说到信息安全,很多人可能会想到勒索病毒。勒索软件是一种流行的木马程序,通过骚扰、恐吓甚至绑架用户文件等方式向用户勒索钱财。如今,随着网络技术的飞速发展,安全问题也成为人们关注的焦点。接下来,本文将简要介绍五大勒索病毒家族的攻击目标和手段。勒索软件是一种劫持数据以索取赎金的恶意软件,已经存在了很长一段时间。第一次勒索软件攻击发生在1991年,当时一位生物学家通过平邮将包含第一个勒索软件PCCyborg的软盘发送给其他艾滋病科学家。第一个使用加密的勒索软件Archiveus出现在新千年的第一个十年中期,其密码仍然可以在维基百科页面上找到——尽管勒索软件早已被安全社区击败。1910年代初期,“警察”勒索软件包浮出水面;此类勒索病毒得名于假司法部门发出的违法警告并要求“罚款”,并开始使用新一代匿名支付服务来规避监管并从中获利。在21世纪的第二个十年,出现了一种新的勒索软件趋势:加密货币是网络犯罪分子支付赎金的首选方式。加密货币专为无法追踪和匿名支付而设计,对勒索者的吸引力是显而易见的。比特币是最著名的加密货币,绝大多数勒索软件攻击者都要求使用比特币支付赎金。然而,比特币的流行也增加了它的价值波动性,一些攻击者转向了其他加密货币。在2010年代中期,勒索软件攻击飙升至危机程度。但在2018年,勒索软件的热潮似乎开始消退,另一种非法窃取比特币的方式出现了:加密劫持。这种方法可以使用受害者的计算机来挖掘比特币,而受害者甚至不知道比特币钱包是什么。使用垃圾邮件发送者和DDoS攻击者多年来使用的脚本模式,这些密码劫持者可以在用户不知情的情况下偷偷控制计算机系统。受害者的电脑被黑后,变成比特币矿机,在后台悄悄生产加密货币,吃掉闲置的计算周期,悄悄为受害者消耗大量的计算资源和电力。2018年,勒索软件攻击逐渐减少,而加密劫持攻击激增450%。近两年,由于加密货币市场的巨大波动,原本执着于挖矿的勒索病毒调转枪口卷土重来。其攻击技术和危害性也得到了极大的提升。以下是新时代安全行业最头疼的五大勒索家族。1.SamSamSamSam勒索软件攻击始于2015年底,但其真正的激增发生在接下来的几年,科罗拉多州交通部、亚特兰大市和一些医疗机构都成为SamSam的受害者。此次勒索病毒攻击完美地展示了攻击者组织能力的重要性,充分证明组织协调能力堪比网络攻击者的代码编程能力。与其他一些勒索软件做法不同,SamSam不会随意检测某些特定漏洞,而是以勒索软件即服务的方式运行:控制器仔细检测预选目标的弱点,并利用涵盖IIS、FTP、RDP、等各种服务和协议。进入系统后,攻击者专门提升了他们的特权,以确保在他们开始加密文件时攻击具有足够的破坏性。尽管安全研究人员最初认为SamSam起源于东欧,但绝大多数SamSam攻击都针对美国的组织。2018年底,美国司法部确定两名伊朗人是袭击的幕后黑手;起诉书称,袭击造成了超过3000万美元的损失。目前尚不清楚这个数字是否真实反映了支付的赎金数额;亚特兰大市政府官员在当地媒体上发布了带有攻击者联系信息的赎金票据截图,导致该通信门户网站关闭。亚特兰大被阻止支付赎金(想付也付不起)。2.RyukRyuk是2018年和2019年的另一场主要勒索软件流行病,其目标是精心挑选的无法承受停机时间的组织,包括日报和北卡罗来纳州努力从水厂佛罗伦萨飓风的余波中恢复过来。《洛杉矶时报》详细汇报了自己系统被感染后的情况。Ryuk的一个特别阴险的功能是能够禁用受感染计算机上的Windows系统还原选项,使受害者在不支付赎金的情况下更难检索加密数据。现在攻击者瞄准了高价值的受害者,赎金目标也变高了;圣诞节期间的一波攻击表??明他们不介意破坏圣诞节来实现他们的目标。安全分析人士认为,Ryuk源代码很大程度上来源于朝鲜Lazarus黑客组织的Hermes恶意软件。