勒索軟體:改寫網安格局,進入突變元年

安全機構研究發現：勒索軟體在2020年最瘋狂，攻擊規模和頻率以驚人的速度增長，同時也是給企業造成損失最大的攻擊手段，甚至造成全球首例勒索軟體致死事故。國際刑警組織也宣稱，勒索軟體構成網絡安全的最大威脅因素。過去30年曾改寫網絡安全格局的勒索軟體，在2020年進入最興盛的突變元年。

自21世紀初以來，勒索軟體一直是大型企業、中小商家及個人的突出網絡威脅。2017年，FBI的網際網路犯罪投訴中心(IC3)收到了1783起勒索軟體投訴。2013年10月至2019年11月之間，受害者已向勒索軟體攻擊者支付了約1.44 億美元。但這僅是向IC3報告的攻擊。實際的勒索軟體攻擊數量和損失要高得多。

本文將回顧自1989年首次記錄勒索軟體攻擊至今的勒索軟體歷史，嘗試總結勒索軟體在2020年的最新趨勢。

勒索軟體是什麼?

勒索軟體是一種惡意軟體，它能夠獲取文件或系統的控制權限，並阻止用戶控制這些文件或系統。然後，所有的文件甚至整個設備都會被加密技術挾持，直到受害者支付贖金以換取解密密鑰。該密鑰允許用戶恢復被程序加密的文件或系統。

勒索軟體已經存在了幾十年，並且其變種在傳播、逃避檢測、加密文件和脅迫用戶支付贖金的能力上已經越來越先進。新時代的勒索軟體採用了先進的傳播技術，以及確保難以逆向工程的加密算法。勒索軟體還利用合法的系統功能，如微軟的CryptoAPI，從而避免使用命令和控制(C2)通信。

受害者支付500美元贖金後，CryptoWall網站顯示解密說明。

勒索軟體穩居當今企業和個人所面臨的最重大威脅之一。毫無疑問，攻擊手段變的越來越複雜，防禦措施將更具挑戰，受害者則會面臨更大的災難。

勒索軟體攻擊是如何發生的?

"勒索軟體"一詞描述了軟體的功能，即勒索用戶或企業以獲取經濟利益。該軟體必須能夠控制被劫持的文件或系統，這種控制通過感染或攻擊載體發生。

惡意軟體和病毒軟體與生物疾病有相似之處。正是由於這些相似性，仿照流行病學界對有害病原體的載體使用的術語，我們稱入口點為 "載體"。像生物界一樣，系統有許多方法可以被攻破，然後被劫持。從技術上講，攻擊或感染載體是勒索軟體獲得控制權的手段。

勒索軟體的攻擊載體一直在變化，但總體保持大致相同，就像釣魚郵件攻擊，不斷利用曝出的各種技術漏洞，以及人的漏洞。

勒索軟體的載體類型包括：

• 電子郵件：黑客傳播勒索軟體傳統常見方法是通過釣魚郵件。黑客使用精心製作的釣魚郵件，利用令人信服的理由，誘騙受害者打開附件或單擊包含惡意文件的連結。文件可以採用多種不同的格式，包括PDF、ZIP文件、Word文檔或JavaScript。這種策略和其他相關策略一樣，是通過欺騙手段來獲取文件和/或系統的控制權限。
• 遠程桌面協議(RDP)：遠程桌面協議(RDP)可以連接企業範圍內的系統，使遠程管理更加方便和容易。自2019年勒索犯罪組織將企業作為主要攻擊目標後，RDP就成為其採用的首個攻擊手段。
• 網站木馬傳播：用戶訪問惡意網站時，勒索軟體會被瀏覽器自動下載並在後臺運行;此外，攻擊者會通過用戶的瀏覽器的漏洞，將勒索軟體下載到用戶的主機。
• 惡意內部人員：內部人員通常是有權訪問公司漏洞和信息的員工。所有有權訪問網絡和敏感數據的員工和用戶都可能由於惡意意圖和特權濫用而造成無法彌補的損失。特斯拉險被攻擊的事件提醒了內部人員的風險。
• 社交網絡：勒索軟體攻擊者採用的另一種欺騙手段是在社交帳戶上給受害者發信息。攻擊者發送帶有文件附件的消息。一旦附件被打開，勒索軟體就可以獲得控制權，並鎖定受感染設備所連接的網絡。此外，勒索軟體還以社交網絡中的圖片或者其他惡意文件為載體來傳播。
• 彈窗：另一種常見但又比較古老的勒索軟體載體是在線 "彈窗"。彈窗是為了模仿當前正在使用的軟體，讓用戶更放心地按照提示操作，最終旨在攻擊用戶。
• 可移動存儲介質、本地和遠程的驅動器：勒索軟體用於滲透環境的另一種途徑是通過USB等可移動存儲介質。惡意軟體會自我複製到所有本地驅動器的根目錄中，並成為具有隱藏屬性和系統屬性的可執行文件。

