近五年重大勒索軟體攻擊事件盤點
惡意軟體已存在多年。1991年,一位生物學家曾通過郵件向其他艾滋病研究人員傳播PC Cyborg,這便是有史以來的第一個勒索軟體。
在00年左右,Archiveus則是第一個使用加密的勒索軟體,雖然它早已被攻克,但現在仍舊能在網上搜到它的光輝戰績。到了10年,網路中出現了一系列“警察”勒索軟體包,因為這些軟體自稱是執法部門用來警告犯法者並要求支付罰款的;並且開始使用匿名支付來避免暴露自身。
近些年來,隨著加密貨幣的興起,勒索軟體又出現了新的趨勢:使用加密貨幣作為網路犯罪分子的資金流動渠道。因為加密貨幣具備匿名且無法追蹤的特點,幾乎成了為網路犯罪分子量身定做的產品。而加密貨幣中,又以比特幣為甚,因其價格的波動性充滿了吸引力。
經過多年的發展,勒索軟體已經成為與國際陰謀、間諜等事件同量級的問題。本文就將對近五年來發生過最大的幾次勒索軟體攻擊事件作出盤點。
一、TeslaCrypt
最初被當作CryptLocker的一個變種出現,後來便被單獨命名為 TeslaCrypt 。該軟體的行為很有特點:它的主要針對目標是視訊遊戲的相關輔助檔案,例如遊戲存檔、各種可下載的內容以及地圖檔案等。這些內容對於遊戲玩家來說是不可或缺的,並且多數也會儲存在本地計算機中,大大增加了勒索軟體的成功率。
截止2016年,TeslaCrypt在勒索軟體攻擊中佔據了48%的比例。
除此之外,該軟體還有一個神奇的點在於,2016年初,它還在全世界範圍內肆虐,如果沒有軟體使用者的幫助,想要恢復檔案基本是不可能的,但到了年中時段,TeslaCrypt建立者便對外宣稱已經結束了所有的惡意活動,並主動提供瞭解密金鑰。可以說是匪夷所思了~
二、SimpleLocker
隨著移動端裝置日益發達,越來越多的資料開始儲存在移動裝置,其具備的價值也越來越高,勒索軟體也開始將側重點逐漸轉移到了移動裝置上。
其中,Android是攻擊者首選的平臺,在2015年底至2016年初,Android裝置在移動端被惡意軟體感染的概率飆升了近四倍。彼時移動端的防護手段還多以“阻止”為主,僅僅通過阻止使用者訪問UI的部分內容顯然是不夠的。到了2015年末,一種名為 SimpleLocker 的“激進派”惡意軟體開始廣泛傳播,這也是出現在Android系統中的第一次以檔案加密使使用者無法訪問的方式進行勒索的攻擊事件,以當時的安全防禦手段,可以說是束手無策。雖然說該軟體出生於東歐,但多數受害者卻位於美國地區。
好訊息是,雖然該軟體的感染率在不斷增加,但相對於總數,這個數量並不龐大——截至2016年底受感染人數也不過15萬人,這對Andriod龐大的使用者群體來說不過是九牛一毛。多數使用者試圖通過從Google Play官方商店下載應用程式以避免被惡意軟體感染,但隨著官方不斷爆出安全問題,針對勒索軟體的防範仍舊難以避免。SimpleLocker至今還是一個潛在的威脅。
三、WannaCry
2017年中,兩起勒索軟體攻擊事件在全球蔓延,攻擊直接導致了烏克蘭的一家醫院和加州廣播電臺關閉,也使得世界第一次正視勒索軟體攻擊的嚴重性。
其中一起便是威震四海的 WannaCry 。研究人員表示這“可能是史上最嚴重的一次勒索軟體攻擊”。
是年5月12日,WannaCry出現在歐洲網路中,僅僅四天之後,便在全球116個國家及地區中檢測到了超過250000起惡意事件。但WannaCry真正的影響遠超這個數字。ReliaQuest首席技術官Joe Partlow指出,這是“第一次通過利用NSA洩露的工具發動的黑客攻擊行為。因為多數系統的445埠處於開放狀態,因此其利用微軟的一個SMB協議漏洞便可以實現勒索。”雖然微軟早已釋出了針對該漏洞的補丁,但仍然有很多沒有安裝補丁的使用者。
由於WannaCry並不需要與使用者發生任何互動,因此也通過該漏洞在不斷傳播,時至今日,安全領域仍舊不敢對其掉以輕心。
四、NotPetya
如果說WannaCry開啟了網路攻擊新時代,那麼 NotPetya 的存在便是對這一點的最好證明。
Petya是一個勒索軟體包,起源可以追溯到2016年,在WannaCry爆發幾周之後,它也不甘寂寞的出現了一個新版本,並且同樣使用了WannaCry的EtrnalBlue軟體包。並且由於該軟體的發展歷程早已超出其起源,因此研究人員將其稱為NotPetya。人們猜測它實際上根本就不是勒索軟體,而是俄羅斯對烏克蘭發動網路攻擊的偽裝。
