勒索軟件五大家族的攻擊目標(biāo)與方法
2020年03月31日
勒索軟件是劫持?jǐn)?shù)據(jù)以索求贖金的一類惡意軟件,面世已頗有些年頭����。第一起勒索軟件攻擊發(fā)生在1991年,當(dāng)時一位生物學(xué)家通過平郵將載有首個勒索軟件PC Cyborg的軟盤寄給其他研究艾滋病的科學(xué)家�����。新千年第一個十年中期,采用加密技術(shù)的首款勒索軟件Archiveus出現(xiàn)���,其密碼至今仍可在維基百科頁面上找到——盡管此勒索軟件早已被安全社區(qū)擊潰�。10年代初�,“警方”系勒索軟件包浮出水面;此類勒索軟件因假冒司法機(jī)構(gòu)發(fā)出的違法警告并索取“罰款”而得名����,開始利用新一代匿名支付服務(wù)避開監(jiān)管漁利。
21世紀(jì)第二個十年里�����,一種新的勒索軟件趨勢浮現(xiàn):網(wǎng)絡(luò)罪犯首選加密貨幣作為贖金支付方式�。加密貨幣本就專為不可追蹤的匿名支付而設(shè)計,對勒索者的吸引力顯而易見�����。比特幣是最為著名的加密貨幣�����,絕大多數(shù)勒索軟件攻擊者都要求以比特幣支付贖金。不過��,比特幣的廣為流傳也使其價值波動性增大��,有些攻擊者已開始轉(zhuǎn)向其他的加密貨幣����。
10年代中期,勒索軟件攻擊飆升到了危機(jī)的程度��。但到了2018年�,勒索軟件熱潮似乎開始消退��,另一種非法攫取比特幣的方式逐漸冒頭:加密貨幣劫持�����。這種方法甚至無需受害者知曉比特幣錢包是什么��,就能利用受害者電腦挖掘比特幣���。利用垃圾郵件分發(fā)者和DDoS攻擊者沿用多年的腳本模式�����,這些加密貨幣劫持者能在用戶毫不知情的情況下偷偷獲取計算機(jī)系統(tǒng)的控制權(quán)����。受害用戶電腦被黑后即變身比特幣挖礦機(jī),在后臺默默生產(chǎn)加密貨幣�,吃掉空閑計算周期,悄悄耗費受害者大量計算資源與電力�。2018年里,勒索軟件攻擊逐漸下降�,而加密貨幣劫持攻擊則激增450%。
過去兩年來���,由于加密幣市場的巨幅波動�,原本醉心于挖礦的勒索軟件調(diào)轉(zhuǎn)槍口卷土重來����,其攻擊技術(shù)和危害性也有極大提升,以下是新時期安全業(yè)界尤為頭疼的勒索軟件五大家族�����。
1. SamSam
SamSam勒索軟件攻擊始于2015年末���,但其真正激增出現(xiàn)在后面幾年��,科羅拉多運(yùn)輸部��、亞特蘭大市和多家醫(yī)療保健機(jī)構(gòu)都淪為了SamSam的受害者�。該勒索軟件攻擊完美展現(xiàn)了攻擊者組織技能的重要性,充分證明組織協(xié)同能力對網(wǎng)絡(luò)攻擊者而言堪比代碼編程技藝���。不同于一些其他勒索軟件的做法����,SamSam并非無差別地探查某些具體漏洞�,而是以勒索軟件即服務(wù)的方式運(yùn)營:控制者小心探測預(yù)選目標(biāo)的弱點,利用的漏洞涵蓋IIS�����、FTP��、RDP等多種服務(wù)與協(xié)議����。一旦進(jìn)入系統(tǒng)內(nèi)部�,攻擊者便相當(dāng)敬業(yè)地提升權(quán)限����,確保開始加密文件時攻擊具有足夠的破壞力���。
盡管安全研究人員最初認(rèn)為SamSam源自東歐��,但絕大部分SamSam攻擊卻針對美國境內(nèi)的組織機(jī)構(gòu)���。2018年末,美國司法部判定兩名伊朗人是攻擊的背后主使;起訴書宣稱這些攻擊造成了超過3,000萬美元的損失���。目前尚不清楚這一數(shù)字是否真實反映出已支付的贖金數(shù)額;亞特蘭大市官方曾在當(dāng)?shù)孛襟w上發(fā)布過附帶攻擊者聯(lián)系信息的勒索信截屏�,正是該信息導(dǎo)致了此通信門戶的關(guān)閉����,可能阻止了亞特蘭大支付此筆贖金(想付也付不了了)。
2. Ryuk
Ryuk是2018和2019年間盛行的另一大勒索軟件����,其目標(biāo)受害者是精心挑選出來的難以承受宕機(jī)后果的組織機(jī)構(gòu),包括日報社和北卡羅來納州正努力從颶風(fēng)佛羅倫薩的余波中恢復(fù)的一家水廠���?���!堵迳即墪r報》詳細(xì)報道了自家系統(tǒng)遭感染后發(fā)生的一切。Ryuk一個特別狡詐的功能是可以禁用被感染電腦上的Windows系統(tǒng)還原(Windows System Restore)選項����,令受害者更難以在不支付贖金的情況下找回被加密的數(shù)據(jù)。鑒于攻擊者針對的是高價值受害者�����,贖金目標(biāo)也轉(zhuǎn)為高企;圣誕季的一波攻擊表明了他們?yōu)檫_(dá)成目標(biāo)毫不介意毀掉圣誕節(jié)�。
安全分析師認(rèn)為,Ryuk源代碼很大程度上出自朝鮮Lazarus黑客團(tuán)伙的Hermes惡意軟件���。但這并不表明Ryuk攻擊本身是朝鮮發(fā)起的��,邁克菲認(rèn)為其代碼基礎(chǔ)由俄語區(qū)供應(yīng)商提供���,因為該勒索軟件不會在系統(tǒng)語言設(shè)置為俄語、白俄羅斯語和烏克蘭語的計算機(jī)上執(zhí)行�����。至于該俄羅斯供應(yīng)源如何從朝鮮獲得的代碼��,我們就不得而知了��。
