勒索軟件是劫持數據以索求贖金的一類惡意軟件,面世已頗有些年頭。第一起勒索軟件攻擊發生在1991年,當時一位生物學家通過平郵將載有首個勒索軟件PC Cyborg的軟盤寄給其他研究艾滋病的科學家。
21世紀第二個十年裡,一種新的勒索軟件趨勢浮現:網絡罪犯首選加密貨幣作為贖金支付方式。加密貨幣本就專為不可追蹤的匿名支付而設計,對勒索者的吸引力顯而易見。比特幣是最為著名的加密貨幣,絕大多數勒索軟件攻擊者都要求以比特幣支付贖金。不過,比特幣的廣為流傳也使其價值波動性增大,有些攻擊者已開始轉向其他的加密貨幣。
到了2018年,勒索軟件熱潮似乎開始消退,另一種非法攫取比特幣的方式逐漸冒頭:加密貨幣劫持。這種方法甚至無需受害者知曉比特幣錢包是什麼,就能利用受害者電腦挖掘比特幣。利用垃圾郵件分發者和DDoS攻擊者沿用多年的腳本模式,這些加密貨幣劫持者能在用戶毫不知情的情況下偷偷獲取計算機系統的控制權。受害用戶電腦被黑後即變身比特幣挖礦機,在後臺默默生產加密貨幣,吃掉空閒計算週期,悄悄耗費受害者大量計算資源與電力。2018年裡,勒索軟件攻擊逐漸下降,而加密貨幣劫持攻擊則激增450%。
過去兩年來,由於加密幣市場的巨幅波動,原本執著於挖礦的勒索軟件調轉槍口捲土重來,其攻擊技術和危害性也有極大提升,本文就介紹了新時期安全業界最為頭疼的五大勒索軟件。
SamSam
SamSam勒索軟件攻擊始於2015年末,但其真正激增出現在後面幾年,科羅拉多運輸部、亞特蘭大市和多家醫療保健機構都淪為了SamSam的受害者。該勒索軟件攻擊完美展現了攻擊者組織技能的重要性,充分證明組織協同能力對網絡攻擊者而言堪比代碼編程技藝。不同於一些其他勒索軟件的做法,SamSam並非無差別地探查某些具體漏洞,而是以勒索軟件即服務的方式運營:控制者小心探測預選目標的弱點,利用的漏洞涵蓋IIS、FTP、RDP等多種服務與協議。一旦進入系統內部,攻擊者便相當敬業地提升權限,確保開始加密文件時攻擊具有足夠的破壞力。
Ryuk
Ryuk是2018和2019年間盛行的另一大勒索軟件,其目標受害者是精心挑選出來的難以承受宕機後果的組織機構,包括日報社和北卡羅來納州正努力從颶風佛羅倫薩的餘波中恢復的一家水廠。《洛杉磯時報》詳細報道了自家系統遭感染後發生的一切。Ryuk一個特別狡詐的功能是可以禁用被感染電腦上的Windows系統還原(Windows System Restore)選項,令受害者更難以在不支付贖金的情況下找回被加密的數據。鑑於攻擊者針對的是高價值受害者,贖金目標也轉為高企;聖誕季的一波攻擊表明了他們為達成目標毫不介意毀掉聖誕節。
PureLocker
2019年11月,IBM和Intezer共同發表了一篇文章,講述新型勒索軟件變種PureLocker的運行機制。該勒索軟件可在Windows或Linux機器上執行,是新一波針對性惡意軟件的絕佳代表。PureLocker並不通過廣泛的網絡釣魚攻擊進駐受害主機,而是與幾個著名網絡犯罪團伙所用的more_eggs後門軟件有關。換句話說,PureLocker安裝在已被攻擊者入侵併探查清楚的機器上,且會在運行前先檢查自身所處環境,而不是盲目加密數據。
Zeppelin
Zeppelin是Vega/VegasLocker勒索軟件家族的進階版,繼承並發展了這一肆虐俄羅斯和東歐會計企業的勒索軟件即服務產品。Zeppelin創新了幾個技術花招,其可配置功能尤為突出,但真正讓它在Vega家族鶴立雞群的,是其針對性攻擊的本質。Vega的傳播某種程度上而言有點漫無目的,且主要活躍在俄語世界,Zeppelin則特別設計為不在俄羅斯、烏克蘭、白俄羅斯和哈薩克斯坦的電腦上運行。Zeppelin的部署方式也很多,包括可執行文件(EXE)、動態鏈接庫(DLL)和PowerShell加載器,但有些攻擊甚至能通過被黑託管安全服務供應商部署,這就令人不寒而慄了。
REvil / Sodinokibi
Sodinokibi亦名為REvil,首次出現於2019年4月。與Zeppelin類似,Sodinokibi源自名為GandCrab的另一惡意軟件家族,同樣具有不在俄羅斯及其鄰國(如敘利亞)執行的特點,表明其源頭可能也是俄語區。其傳播方式多樣,可利用Oracle WebLogic服務器或Pulse Connect Secure VPN中的漏洞。
五大勒索軟件都介紹完了,筆者認為2019年中最嚴重的勒索軟件攻擊是Sodinokibi,因為該勒索軟件的控制者在攻擊中引入了額外的變化。最特別的一點就是,這夥黑客不僅告訴人們“不付贖金就拿不回數據”,還會威脅稱“將在網上公開或在地下論壇競拍這些機密數據”。這種新的勒索方式將此商業模式推升到了新的高度,與傳統勒索模式大為不同——畢竟,這種方法無需費勁滲漏即可鎖定受害者數據,但又切切實實地威脅到了受害者。高針對性、強定製化的勒索軟件新時代似乎正走向危險新深淵。
閱讀更多 e安教育 的文章