無論是哪一種,該軟體的出現也都讓人們明白了一個道理。RedLock的執行長Varun Badhwar表示,從WannaCry開始,惡意軟體便呈現出了不可阻擋的趨勢。在網路世界中,不論是惡意軟體漏洞還是工具都極易傳播,並且使用者也可以從犯罪分子覆蓋到平頭百姓再到國家、政府部門等。NotPetya如此迅速的傳播證明了全世界仍然有很多組織並沒有重視網路安全,WannaCry便是前車之鑑。
五、SamSam
使用 SamSam 的攻擊最早出現在2015年,在隨後的幾年內開始被頻繁使用,並且獲得了一系列亮眼的“戰績”,例如科羅拉多交通局、亞特蘭大市的眾多醫療機構等等。
SamSam的特別之處在於:它不會像普通勒索軟體一樣尋找某些特定的漏洞,而是將勒索軟體作為一項服務,通過探測來搜尋並選擇可利用的目標,隨後利用漏洞來進行下一步操作。一旦該軟體進入系統,攻擊者便會立即進行提權,並開始進行加密攻擊。
儘管多數安全研究人員認為SamSam起源於歐洲,但其攻擊多數針對的卻是美國地區使用者。2018年底,美國司法部起訴兩名伊朗人,稱其是該軟體襲擊事件的幕後黑手;起訴書表示,此二人通過勒索軟體造成了超過3000萬美元的損失。
六、Ryuk
Ryuk 是另一個勒索軟體的變種,在2018和2019年廣受歡迎。該軟體以專門攻擊“對裝置停機時間容忍度較低”的組織聞名,比如報社、北卡羅來納水務公司等等。其中,洛杉磯時報曾對自己遭到攻擊進行了描述:
“Ryuk的一個非常狡猾的點在於,它可以在被感染計算機上禁用Windows自帶的系統還原選項,這使得受害者除了支付贖金以外的選項進一步減少。他們往往會索要鉅額贖金,這個額度還會與被攻擊者的價值而浮動。而且這些喪心病狂的人並不會在意任何攻擊的時間,哪怕是聖誕節這種日子。”
分析專家表示,Ryuk原始碼主要來源於Hermes,後者是朝鮮著名黑客組織Lazarus的產品。但這並不能表明朝鮮就是攻擊的始作俑者。McAfee認為,Ryuk的構建程式碼來自基於俄語的供應商,這麼認為的原因是該勒索軟體無法在語言設定為俄語、烏克蘭語或白俄羅斯語的計算機上執行。
提名:CryptoLocker
在這裡我們還要提起一位“特別嘉賓”——CryptoLocker,因為該軟體在我們的統計時間之外。CryptoLocker於2013年現世,它的出現正式開啟了大規模勒索軟體的時代。
CryptoLocker通過郵件附件來傳播,使用RSA公鑰來加密使用者檔案,並向用戶索取贖金。Avast的戰略總監Jonathan Penn指出,僅在2013年底至2014年初,就有超過500000臺計算機被CryptoLocker感染。
作為一款勒索軟體,CryptoLocker算是比較原始的,並最終被Operation Tovar(一個白帽活動,它擊潰了控制CryptoLocker的殭屍網路,並在此過程中發現了該軟體用於加密檔案的私鑰)擊敗。但正如研究人員所說,CryptoLocker的出現,開啟了加密勒索的大門,有很多後續的勒索軟體都是基於CryptoLocker編寫的,例如CryptoWall(該軟體在2015年的勒索軟體中感染比例高達50%)。並且這些“子孫”也為犯罪分子帶來了約300萬美元的收益。
時代更迭
儘管勒索軟體的存在是十足的威脅,但在2018-2019年,勒索軟體出現的頻率已經開始了大幅下降:2017年,勒索軟體影響了全球約48%的企業、組織機構,到了2018年這個比例僅為4%。
造成這個現象的原因有幾種:
- 勒索軟體的攻擊越來越多的開始針對特定目標進行定製化攻擊,例如SamSam和Ryuk。2017年48%的數字聽起來可能令人震驚,但其中包括了很多僅僅是收到釣魚郵件的目標,這些實際上的威脅非常小。雖然有針對性的攻擊影響範圍變小了,但成功率卻比以往要高得多。
- 勒索軟體是一種非常“引人注目”的攻擊,其要求受害者採取一系列積極的措施來實現自身的收益。例如,受害者需要搞清楚什麼是比特幣、怎麼用比特幣(畢竟還存在那麼多電腦小白),然後再評估他們是否願意支付贖金或是是否會採取其他補救措施。
事實證明,如果攻擊者的目標是通過滲透其他人的計算機系統來獲取比特幣,那麼就可以採取加密攻擊的方式。加密劫持多年來一直遵循一樣的套路:在計算機主人不知情的情況下取得計算機控制權,並將其變為挖礦裝置,在後臺進行加密貨幣的挖掘。巧合的是,2018年以來,勒索軟體攻擊大幅下降,而加密劫持的比例卻增加了480%。