网络攻击数以万计,其中一半是勒索软件。今天我们就来看看2019年令人窒息的勒索软件攻击。(这可能是今年最早的勒索软件盘点)今年3月,全球最大的铝制品制造商之一的NorskHydro遭到勒索软件攻击,公司被迫关闭多条自动化生产线,震惊全球铝产品交易市场;5月,国内某网约车平台被黑客勒索,服务器核心数据被加密。当勒索软件攻击导致所有市政工作关闭数周时,紧急市政会议决定支付600,000美元的赎金。巧合的是,就在该市做出这一决定后的短短一周内,佛罗里达州另一座被袭击的城市莱克城也被迫向黑客支付了价值近五十万美元的比特币赎金。6月,全球最大飞机零部件供应商ASCO遭到勒索软件攻击,生产环境系统瘫痪。约1,000名工人被停职,四国工厂被迫停产。10月初,全球最大的助听器制造商Demant遭到勒索软件入侵。损失高达9500万美元;10月中旬,全球知名航运和电子商务巨头必能宝遭到勒索软件攻击。攻击者对公司系统数据进行加密并破坏其在线服务系统,90%以上的世界500强合作企业受到影响;103月16日,法国最大的商业电视台M6集团遭到勒索病毒洗劫。公司电话、邮件、办公、管理工具全部中断,集体被迫“罢工”,但勒索软件攻势可能尚未达到顶峰。受勒索病毒疫情影响,10月9日,总部设在荷兰海牙的欧洲刑警组织和国际刑警组织发布了《2019互联网有组织犯罪威胁评估》报告,特别指出勒索病毒仍然是网络安全的最大威胁,全球各行各业都需要加强合作,共同打击网络犯罪。我们总结了2019年初以来排名前五的勒索病毒,活跃度极高的勒索病毒有近百种,我们总结出其中几款最为凶猛。1、GandCrab勒索病毒在很多人眼中,GandCrab勒索病毒绝对是2019年最具传奇色彩的角色。GandCrab首次亮相是在2018年,经过5次迭代,已经扩散到罗纳尼亚、巴西、和印度,全球有超过150万用户被感染。也被国内安全团队称为“GrandRogueVirus”,因为他们的后期版本避开了饱受战争蹂躏的叙利亚。今年6月,GandCrab勒索病毒团队的一则官方消息刷爆了网络。他们高调宣布,在短短一年半的时间里,该团队已获利超过20亿美元,人均年收入达1.5亿美元,因此他们决定停止更新该恶意程序并从荣耀中退休。GandCrab勒索软件团队的官方声明宣布,他们已经赚够了钱,准备撤退,让群众发呆。Sodinokibi又被称为REvil勒索软件,与GandCrab有明显的代码重叠,因此很多人猜测GandCrab的部分成员不愿停下来从头开始Sodinokibi。Sodinokibi的一些变种会将受害者的屏幕变成深蓝色,并以2500至5000美元不等的赎金撒网。在不到半年的时间里,勒索软件已经非法获利数百万美元。3.GlobeImposter勒索软件说到2019年的勒索软件,就不得不提GlobeImposter。该勒索病毒也被称为“十二生肖”病毒,因为它侵入计算机后,会对文件后缀为“十二生肖英文名+4444”的文件进行加密。GlobeImposter自2017年5月发布以来,已经经历了八次版本迭代,后缀也从希腊的“十二生肖”变成了“十二主神”。GlobeImposter病毒主要通过弱rdp远程桌面密码进行攻击。去年,山东10个城市的房地产系统被其攻击。今年,国内多家企业、医院等机构也遭到攻击。GlobeImposter勒索病毒:文件后缀为希腊十二神+6664阻止勒索病毒阻止勒索病毒,又名djvu勒索病毒,是2019年最活跃的病毒家族之一。与动辄数百万、上千万美元的勒索病毒相比,停止走薄利多销的赚钱路线。解密赎金需要980美元,72小时内联系软件作者还可以享受50%的优惠。该病毒主要利用木马站点伪装成软件破解工具或捆绑激活软件进行传播。5.Phobos勒索软件总体来说,Phobos是一个非常棘手的勒索软件。它采用RDP暴力破解+人工投递的方式传播,可以轻松加密受害者PC上的每一个文件,全部变成无法打开.phobos。Phobos病毒可能与Dharma病毒(又称CrySis)同属一个组织,病毒在运行过程中会进行自我复制,并在注册表中添加自启动项。如果残留在系统中的病毒体不清理干净,很可能会遇到二次加密。(Phobos病毒勒索信息)总体来说,勒索病毒种类激增,版本迭代,但表现形式大体逃不过以下几类:数据加密、系统锁定、数据泄露、欺诈恐吓,但从黑色勒索病毒,却足以震惊世界,也难怪国际刑警会站出来发声了。