日前,工业物联网厂商研华被来自Conti的勒索软件团伙攻击。据获得勒索信副本的安全网站BleepingComputer报道,黑客索要750个比特币(约合人民币8280万元)的赎金,植入该公司网络的所有特洛伊木马只有在收到赎金后才会被移除。赎金已付。删除被盗数据的程序。然而,勒索似乎没有成功,因为黑客于11月26日发布了一份文本文件,声称从研华公司窃取了3GB的文件和文件目录列表,占他们窃取数据的2%。研华回应此事称,黑客在攻击少量服务器时,可能窃取了低价值、低保密性的工作数据。类似的勒索软件攻击其实时有发生。例如:可穿戴设备制造商Garmin在受到WastedLocker勒索软件攻击后,关闭了部分连接服务和呼叫中心,导致全球停电。其主要产品服务和网站瘫痪。攻击者向Garmin索要高达1,000美元的10,000美元赎金,以恢复数据和业务。阿根廷电信运营商曾在其内部网络遭到REvil团伙的攻击,并加密了多个重要文件,要求阿根廷电信支付750万美元赎金才能解锁加密文件。根据黑客请求付款的页面显示,需要支付109,345.35个门罗币(约合753万美元),并表示需要在三天内将总额翻倍。REvil组织主要擅长攻击虚拟专用网络服务器的入口点。今年5月,它还袭击了斯里兰卡电信。DoppelPaymer利用CitrlxADC漏洞入侵云服务商BrittanyTelecom,针对维护部门的CVE-2019-19781漏洞攻击服务器。针对国际货币兑换公司Travelex的Slldinokibi勒索软件攻击导致2020年第一个月的外汇交易彻底混乱,据称索要600万美元赎金。勒索软件此后袭击了纽约机场的管理服务器,加密了新泽西州犹太教堂网络上的许多计算机迷宫在勒索软件袭击佐治亚州卡罗尔顿的电线电缆制造商Southwire后,已经发布了14GB的被盗文件。孔蒂是什么?这次勒索事件话题又回到康帝本身。它首次被发现的攻击发生在2019年12月下旬,在2020年6月的攻击中再次被发现。Conti属于新兴的双重勒索软件阵营。勒索软件在对系统进行加密之前,会先下载未加密的机密数据,当受害者拒绝支付赎金换取解密密钥时,这些数据将作为进一步勒索的筹码。已经有一些案例表明,一些受害者为了保护数据,最终选择了支付赎金。该勒索软件与臭名昭著的Ryuk勒索软件共享代码,在后者的活动于2020年7月减少后,开始通过TrickBot木马打开的反向外壳进行分发。Conti是一家私人勒索软件即服务(RaaS),它招募经验丰富的黑客部署勒索软件以换取大笔赎金份额,并于2020年8月开设了自己的数据泄露站点。30年的勒索软件历史,大量的勒索软件新的勒索软件市场第一个勒索软件可以追溯到1989年,当时向世界卫生组织国际艾滋病大会的与会者分发了20,000张声称包含“艾滋病信息”的软盘。在受害者的90设备重新启动后,该软件会隐藏目录并加密受感染设备上的文件。赎金金额定为189美元,受害者必须将要求的金额存入巴拿马邮政信箱。10多年后,也就是2005年5月,更多的勒索软件开始出现,如GpCode、TROJ.RANSOM.A、Archiveus、Krotten等。随着比特币等新型匿名支付方式的出现,勒索软件也出现了开始采用新的支付方式。近10年检测到的勒索病毒样本大致可以分为两类:(1)锁定型勒索病毒:这类勒索病毒会锁定被感染的设备,以防止受害者使用。这种类型的勒索软件主要在2008年至2011年期间使用,此后已被大多数网络犯罪分子抛弃。因为即使不支付赎金,消除感染也非常简单。事实上,这个勒索软件有一个明显的弱点,它只是显示一个拒绝访问设备的窗口,但是这个锁很容易被绕过。(2)加密勒索软件:该类勒索软件直接作用于受害者的文件,拒绝受害者使用系统,对文件、目录、硬盘进行加密,使受害者无法访问加密文件中包含的信息。此后,勒索软件也频繁使用这种加密方式。构建勒索软件需要特定的高级技能,巨大的兴趣推动了新服务的兴起,这些服务允许网络犯罪分析师在没有任何特定知识的情况下构建勒索软件。最后,开发了所谓的勒索软件即服务(RaaS)。RaaS商业模式的兴起使得攻击者可以在没有任何技术专长的情况下发起网络勒索活动,这也导致了新的勒索软件市场泛滥的原因。2020年,全球多个领域都面临着各种事件的冲击,网络安全领域同样不容乐观。今年勒索病毒的势头也有所抬头,出现了一种新的勒索形式。尽管勒索软件感染约占所有恶意软件事件的3%,但它的破坏力比其他恶意软件更大。一旦出现勒索软件,企业将面临业务中断和高额赎金的风险。深信服千里目安全实验室报告称,从2020年2月开始,勒索病毒开始从前期的低潮中复苏,攻击势头有所增强。尽管发生了COVID-19大流行,但针对政府、学校和医疗卫生行业的攻击并未减弱。不仅如此,报告还指出,犯罪团伙正在逐步形成规模化的商业运作,形成新的勒索合作生态。勒索软件合作生态结构图过去,攻击团伙和勒索软件制作团队往往是千篇一律,但在高度专业化的合作生态中,攻击团伙往往独立于勒索软件开发者和运营者。角色是存在的,每个角色各司其职,专注于自己负责的模块。他们之间除了业务往来几乎没有交集。他们专注于借助僵尸网络部署勒索软件,给受害者造成更大范围的损失。这种新型的勒索软件合作生态,将勒索软件的威胁提升到了一个新的高度。物联网产品的快速增长将使网络攻击的演变变得不可预测。虽然物联网的普及推动了技术进步,但它也帮助黑客将攻击范围从使用物联网设备的工业控制系统扩大到联网家庭。摄像头都可能成为黑客的目标,而针对物联网设备的勒索软件的破坏力将比传统勒索软件更大。据了解,在传统的勒索攻击中,黑客通过加密受害者设备上的文件来勒索赎金。在针对物联网设备的勒索软件攻击中,黑客不仅可以加密存储在设备上的文件,还可以完全接管设备或其内部网络。同时,黑客接管设备后,可造成控制联网车辆、切断电源、泄露敏感信息,甚至停产等破坏性后果。因此,黑客可以向受害者张口,索要极高的“保护费”。但由于物联网行业碎片化的应用特点,黑客一时难以发动大规模攻击。然而,随着物联网的日益普及,未来黑客仍有可能发动大规模攻击。因此,相关厂商应及时进行远程固件更新,确保更新通道的安全,增加可靠的身份验证等措施不可忽视。
