密恶意软件Cryptocurrency出现,它使用2048位RSA密钥对文件进行加密,并要求以比特币或预付现金券支付赎金。
2015年,CrytoWall取代Cryptolocker成为领先的勒索软件。同年,勒索软件即服务(RaaS)出现,使得任何犯罪分子都能轻松发起勒索攻击。2017年,Cerber和WanaCry成为勒索软件市场的主导者。Cerber以其强大的功能和RaaS商业模式而闻名,而WanaCry则因其全球范围内的快速传播而引发关注。2019年,双重勒索和三重勒索软件攻击变得更加流行,据IBM勒索响应团队称其响应的几乎所有勒索软件事件都涉及双重勒索。2022年,线程劫持成为一个突出的勒索软件载体。
高级对抗-2023年
2023年,随着勒索软件防御能力的提升,犯罪团伙开始采用新的勒索策略来补充他们的勒索软件。比如LockBit和Conti等团伙使用infostealer恶意软件窃取数据,而无需锁定受害者的系统。
区块链分析公司Chainalysis的新数据显示,在过去5年中,来自已知勒索软件地址的加密货币发送到加密货币矿池的数量激增。2018年第一季度,这些矿池中的加密货币数量仅为1万美元,2023年第一季度已增长到1000多万美元,1000倍的增长!
由于勒索软件的目标是破坏运营,因此针对工业控制系统一直是特定勒索软件团体越来越关注的焦点。根据网络安全公司Dragos最近发布的一份报告,有35%的勒索软件组织积极针对ICS和OT环境,其中72%的攻击集中在制造公司。Sophos发布的报告显示,超过半数的制造企业曾遭受勒索软件攻击,电子邮件攻击是主要问题。
本文概述了四种主要的勒索软件类型:数据加密型、数据窃取型、系统加密型和屏幕锁定型。
1. 数据加密型勒索软件: 一旦勒索软件侵入用户系统,它会搜索并锁定各种数据文件,包括文档、表格、图片、PDF等。利用高级加密算法如RSA、AES等对文件进行加密,随后索要赎金。攻击者通过暗网通信传递解密密钥,并要求以加密货币支付赎金以隐藏身份。一旦感染,文件恢复极为困难。即便使用公开的加密算法,获取加密密钥仍需进行复杂的碰撞计算,破解过程颇具挑战。
2. 数据窃取型勒索软件: 这类勒索软件与数据加密型相似,同样使用多种加密算法来加密用户数据。不同之处在于,攻击者会筛选并窃取用户的关键数据,以此要挟用户支付赎金,威胁公开这些重要信息。
3. 系统加密型勒索软件: 这种勒索软件通过加密系统磁盘的主引导记录、卷引导记录等,阻碍用户访问磁盘,影响设备的正常启动和使用。它可能对整个磁盘数据进行加密,使得一旦感染,数据恢复变得极其困难,同时向用户索取赎金。
4. 屏幕锁定型勒索软件: 这类勒索软件会锁定用户设备的屏幕,通常以全屏图像显示勒索信息,使用户无法登录或使用设备。有时它会伪装成系统蓝屏错误,虽然不涉及数据加密,但仍然要求赎金。由于数据未加密,这类攻击的数据恢复可能性较高。
这些类型的勒索软件各有特点,从对文件进行加密到窃取重要数据,从锁定系统磁盘到控制用户屏幕,它们的目的都是迫使受害者支付赎金。尽管每种类型的攻击手段和影响程度不同,但它们都给用户的数据安全和设备使用带来了严重威胁。
设备暴露于恶意代码后,勒索软件攻击将按如下方式进行:
1. 感染:攻击者通过各种分发手段将勒索软件秘密下载并安装在设备上。
2. 执行:勒索软件扫描并映射目标文件的位置,包括本地存储的文件以及映射和未映射的网络可访问系统,一些勒索软件攻击还会删除或加密任何备份文件和文件夹。攻击者在已经入侵内部网络的情况下,还可能通过实施内部鱼叉式网络钓鱼、利用文件共享协议等方式在攻击目标内部网络横向移动,或利用勒索病毒本身类蠕虫的功能,进一步扩大勒索病毒感染范围和攻击影响。