勒索軟體發展歷程

最早的勒索軟體攻擊並不複雜，有報告顯示它存在缺陷，但它為勒索軟體演變為現在的複雜攻擊奠定了基礎。

商業雜誌《快公司》的一篇文章稱，早期的勒索軟體開發者通常會自己編寫加密代碼。現在的攻擊者則越來越依賴於"明顯更難被破解的現成函數庫"，並利用更複雜的傳播方法，如魚叉式釣魚活動，而不是傳統的群發釣魚郵件，因為後者常被垃圾郵件過濾器過濾掉。

高水平的攻擊者提供開發工具包，使技術能力較低的攻擊者也可以下載和部署。網絡犯罪分子利用提供勒索軟體即服務(Raas)的方式，通過提供勒索軟體牟利，這導致了CryptoLocker、CryptoWall、Locky和TeslaCrypt等知名勒索軟體的崛起。僅CryptoWall就創造了超過3.2億美元的收入。

首個勒索軟體攻擊事件

自2005年以來，勒索軟體一直穩居最大的威脅之一，但首次攻擊卻發生的更早。根據《貝克爾醫院評論》(Becker's Hospital Review)的數據，首個已知的勒索軟體攻擊發生在1989年，攻擊目標是醫療行業。醫療行業目前仍然是勒索軟體攻擊的首要目標。

原始的AIDS 軟盤

首個已知的攻擊由愛滋病研究者Joseph Popp博士在1989年發起，他通過向90多個國家的愛滋病研究者分發2萬張軟盤來進行攻擊。他聲稱這些軟盤中包含一個程序，可以通過問券調查來分析個人患愛滋病的風險。然而，磁碟中還包含一個惡意程序，該程序最初在電腦中一直處於休眠狀態，只有在電腦開機通電90次後才會激活。在達到90次的啟動門檻後，惡意軟體顯示出一條信息，要求支付189美元，並支付378美元的軟體租賃費。這種勒索軟體攻擊被稱為愛滋病木馬，或PC Cyborg。Joseph Popp博士被視為「勒索軟體之父」。

在1989年首次記錄的勒索軟體攻擊後，這種網絡犯罪仍不常見，直到21世紀00年代中期，攻擊者開始利用更複雜且更難被破解的加密算法，如RSA。這一期間流行的勒索軟體有Gpcode、TROJ.RANSOM.A、Archiveus、Krotten、Cryzip和MayArchive。

2006年，第一個使用非對稱加密的勒索軟體「Archievus」的出現。它主要採用RSA加密方法，會對「我的文檔」目錄裡面的所有內容進行加密。這個勒索軟體開始把魔爪伸向受害者的錢包，要求用戶從特定網站來購買獲取解密文件的密碼。這個方式至今是勒索軟體的主流獲利方式。

(1) 2010年-2012年：收入兌現

在接下來的幾年中，勒索軟體不斷發展，使用和炒作都在增加，但直到2010年代中期，它才成為主流攻擊方式。

從2011年開始，勒索軟體風靡一時。2011年第三季度，惡意軟體樣本的發現量激增，發現了約60,000種新的勒索軟體。2012年第三季度則翻了一番，達到200,000多種。但McAfee的《2011年第四季度威脅報告》中卻從未提及該術語。直到2012年，安全公司才開始討論勒索軟體是一種重大威脅。