我们发现的一些攻击趋势为了让其他人免受勒索软件的浪潮,我们也发现了2019年勒索软件攻击的一些变化。首先,从ToC用户到ToB政府和企业,勒索价格大幅上涨。目前的勒索病毒明显已经从广而浅的普通用户转向中大型政企机构和行业组织。一份安全报告显示,自2018年6月以来,全球针对ToB的勒索攻击增加了363%。正如我们开篇提到的,全球最大的铝制品制造商、全球最大的助听器制造商、全球最大的飞机零部件供应商等“全球最大系列”接二连三遭到攻击,目的都是为了获取巨大的经济利益.当然,赎金也在暴涨。当年风靡全球的WannaCry,解密赎金只有300美元;但是现在——Sodinokibi勒索病毒,赎金3个比特币起(约合3万美元);Ryuk勒索软件,11个比特币(约合12万美元))起步;至于MegaCortex勒索软件,最高赎金高达600比特币,相当于要价580万美元;而且,或许是受到GandCrab家族一年半赚取20亿美元的启发,MageCortex勒索软件也格外流行,在赎金信息中留下了奋斗的座右铭:“我们正在努力赚钱。核心这种犯罪活动的目的是在勒索赎金后以最原始的形式归还你的宝贵数据。”明显感觉到自己割韭菜的欲望。其次,从垃圾邮件到漏洞利用虽然勒索病毒有垃圾邮件、RDP密码爆破、网页木马等多种传播途径,但凡事都有漏洞,这可能就是勒索病毒的发源地。例如Sodinokibi勒索病毒集成了多个漏洞进行传播,包括Windows内核提权漏洞(CVE-2018-8453)、Confluence漏洞(CVE-2019-3396)、UAF漏洞(CVE-2018-4878)、Weblogic反序列化漏洞(CVE-2019-2725)等;再举一个例子,BitPaymer勒索软件利用了Apple的0day漏洞;GETCRYPT勒索软件利用RIGEK漏洞利用工具包;通过Chrome浏览器弹窗传播的勒索软件Spora勒索软件。总之,该勒索病毒利用漏洞打出组合拳,不仅得手率大幅上升,威胁程度也远超以往。从这个角度来看,勒索病毒对反病毒的拦截查杀技术提出了更具挑战性的要求。勒索软件利用Apple的0-day漏洞进行传播。第三,打着敲诈勒索的幌子,实际上是获取情报或破坏数据。今年,发生了一起窃取情报的案子。9月,MalwareHunterTeam披露了一起不寻常的勒索软件事件。它会不断搜索受感染的目标以获取敏感信息,包括军事机密、银行信息、欺诈/刑事调查文件,并且不会表现得像是在寻找金钱。更可疑的是,“勒索软件”还会寻找美国社会保障部列出的2018年最常见的婴儿名字,包括Emma、Olivia、Noah、Logan和James。除了窃取信息外,假冒的“勒索软件”搜索关键词还有其他更奇葩的攻击案例。一些“勒索软件”会像走投无路一样对文件进行多次加密,甚至对文件造成无法挽回的破坏,彻底断绝了勒索的获取途径。分析认为,这很可能是APT黑客组织渗透窃取国家企业机密数据后投放的破坏性勒索病毒。目的是利用勒索软件作为掩护,破坏数据,消除入侵痕迹,掩盖真正的攻击意图。第四,畅多手动投毒的优势在于精准定位。黑客可以瞄准高价值的定制服务器和系统。(黑客组织在人工植入病毒)因此,人工植入病毒的数量越来越多。Ryuk勒索病毒的感染和传播过程由攻击者手动执行;而Globelmposter勒索病毒并没有主动传播,而是被黑客渗透进入内网后,人为植入到目标主机上;还有MegaCortex病毒,攻击者通过“手动入侵”设法获得了管理凭据。除了精确定位目标之外,这种方法还有其他好处:它增加了“停留时间”,即从最初感染到安装勒索软件之间的时间。此操作使攻击者有时间分析受感染的网络,以识别网络中最关键的系统并获取密码以感染这些系统,然后再释放勒索软件以最大程度地破坏。对日益增多、扩散、高频的网络安全威胁的更多反思,让我们开始思考:当前,在高级持续性威胁正常发展的当下,“互联网更安全”或许只是一种错觉,是一种凶猛且异常活跃的勒索病毒病毒,撕碎了人们沉醉的安全假象。在一个从来没有绝对安全的在线世界中,相对安全变得越来越有价值。最终,网络安全是继续螺旋式上升的“攻防”大战,还是裂变为新的终极模式,谁也无法给出肯定的答案。只有在攻防中不断探索,才能迎接安全的未来。