这并不表明Ryuk攻击本身是由朝鲜发起的,McAfee认为其代码库是由俄语供应商提供的,因为勒索软件不会在系统语言设置为俄语、白俄罗斯语、和乌克兰语。俄罗斯供应商如何从朝鲜获得密码不得而知。3.PureLocker2019年11月,IBM与Intezer联合发表文章描述勒索病毒新变种PureLocker的运行机制。该勒索软件可以在Windows或Linux机器上执行,是新一波有针对性的恶意软件的一个很好的例子。PureLocker不使用广泛的网络钓鱼攻击来访问受害主机,但与几个知名网络犯罪集团使用的more_eggs后门软件有关。也就是说,PureLocker是安装在被攻击者攻破和探测到的机器上,在运行前会检查自身的环境,而不是盲目地对数据进行加密。虽然没有透露PureLocker感染的程度,但IBM和Intezer透露,企业生产服务器等明显高价值的目标受到的打击最严重。由于此类攻击需要高度的人为控制,Intezer安全研究员MichaelKajiloti认为,PureLocker是一种勒索软件即服务产品,只有能够负担得起高额前期投资的犯罪组织才能购买。4.ZeppelinZeppelin是Vega/VegasLocker勒索软件家族的进阶版,继承并发展了这款曾肆虐俄罗斯和东欧会计公司的勒索软件即服务产品。Zeppelin创新了多项技术技巧,尤其是其可配置性,但真正使其与Vega家族不同的是其针对性攻击的性质。Vega的传播有些漫无目的,主要活跃在俄语世界,而Zeppelin则专门设计为不在俄罗斯、乌克兰、白俄罗斯和哈萨克斯坦的计算机上运行。Zeppelin还可以通过多种方式进行部署,包括可执行文件(EXE)、动态链接库(DLL)和PowerShell加载程序,但有些攻击甚至可以通过被黑的托管安全服务提供商进行部署,这令人不寒而栗。Zeppelin于2019年11月崭露头角,作为与Vega不同的证明,它的目标似乎是经过精心选择的。大多数受害者属于北美和欧洲的医疗保健和科技行业,一些赎金票据是专门为受感染的目标组织编写的。安全专家认为,Zeppelin的行为与Vega背道而驰,因为它的代码库可能已转移给更有野心的俄罗斯黑客;尽管感染数量没有Vega高,但有专家认为,目前观察到的情况可能是更大波的攻击概念验证。5.REvil/SodinokibiSodinokibi,又名REvil,2019年4月首次出现。与Zeppelin类似,Sodinokibi衍生自另一个恶意软件家族GandCrab,同样具有不在俄罗斯及其周边国家执行的特点(如叙利亚),说明其起源地也可能是俄语。它以多种方式传播,利用OracleWebLogic服务器或PulseConnectSecureVPN中的漏洞。Sodinokibi的传播再次凸显了其背后指挥控制团队作为勒索软件即服务产品的野心。该勒索软件在2019年9月关闭了德克萨斯州超过22个城镇,但真正臭名昭著的是它在除夕夜摧毁了英国货币兑换服务商Travelex,这次攻击让机场处于纸笔状态。亏损。攻击者索要高达600万美元的赎金,尽管受害公司既未确认也未否认已支付赎金。在瞻博网络威胁实验室负责人MounirHahad看来,2019年最严重的勒索软件攻击是Sodinokibi,因为勒索软件控制器在攻击中引入了额外的变化。最特别的是,这群黑客不仅告诉人们“除非支付赎金,否则数据不会归还”,还威胁说“这些机密数据将在网上公布或在地下论坛拍卖”。这种新的勒索形式将这种商业模式推向了新的高度,与传统的勒索模式有很大不同——毕竟这种方法不需要渗出来锁定受害者的数据,但实际上是在威胁受害者。经过。一个高度针对性、高度定制的勒索软件新时代似乎正走向一个危险的新深渊。
