安全机构研究发现:2020年勒索病毒最为疯狂,攻击规模和频率正以惊人的速度增长。造成了世界上第一起勒索病毒致命事故。国际刑警组织还宣布勒索软件对网络安全构成最大威胁。改写过去30年网络安全版图的勒索软件,将在2020年进入最繁荣的变异元年。自2000年代初以来,勒索软件一直是大企业、中小型企业和个人面临的突出网络威胁.2017年,FBI的互联网犯罪投诉中心(IC3)收到了1,783起勒索软件投诉。2013年10月至2019年11月期间,受害者向勒索软件攻击者支付了约1.44亿美元。但这只是向IC3报告的一次攻击。实际的勒索软件攻击量和损失要高得多。本文将回顾自1989年第一次有记录的勒索软件攻击以来勒索软件的历史,并试图总结2020年勒索软件的最新趋势。什么是勒索软件?勒索软件是获得文件或系统控制权并阻止用户控制这些文件或系统的恶意软件。然后,所有文件甚至整个设备都会被加密劫持,直到受害者支付赎金以换取解密密钥。该密钥允许用户恢复被程序加密的文件或系统。勒索软件已经存在了几十年,其变种在传播、逃避检测、加密文件和胁迫用户支付赎金方面的能力越来越先进。新时代勒索软件采用先进的传播技术,以及确保逆向工程困难的加密算法。勒索软件还利用合法的系统功能,例如Microsoft的CryptoAPI,从而避免使用命令和控制(C2)通信。受害者支付500美元赎金后,CryptoWall网站会显示解密说明。勒索软件无疑是当今企业和个人面临的最重大威胁之一。毋庸置疑,随着攻击手段越来越复杂,防御措施也将变得更具挑战性,受害者将面临更大的灾难。勒索软件攻击是如何发生的?“勒索软件”一词??描述了软件勒索用户或企业以获取经济利益的功能。该软件必须能够控制被劫持的文件或系统,而这种控制是通过感染或攻击媒介实现的。恶意软件和病毒软件与生物疾病有相似之处。正是由于这些相似性,我们将进入点称为“载体”,遵循流行病学界使用的有害病原体载体的术语。与生物世界一样,系统可以通过多种方式被破坏然后被劫持。从技术上讲,攻击或感染媒介是勒索软件获得控制权的手段。勒索软件的攻击媒介一直在变化,但总体上保持大致相同,就像钓鱼邮件攻击一样,继续利用已经暴露的各种技术漏洞和人为漏洞。勒索软件媒介的类型包括:电子邮件:黑客传播勒索软件的传统和常用方法是通过网络钓鱼电子邮件。黑客以令人信服的理由使用精心制作的网络钓鱼电子邮件来诱骗受害者打开附件或单击包含恶意文件的链接。文件可以是多种不同的格式,包括PDF、ZIP文件、Word文档或JavaScript。与其他相关策略一样,此策略涉及通过欺骗来控制文件和/或系统。远程桌面协议(RDP):远程桌面协议(RDP)可以连接企业范围内的系统,使远程管理更加方便和容易。自2019年以企业为主要攻击目标以来,RDP成为勒索犯罪组织最先使用的攻击方式。背景;此外,攻击者还会通过用户浏览器的漏洞,将勒索病毒下载到用户主机上。恶意内部人员:内部人员通常是可以访问公司漏洞和信息的员工。所有有权访问网络和敏感数据的员工和用户都可能因恶意和滥用特权而造成无法弥补的损害。特斯拉被攻击事件提醒业内人士注意风险。社交网络:勒索软件攻击者使用的另一个技巧是在社交帐户上向受害者发送消息。攻击者发送带有文件附件的消息。一旦打开附件,勒索软件就可以获得控制权并锁定受感染设备所连接的网络。此外,勒索软件还通过社交网络中的图片或其他恶意文件进行传播。弹出窗口:另一个常见但较旧的勒索软件向量是在线“弹出窗口”。弹窗的目的是模仿当前使用的软件,让用户更安全地按照提示操作,最终达到攻击用户的目的。可移动存储介质、本地和远程驱动器:勒索软件用于渗透环境的另一种方式是通过可移动存储介质,例如USB。该恶意软件将自身复制到所有本地驱动器的根目录,并成为一个具有隐藏和系统属性的可执行文件。勒索软件历史最早的勒索软件攻击并不复杂,据报道也存在缺陷,但它为勒索软件演变成今天的复杂攻击奠定了基础。商业杂志《快公司》的一篇文章称,早期的勒索软件开发者往往自己编写加密代码。今天的攻击者越来越依赖“明显更难破解的现成库”并使用更复杂的分发方法,例如鱼叉式网络钓鱼活动,而不是传统的群发网络钓鱼电子邮件,后者通常会被垃圾邮件过滤器过滤掉。老练的攻击者提供开发工具包,技能较低的攻击者可以下载和部署这些工具包。网络犯罪分子利用勒索软件即服务(Raas)产品通过提供勒索软件来赚钱,这导致了CryptoLocker、CryptoWall、Locky和??TeslaCrypt等知名勒索软件的兴起。