2009年1月比特幣的出現及繁榮，幫助改變了一切，讓這個地下產業蓬勃發展。2010年左右，網絡犯罪分子已經知道如何利用勒索軟體賺錢。2010年代的頭幾年，勒索軟體開始盈利，但並不是很普遍。通過以數字貨幣為代表的匿名支付方式，網絡勒索者將可以更好地隱藏自己、「安全」的獲得高額收益。

(2) 2013年-2016年：現代勒索軟體興起

2013年9月是勒索軟體歷史的關鍵時刻， CryptoLocker誕生了。除了鎖定系統外，還對文件進行加密。它的出現標誌著進入真正的勒索軟體時代，具有決定性意義。它是首個將所有關鍵技術結合起來的勒索軟體，構成了現代勒索軟體的基礎。2013年10月，CryptoLocker感染達到峰值，月感染大約15萬臺計算機。

CryptoLocker利用AES-256來加密特定擴展名的文件，然後使用C&C伺服器生成的2048位RSA秘鑰來加密AES-256位密鑰。CryptoLocker在傳播的方式上也有新突破。它通過Gameover Zeus殭屍網絡來傳播，被標記為首個通過被感染網站傳播的勒索病毒案。CryptoLocker也以電子郵件附件方式通過魚叉式網絡釣魚傳播。

從2014年第三季度到2015年第一季度，勒索軟體的數量增長了三倍多。2015年，影響多個平臺的病毒變種對全球用戶造成了嚴重的破壞。

卡巴斯基的SecureList報告表明，從2014年4月到2015年3月，最突出的勒索軟體威脅是CryptoWall、Cryakl、Scatter、Mor、CTB-Locker、TorrentLocker、Fury、Lortok、Aura和Shade。報告顯示："它們攻擊了全球101,568名用戶，佔同期所有被加密勒索軟體攻擊的用戶的77.48%"。勒索攻擊形勢變化顯著。據卡巴斯基2015-2016年的研究報告，"TeslaCrypt與CTB-Locker、Scatter和Cryakl一起，造成了79.21%的加密勒索軟體攻擊」。

從2014年4月到2016年初，CryptoWall是最常見的勒索軟體，其變種感染了數十萬個人和企業。到2015年年中，CryptoWall已經向受害者勒索了超過1800萬美元，促使FBI發布了關於該威脅的警告。

2015年，一些網絡犯罪組織採用了所謂的「勒索軟體即服務」(RaaS)模式，開發人員可以從同夥的攻擊中獲利。從那時起，勒索活動就變得像普通的Web業務。

2016年也是勒索軟體攻擊的重要一年，自2016年針對企業的勒索攻擊開始出現，出現了一些著名的加密勒索軟體：LOCKY 2016年2月發現。PETYA、CERBER、SAMSAM於2016年3月首次出現。

與以前的勒索軟體系列不同，Samas勒索軟體特別關注企業而不是個人。2016年4月，SamSam利用醫院系統的伺服器漏洞實施入侵，成功感染了國外多家醫院。SamSam的出現，意味著勒索軟體攻擊企業伺服器，甚至攻擊整個企業網絡已經成為新的攻擊方向。2016年勒索軟體為網絡犯罪分子共淨賺了10億美元。

2014-2015年卡巴斯基實驗室觀察到的勒索軟體變種分布。

2015-2016年卡巴斯基實驗室觀察到的勒索軟體變種分布。

(3) 2017年：勒索病毒爆發年

儘管CryptoLocker、TeslaCrypt和 Locky等勒索軟體家族都在全球範圍內感染了大量系統。然而，直到2017年中，WannaCry、NotPetya兩大勒索軟體攻擊將戰火蔓延至全球，攻擊覆蓋了從烏克蘭的醫院到加利福尼亞的廣播電臺等機構，勒索軟體展示了其不可忽視的危害性、破壞性。

WannaCry是WannaCrypt的簡寫，意味著WannaCry是加密病毒軟體的事實。更具體來說就是，它就是加密蠕蟲，能自動複製及散播開來。WannaCry勒索病毒利用Windows SMB(「永恆之藍」)漏洞在全球快速傳播，感染全球99個國家和地區超過百萬臺電腦，這使得WannaCry成為史上規模最大的勒索病毒襲擊事件。WannaCry所造成損失據估計為40億美元到80億美元之間。