3. 加密: 勒索软件与命令和控制服务器执行密钥交换,使用加密密钥对执行步骤中发现的所有文件进行加密,它还锁定对数据的访问。
4. 通知用户:勒索软件添加赎金要求的指令文件,然后使用这些文件向用户显示勒索信息。
5. 清理:勒索软件通常会自行终止并删除,只留下付款指令文件。
6. 付款:受害者点击付款说明中的链接,该链接会将受害者带到一个网页,其中包含有关如何支付所需赎金的其他信息。隐藏的 TOR 服务通常用于封装和混淆这些通信,以避免被网络流量监控检测到。
7. 解密:受害者通常通过攻击者的比特币地址支付赎金后,受害者可能会收到解密密钥。但是,不能保证解密密钥将按承诺交付。
勒索软件攻击可以使用多种方法或载体来感染网络或设备,比如网络钓鱼、漏洞利用、凭据窃取、路过下载等等。如果您一旦发现设备受到勒索软件感染,可以采取以下步骤来减轻勒索软件威胁:
1. 隔离: 识别受感染的计算机,断开网络连接并锁定共享驱动器以防止加密。
2. 调查:查看哪些备份可用于加密数据。检查您受到的勒索软件的影响,以及是否有可用的解密器。了解支付赎金是否是一个可行的选择。
3. 恢复:使用标准做法删除勒索软件或擦除并重新映像受影响的系统。如果没有可用的解密工具,请从备份中恢复数据。在大多数国家和地区,当局都不建议支付赎金,但在某些极端情况下这可能是一个可行的选择。
4. 培训:针对员工进行培训,了解内部系统如何被感染以及如何防止再次感染。识别允许攻击者进入的关键漏洞或缺乏安全实践,并进行修复。
5. 复盘:经历危机,成长于挑战,事后评估至关重要。剖析勒索软件的执行路径,识别哪些安全漏洞被利用。追踪感染范围,评估受感染计算机的擦除与重装效果,以及备份恢复的成功率。加固安全短板,让我们在下一次攻击面前更加从容不迫。
企业应该维护敏感数据和系统映像的备份,应保存在硬盘驱动器或其他可以与网络断开连接的设备上。
保持设备的操作系统和已安装的应用程序为最新,并安装安全补丁。运行漏洞扫描以识别已知漏洞并快速修复。及时更新补丁有助于阻止利用软件和操作系统漏洞的勒索软件攻击。
企业应该针对员工进行网络安全培训,帮助员工识别和避免钓鱼邮件、社交工程和其他可能导致勒索软件感染的策略,并进行演练以测试员工是否能够识别和避免网络钓鱼。
防病毒显然是勒索软件防护的第一步,但传统的防病毒工具只能防御某些勒索软件变体。更新网络安全工具, 包括反恶意软件、网络监控工具、端点检测和响应(EDR)平台以及安全信息和事件管理(SIEM)系统等网络安全工具,可以帮助安全团队实时拦截勒索软件。
别让勒索攻击趁虚而入!上一期文章我们提到安芯神甲可以在勒索软件造成损害前实时检测并拦截勒索软件,防患于未然。安芯神甲三大能力为您护航:
1、勒索行为防御:检测勒索的典型行为(磁盘遍历),防止勒索软件的侵入和破坏。
2、勒索软件诱捕:基于勒索软件磁盘遍历和恶意加密的特征,动态生成诱饵投放给勒索软件。
3、核心数据和关键文件保护:对常见的应用进程和文件进行保护,避免业务中断。
想要筑牢防线,在攻击者行动之前完善您的企业网络安全防御策略,抵御勒索软件的威胁?立即与我们取得联系:
在多份勒索软件的报告中均提到,钓鱼邮件是勒索软件安装在用户计算机上的最常见方式,下一期将为大家分享钓鱼邮件~
荐读
上篇:当勒索软件来敲门……
潜伏1年,攻击者干了啥?
注释:部分内容资源来源于网络,如有侵权,请联系删除
原文始发于微信公众号(安芯网盾):勒索软件揭秘(下)
评论