仅CryptoWall一项就产生了超过3.2亿美元的收入。第一次勒索软件攻击自2005年以来,勒索软件一直是最大的威胁之一,但第一次攻击发生的时间要早??得多。根据《贝克尔医院评论》(贝克尔医院评论),已知的第一次勒索软件攻击发生在1989年,针对的是医疗行业。医疗保健行业仍然是勒索软件攻击的首要目标。最初的AIDS软盘1989年,AIDS研究人员JosephPopp博士向90多个国家的AIDS研究人员分发了20,000张软盘,进行了第一次已知的攻击。他声称软盘包含一个程序,可以通过问卷调查分析个人的艾滋病风险。然而,该磁盘还包含一个恶意程序,该程序最初在计算机中处于休眠状态,只有在计算机开机并通电90次后才会激活。在达到90次激活阈值后,恶意软件会显示一条消息,要求支付189美元和378美元的软件租赁费。这种勒索软件攻击被称为AIDS特洛伊木马或PCCyborg。JosephPopp博士被认为是“勒索软件之父”。在1989年第一次有记录的勒索软件攻击之后,这种类型的网络犯罪一直不常见,直到2000年代中期,攻击者开始使用更复杂、更难破解的加密算法,例如RSA。这一时期流行的勒索软件包括Gpcode、TROJ.RANSOM.A、Archiveus、Krotten、Cryzip和MayArchive。2006年,第一个使用非对称加密的勒索软件“Archievus”出现。它主要采用RSA加密方式,对“我的文档”目录下的所有内容进行加密。该勒索软件开始接触受害者的钱包,要求用户购买密码以从特定网站解密文件。这种方式至今仍是勒索病毒的主流盈利方式。(1)2010-2012:靠收益变现在接下来的几年里,勒索软件不断发展,使用和炒作不断增加,但直到2010年代中期才成为主流的攻击方式。从2011年开始,勒索软件风靡一时。2011年第三季度发现的恶意软件样本数量激增,发现了大约60,000种新的勒索软件。2012年第三季度,这一数字翻了一番,达到20万以上。但这个词从未在McAfee的?中提及。直到2012年,安全公司才开始将勒索软件视为重大威胁。2009年1月比特币的出现和繁荣改变了一切,让这个地下产业蓬勃发展。大约在2010年,网络罪犯找到了利用勒索软件获利的方法。在2010年代的前几年,勒索软件变得有利可图,但并不十分普遍。通过以数字货币为代表的匿名支付方式,网络勒索分子将能够更好地隐藏自己,“安全”地获取高额利润。(2)2013-2016:现代勒索软件兴起2013年9月是勒索软件发展史上的关键时刻,CryptoLocker诞生了。除了锁定系统外,文件也被加密。它的出现标志着进入真正的勒索病毒时代,具有决定性的意义。它是第一个结合了构成现代勒索软件基础的所有关键技术的勒索软件。2013年10月,CryptoLocker感染达到顶峰,每月感染大约150,000台计算机。CryptoLocker使用AES-256加密具有特定扩展名的文件,然后使用C&C服务器生成的2048位RSA密钥来加密AES-256位密钥。CryptoLocker在传播方式上也有了新的突破。它通过GameoverZeus僵尸网络传播,并被标记为第一例通过受感染网站传播的勒索软件。CryptoLocker还通过鱼叉式网络钓鱼作为电子邮件附件进行传播。从2014年第三季度到2015年第一季度,勒索软件的数量增加了两倍多。2015年,影响多个平台的病毒变种对全球用户造成了严重破坏。卡巴斯基的SecureList报告显示,从2014年4月到2015年3月,最突出的勒索软件威胁是CryptoWall、Cryakl、Scatter、Mor、CTB-Locker、TorrentLocker、Fury、Lortok、Aura和Shade。报告显示:“他们在全球范围内攻击了101,568名用户,占同期受到加密勒索软件攻击的所有用户的77.48%。”勒索软件攻击的格局发生了显着变化。根据卡巴斯基2015-2016年的研究报告,“TeslaCrypt与CTB-Locker、Scatter和Cryakl一起造成了79.21%的加密勒索软件攻击”。从2014年4月到2016年初,CryptoWall是最常见的勒索软件,其变种感染了数十万个人和企业。