NotPetya又稱Petya、Petrwrap或GoldenEye，最先於2017年6月在烏克蘭被發現，當地政府部門、醫院、銀行、機場等系統均被攻擊，連切爾諾貝爾核電廠災區電腦系統也受影響。它被網絡安全界認為是歷史上最昂貴、最具破壞性的勒索攻擊。美國白宮估計，其結果就是超過100億美元的總損失。NotPetya被定義為網絡戰的一部分。提醒我們網絡戰爭的危險性已威脅到全球現代基礎設施。

更精確的說，Wannacry和Nonpetya屬於Wipeware(清除軟體，唯一的目的即徹底損毀所有的文件數據)，而不是勒索軟體。人們普遍認為，這兩個惡意軟體都受到了某國家政府的支持，故意偽裝成勒索軟體，隱匿行蹤、混淆視聽，延長調查周期。由於烏克蘭是重災區，有大量猜測認為，NotPetya 根本就不是勒索軟體，而是俄羅斯針對烏克蘭實施網絡攻擊的偽裝。

(4) 2018年-2019年：攻擊重點轉移至企業

自2018年第一季度開始，勒索軟體攻擊將重點從消費者轉移至企業：針對消費者個人的攻擊從下半年開始出現顯著下降。在2019年，針對企業的勒索軟體攻擊數量首次超過了針對消費者的數量，前者在2019年第二季度比2018年第二季度增長了363%。勒索軟體犯罪團夥已經不再以家庭用戶為目標，而主要是針對大型企業網絡。

2018年，勒索病毒攻擊整體態勢以伺服器定向攻擊為主，輔以撒網式無差別攻擊手段。GandCrab、GlobeImposter、CrySis這三大家族勒索病毒的受害者最多，合計佔比高達80.2%;勒索病毒最常使用的攻擊手段是遠程桌面弱口令暴力破解攻擊。

2019年，勒索軟體朝著新目標——市政機構發起攻擊。根據卡巴斯基公開統計數據和公告，2019年至少有174個市政機構受到了勒索軟體的攻擊。比一年前報告的數量增加大約60%。最著名、最廣泛討論的事件是對美國巴爾的摩市的攻擊，大規模勒索軟體攻擊導致巴爾的摩市的大量城市服務癱瘓，最終花費數千萬美元才恢復城市IT網絡。

在2019年，按攻擊事件計數，Sodinokibi是最流行的勒索軟體類型。Ryuk繼續困擾大型企業，成為第二種最常見的勒索軟體。Phobos和Dharma仍然繼續是小型企業勒索軟體攻擊的穩定部分。

2019年主要勒索病毒。數據來源：Coveware公司

(5) 2020：勒索軟體最瘋狂的年份

Check Point研究表明，勒索軟體是2020年最瘋狂，同時也是給企業造成損失最大的攻擊手段。全球企業風險諮詢公司Kroll的調查也顯示，勒索軟體是2020年最常見的威脅。2020年，勒索攻擊數量增加，部分原因是由於新冠疫情帶來的遠程工作方式為黑客開闢了新的攻擊面。

2020年上半年，Sodinokibi、GlobeImposter、Dharma、Phobos等勒索病毒家族佔比較高，牢牢統治著勒索病毒的半壁江山。其中，Sodinokibi(也稱為REvil)是2020年最經常看到的勒索軟體病毒，這是一種勒索軟體即服務(RaaS)攻擊模型，已經利用混合勒索軟體來進行勒索攻擊。Ryuk作為相對年輕的勒索軟體家族，在2020年人氣顯著上升。遠程辦公增加了該勒索軟體的感染率。

在Kroll觀察到的近一半(47%)勒索軟體案例中，攻擊者都是利用開放式遠程桌面協議(RDP)和Microsoft專有的網絡通信協議來發起攻擊。僅有四分之一(26%)的勒索軟體攻擊案例可追溯到網絡釣魚電子郵件，而17%的案例與漏洞利用有關。

2020年上半年活躍家族所佔比例 數據來源：奇安信勒索病毒搜尋引擎

勒索軟體的最新攻擊趨勢

一夜之間激增的遠程辦公給網絡犯罪分子提供了有吸引力的新攻擊目標。數以百萬計的人在家工作，感染勒索軟體的機會比以往任何時候都高。在過去的12個月中，我們看到的勒索軟體攻擊比任何時期都要多。2020年報告的惡意軟體事件，有27%歸因于勒索軟體。