3. PureLocker
2019年11月���,IBM和Intezer共同發(fā)表了一篇文章�,講述新型勒索軟件變種PureLocker的運(yùn)行機(jī)制����。該勒索軟件可在Windows或Linux機(jī)器上執(zhí)行,是新一波針對性惡意軟件的絕佳代表�。PureLocker并不通過廣泛的網(wǎng)絡(luò)釣魚攻擊進(jìn)駐受害主機(jī),而是與幾個著名網(wǎng)絡(luò)犯罪團(tuán)伙所用的more_eggs后門軟件有關(guān)�����。換句話說�,PureLocker安裝在已被攻擊者入侵并探查清楚的機(jī)器上,且會在運(yùn)行前先檢查自身所處環(huán)境���,而不是盲目加密數(shù)據(jù)����。
盡管并未披露PureLocker感染范圍�,但I(xiàn)BM和Intezer揭示出企業(yè)生產(chǎn)服務(wù)器這類明顯高價值目標(biāo)是遭受攻擊最嚴(yán)重的���。由于此類攻擊需要較高水準(zhǔn)的人工控制,Intezer安全研究員Michael Kajiloti認(rèn)為PureLocker是能承受高額前期投入的犯罪組織才能入手的勒索軟件即服務(wù)產(chǎn)品�����。
4. Zeppelin
Zeppelin是Vega/VegasLocker勒索軟件家族的進(jìn)階版�����,繼承并發(fā)展了這一肆虐俄羅斯和東歐會計企業(yè)的勒索軟件即服務(wù)產(chǎn)品���。Zeppelin創(chuàng)新了幾個技術(shù)花招�,其可配置功能尤為突出�,但真正讓它在Vega家族鶴立雞群的,是其針對性攻擊的本質(zhì)�����。Vega的傳播某種程度上而言有點漫無目的�,且主要活躍在俄語世界,Zeppelin則特別設(shè)計為不在俄羅斯�����、烏克蘭��、白俄羅斯和哈薩克斯坦的電腦上運(yùn)行�。Zeppelin的部署方式也很多,包括可執(zhí)行文件(EXE)�����、動態(tài)鏈接庫(DLL)和PowerShell加載器����,但有些攻擊甚至能通過被黑托管安全服務(wù)供應(yīng)商部署,這就令人不寒而栗了�����。
Zeppelin開始嶄露頭角是在2019年11月��,作為區(qū)別于Vega的明證�,其目標(biāo)似乎是仔細(xì)挑選的。受害者大多數(shù)屬于北美和歐洲的醫(yī)療保健和技術(shù)行業(yè)���,有些勒索信就是特別針對受感染目標(biāo)機(jī)構(gòu)寫就的�。安全專家認(rèn)為,Zeppelin在行為上偏離Vega是因為其代碼庫可能轉(zhuǎn)手給了更具野心的俄羅斯黑客;盡管感染數(shù)量沒Vega那么高�,但部分專家覺得目前觀測到的情況有可能是更大攻擊潮的概念驗證。
5. REvil/Sodinokibi
Sodinokibi亦名為REvil����,首次出現(xiàn)于2019年4月。與Zeppelin類似�����,Sodinokibi源自名為GandCrab的另一惡意軟件家族��,同樣具有不在俄羅斯及其鄰國(如敘利亞)執(zhí)行的特點����,表明其源頭可能也是俄語區(qū)。其傳播方式多樣�����,可利用Oracle WebLogic服務(wù)器或Pulse Connect Secure VPN中的漏洞�����。
Sodinokibi的傳播再次凸顯出其背后命令與控制團(tuán)隊將之作為勒索軟件即服務(wù)產(chǎn)品的野心��。該勒索軟件在2019年9月造成德克薩斯州22個以上的市鎮(zhèn)宕機(jī),但其真正臭名昭著是在新年夜搞崩英國貨幣兌換服務(wù)Travelex之時�����,此次襲擊導(dǎo)致機(jī)場陷入紙筆運(yùn)營�,令無數(shù)客戶茫然無措����。攻擊者要求高達(dá)600萬美元的贖金,不過受害公司既沒證實也沒否認(rèn)是否支付了贖金���。
在Juniper Networks威脅實驗室負(fù)責(zé)人Mounir Hahad眼中����,2019最嚴(yán)重勒索軟件攻擊是Sodinokibi����,因為該勒索軟件的控制者在攻擊中引入了額外的變化。最特別的一點就是�����,這伙黑客不僅告訴人們“不付贖金就拿不回數(shù)據(jù)”����,還會威脅稱“將在網(wǎng)上公開或在地下論壇競拍這些機(jī)密數(shù)據(jù)”����。這種新的勒索方式將此商業(yè)模式推升到了新的高度�����,與傳統(tǒng)勒索模式大為不同——畢竟����,這種方法無需費勁滲漏即可鎖定受害者數(shù)據(jù),但又切切實實地威脅到了受害者�����。高針對性����、強(qiáng)定制化的勒索軟件新時代似乎正走向危險新深淵。
江蘇國駿為您提供全面可信的信息安全服務(wù)
http://borgatopiano.com.cn/
免費咨詢熱線:400-6776-989
長按二維碼關(guān)注我們