到2015年年中,CryptoWall已从受害者那里勒索了超过1800万美元,促使FBI就这一威胁发出警告。2015年,几个网络犯罪集团采用了所谓的“勒索软件即服务”(RaaS)模式,开发人员从同伙的攻击中获利。从那时起,勒索活动就变得像正常的网络业务一样。2016年也是勒索软件攻击的重要一年。2016年以来,开始出现针对企业的勒索软件攻击,出现了一些著名的加密勒索软件:LOCKY于2016年2月发现。PETYA、CERBER、SAMSAM于2016年3月首次出现。与以往的勒索软件家族不同,Samas勒索软件专门针对企业,而不是针对企业。个人。2016年4月,SamSam利用医院系统服务器漏洞入侵并成功感染国外多家医院。SamSam的出现,意味着针对企业服务器乃至整个企业网络的勒索软件攻击成为新的攻击方向。勒索软件在2016年为网络犯罪分子带来了总计10亿美元的收入。卡巴斯基实验室在2014-2015年观察到的勒索软件变体的分布情况。卡巴斯基实验室在2015-2016年观察到的勒索软件变种的分布。(3)2017年:勒索软件爆发之年尽管CryptoLocker、TeslaCrypt、Locky等勒索软件家族都在全球感染了大量系统。然而,直到2017年年中,WannaCry和NotPetya两大勒索软件攻击将战火蔓延到全球,覆盖范围从乌克兰的医院到加州的广播电台等组织。勒索病毒的危害性和破坏性不容忽视。WannaCry是WannaCrypt的缩写,意思是WannaCry是一种加密病毒软件。更具体地说,它是一种自动复制和传播的加密蠕虫。WannaCry勒索病毒利用WindowsSMB(“永恒之蓝”)漏洞在全球范围内迅速蔓延,感染了全球99个国家和地区超过百万台计算机,成为史上规模最大的勒索病毒攻击事件。WannaCry造成的损失估计在40亿至80亿美元之间。NotPetya,又名Petya、Petrwrap或GoldenEye,于2017年6月在乌克兰首次被发现,当地政府部门、医院、银行、机场等系统遭到攻击,甚至切尔诺贝利核灾区的计算机系统电厂也受到影响。它被网络安全社区认为是历史上最昂贵和最具破坏性的勒索软件攻击。白宫估计,结果是总损失超过100亿美元。NotPetya被定义为网络战的一部分。提醒我们威胁世界现代基础设施的网络战的危险。更准确地说,Wannacry和Nonpetya属于Wipeware(唯一目的是彻底销毁所有文件数据的清理软件),而不是勒索软件。外界普遍认为,这两款恶意软件都得到了某国政府的支持,故意伪装成勒索软件,以隐藏行踪,迷惑公众,延长调查周期。由于乌克兰是重灾区,因此有很多猜测认为NotPetya根本不是勒索软件,而是俄罗斯对乌克兰进行网络攻击的伪装。(4)2018-2019:攻击重心向企业转移2018年第一季度以来,勒索软件攻击重心从消费者转移到企业:下半年以来对消费者的攻击明显减少。2019年,针对企业的勒索软件攻击次数首次超过针对消费者的勒索软件攻击次数,2019年第二季度与2018年第二季度相比,前者增加了363%。勒索软件团伙不再针对家庭用户,而是主要针对大型企业网络。2018年,勒索软件攻击总体趋势以面向服务器的攻击方式为主,网络传播的滥杀攻击方式为辅。GandCrab、GlobeImposter、CrySis这三个勒索病毒家族的受害者最多,占总受害者的80.2%;勒索软件最常用的攻击方式是远程桌面弱密码暴力破解。2019年,勒索病毒又袭击了一个新的目标——市政机构。根据卡巴斯基的公开统计和公告,2019年至少有174家市政机构遭到勒索软件攻击,比一年前报告的数字增加了约60%。最著名和被广泛讨论的事件是美国巴尔的摩市的袭击事件。一场大规模的勒索软件攻击导致巴尔的摩大量城市服务瘫痪,最终耗资数千万美元恢复了该市的IT网络。2019年,Sodinokibi是攻击事件中最受欢迎的勒索软件类型。Ryuk继续困扰着大型企业,成为第二大最常见的勒索软件类型。Phobos和Dharma仍然是小型企业勒索软件攻击的稳定组成部分。2019年主要勒索软件。数据来源:Coveware(5)2020年:勒索软件最疯狂的一年根据CheckPoint研究,勒索软件是2020年最疯狂、成本最高的攻击方式。全球企业风险咨询公司Kroll的一项调查也显示,勒索软件是2020年最常见的威胁。2020年,勒索软件攻击次数有所增加,部分原因是新冠疫情带来的远程工作方式为黑客开辟了新的攻击面。