2020年，勒索軟體攻擊有如下趨勢：

(1) 雙重勒索成為新常態。

勒索軟體正在演變成一種新型威脅，網絡犯罪分子不僅加密數據，還竊取數據並威脅要在網際網路上發布數據。這使得機構不僅要面臨破壞性的數據洩露，還有相關的法規、財務和聲譽影響。這種勒索策略被稱為「雙重勒索」。這無疑讓受害者承受更大的數據洩露壓力，使受害者被迫支付贖金的可能性大幅提高。受害者同時承受著支付贖金後的數據被公開的不確定性，以及監管機構對其數據洩露進行處罰的雙重壓力。越來越多的勒索家族在暗網建立數據洩露網站。今年上半年勒索家族的數據洩露站暴增，用於發布那些不支付贖金企業的數據。2020年8月，Maze勒索團夥因為勒索失敗，洩露了50.2GB 的LG內部網絡數據以及25.8GB的Xerox數據。雙重勒索可能會成為勒索軟體攻擊的「新常態」。

(2) IoT成為勒索軟體攻擊新突破口。

黑客通常通過向網際網路開放的IoT設備來訪問公司網絡。他們遠程掃描公司網絡以查找設備，掃描網絡中的已知漏洞。根據SonicWall安全研究人員2020年11月發布的2020年第三季度威脅情報，針對物聯網的攻擊數量增加了30%，勒索軟體攻擊數量激增了40%，早在2017年，就出現了首個針對聯網設備的勒索軟體攻擊報告：55個交通攝像頭感染了WannaCry勒索軟體。物聯網的發展速度，加上被廣泛報導的物聯網設備的脆弱性，為勒索軟體運營提供了全新的領域。

(3) 關鍵基礎設施成勒索軟體攻擊的重要目標。

費城天普大學的研究團隊一直跟蹤針對全球關鍵基礎設施的勒索軟體攻擊。近兩年來，勒索軟體的頻次逐年上升。今年僅僅2020前8個月已有241起。被勒索的關鍵基礎設施行業來看，政府部門是勒索的重點，達到了199次。緊隨其次的教育行業和醫療衛生行業，均為106次。關鍵製造、應急服務、通信、效能系統、商業行業、金融行業、能源、食品和農業、水務和汙水處理、化工、國防工業基礎行業、核工業等都是勒索的高發區。

(4) 勒索攻擊更加定向、複雜。

勒索軟體攻擊正變成高度針對性的複雜攻擊。Ekans勒索軟體(Snake變體) 對本田公司的攻擊事件中，其樣本出現了定向化攻擊的特徵，會檢查執行環境是否在指定公司的域環境中，如果不在則退出。EKANS加入了一些特定於ICS的特定惡意軟體變體，例如Havex和CRASHOVERRID，能夠終止受害設備上的幾個關鍵進程，包括與工業控制系統(ICS)操作直接相關的某些進程。目前，勒索軟體目前已成為針對製造業的最大網絡安全威脅。此外，威脅行為體對勒索軟體採用高級持續威脅(APT)方法已經變得越來越普遍。在APT勒索軟體策略下，威脅行為體通過漏洞利用、社會工程或各種其他手段獲得對目標網絡進行未授權訪問，然後釋放勒索軟體。尚不具備APT防禦能力的組織可能會更容易遭受勒索軟體和其他複雜的網絡犯罪攻擊的打擊。

關于勒索軟體的未來

勒索軟體攻擊日益肆虐，業界對未來的防護前景並不看好。有安全研究人員稱，100%確信勒索軟體未來將繼續給全球帶來沉重打擊。

知名投資諮詢公司 Cybersecurity Ventures預計，2021年企業每11秒遭受一次勒索攻擊，給企業造成200億美元的損失。

「試想在未來某個時候，您使用自動駕駛的汽車，被黑客入侵，只有10分鐘的時間支付贖金，否則就會把車撞壞。這不是科幻小說，而是未來能看到的趨勢。」

【責任編輯：

趙寧寧

TEL：（010）68476606】

點讚 0