2020年上半年,Sodinokibi、GlobeImposter、Dharma、Phobos等勒索病毒家族占比较高,牢牢统治着勒索病毒的半壁江山。其中,Sodinokibi(又名REvil)是2020年出现频率最高的勒索病毒,这是一种勒索即服务(RaaS)的攻击模式,利用混合勒索病毒进行勒索攻击。Ryuk是一个相对年轻的勒索软件家族,在2020年流行度显着上升。远程办公增加了该勒索软件的感染率。在Kroll观察到的近一半(47%)勒索软件案例中,攻击者利用开放的远程桌面协议(RDP)和Microsoft的专有网络通信协议发起攻击。只有四分之一(26%)的勒索软件攻击案例被追溯到网络钓鱼电子邮件,而17%与漏洞利用有关。2020年上半年活跃家庭占比数据来源:奇安信勒索病毒搜索引擎勒索病毒最新攻击趋势远程办公的突然激增,为网络犯罪分子提供了诱人的新攻击目标。随着数百万人在家工作,获得勒索软件的机会比以往任何时候都高。在过去的12个月里,我们看到了比以往任何时候都多的勒索软件攻击。2020年报告的恶意软件事件中有27%归因于勒索软件。2020年,勒索软件攻击将呈现以下趋势:(1)双重勒索成为新常态。勒索软件正在演变为一种新型威胁,网络犯罪分子不仅会加密数据,还会窃取数据并威胁将其发布到互联网上。这使组织不仅面临破坏性的数据泄露,还面临相关的监管、财务和声誉影响。这种勒索策略被称为“双重勒索”。这无疑会让受害者承受更大的数据泄露压力,大大增加受害者被迫支付赎金的可能性。受害者还承担着支付赎金后数据泄露的不确定性,以及监管机构对其数据泄露行为进行处罚的双重压力。越来越多的勒索家族在暗网上设立数据泄露网站。今年上半年,敲诈勒索家族的数据泄露网站数量激增,并被用来发布未支付赎金的企业数据。2020年8月,Maze勒索团伙因勒索失败,泄露了50.2GB的LG内网数据和25.8GB的施乐数据。双重勒索或将成为勒索软件攻击的“新常态”。(2)物联网成为勒索软件攻击的新突破口。黑客通常通过对互联网开放的物联网设备访问公司网络。他们远程扫描公司网络中的设备,扫描网络中的已知漏洞。根据SonicWall安全研究人员2020年11月发布的2020年第三季度威胁情报,针对物联网的攻击数量增长了30%,勒索软件攻击数量激增40%。连接设备的勒索软件攻击报告:55个交通摄像头感染了WannaCry勒索软件。物联网的发展速度,加上广泛报道的物联网设备漏洞,已经开辟了勒索软件操作的全新领域。(3)关键基础设施成为勒索软件攻击的重要目标。费城天普大学的一个研究团队一直在追踪针对全球关键基础设施的勒索软件攻击。近两年来,勒索软件的出现频率逐年上升。仅今年2020年前八个月就有241起案件。在被勒索的关键基础设施行业中,政府部门是被勒索的重点,达到199次。其次是教育行业和医疗健康行业,均为106次。重点制造、应急服务、通信、演出系统、商业行业、金融行业、能源、食品和农业、水和污水处理、化工、国防工业基础工业、核工业等都是勒索的高发领域。(4)勒索攻击更具针对性和复杂性。勒索软件攻击正变得具有高度针对性和复杂性。在针对本田的Ekans勒索软件(Snake变种)攻击中,其样本表现出针对性攻击的特征。它会检查执行环境是否在指定公司的域环境中,如果不在则退出。EKANS加入了一些特定的ICS特定恶意软件变体,例如Havex和CRASHOVERRID,能够终止受害设备上的多个关键进程,包括与工业控制系统(ICS)操作直接相关的某些进程。目前,勒索软件是目前针对制造业的最大网络安全威胁。此外,威胁行为者对勒索软件采用高级持续威胁(APT)方法也变得越来越普遍。在APT勒索软件策略下,威胁行为者通过漏洞利用、社会工程或其他各种方式获得对目标网络的未授权访问权限,然后投放勒索软件。尚未部署APT防御措施的组织可能更容易受到勒索软件和其他复杂的网络犯罪攻击。勒索软件的未来随着勒索软件攻击的猖獗,业界对防护的未来并不乐观。有安全研究人员表示,他们100%确定勒索软件未来会继续对全球造成严重打击。知名投资咨询公司Cyber??securityVentures预测,到2021年,企业将每11秒遭受一次勒索攻击,给企业造成200亿美元的损失。“想象一下在未来的某个时候,你正在使用一辆自动驾驶汽车,你被黑了,你只有10分钟的时间来支付赎金或撞车。这不是科幻小说,而是未来。”
