2020年,註定是要被歷史銘記的一年,除了肆虐全球的新冠病毒,網絡「疫情」也沒有消停,各種新型勒索病毒不斷湧現,黑客組織陸續壯大,甚至不少國外一些主流的勒索病毒運營團隊在國內尋找勒索病毒分銷運營商,通過暗網與國外運營商進行合作,進行勒索病毒的分發傳播,謀取暴利。
在魔幻的2020年,從勒索病毒新面孔WannaRen火上熱搜,到知名B站UP主被勒索後在線求助,可以看出勒索病毒依然是網絡病毒中的「頂流」。下面我們來盤點部分2020年全球勒索病毒大事件。
3月,特斯拉、波音、洛克希德·馬丁公司和SpaceX等行業巨頭的精密零件供應商,總部位於科羅拉多州丹佛的Visser Precision遭受勒索軟體DoppelPaymer攻擊,黑客已經洩漏Visser Precision與特斯拉和SpaceX籤署的保密協議。
4月,葡萄牙跨國能源公司(天然氣和電力)EDP(Energias de Portugal)遭Ragnar Locker勒索軟體攻擊,10TB的敏感數據文件遭洩,贖金高達1090萬美金。根據EDP加密系統上的贖金記錄,攻擊者能夠竊取有關帳單、合同、交易、客戶和合作夥伴的機密信息。
6月,日本汽車巨頭本田的伺服器遭受到了Ekans勒索軟體攻擊,這款新型病毒具有鎖定工廠中的工業控制系統和機械的功能,直接重創本田的工業生產核心,導致其日本總部以外多國工廠出現了生產停頓問題。韓國兩大電子巨頭SK Hynix、 LG電子的網站被Maze組織攻擊,大量機密被竊取。
7月,日本數碼攝像機廠商佳能遭受Maze團夥勒索攻擊,其中影響包含電子郵件、微軟團隊、美國網站以及其他內部應用程式。美國知名穿戴設備製造商佳明 (Garmin) 遭WastedLocker勒索軟體攻擊,導致國際伺服器癱瘓,攻擊者向Garmin索要高達1000萬美元贖金。
8月,全球最大的遊輪運營商嘉年華遊輪集團(Carnival Corporation)遭受了勒索病毒攻擊。嘉年華公司指出,攻擊者「訪問並加密了公司信息技術系統的一部分」,入侵者還從公司的網絡下載了文件。
9月,德國杜塞道夫大學醫院遭遇勒索軟體攻擊,造成IT系統中斷,進而導致門診治療和緊急護理無法正常進行。一名患者被迫轉移到另一家醫院接受救治。然而在轉移途中,患者不幸身亡。此事件被認為是首例因勒索攻擊導致人員死亡案例,德國警方也將案件性質調升為謀殺案。
10月,物聯網廠商研華科技遭遇了來自Conti勒索軟體團夥的攻擊,黑客組織提出了750個比特幣的贖金要求(約合1300萬美元),否則將會把所盜數據逐步洩露在網絡上。德國第二大軟體供應商Softawre AG遭到勒索軟體「Clop」的攻擊,其內部軟體被加密,該攻擊發起者要求提供2000萬美元,才能給到解密密鑰。
11月,位於墨西哥的富士康工廠遭到了DoppelPaymer勒索軟體的攻擊。DoppelPaymer加密了約1200臺伺服器,竊取了100 GB的未加密文件,刪除了20TB至30 TB的備份內容,並要求富士康支付1804枚比特幣(約為3468萬美元)以獲取解密工具。
12月,印度電子商務支付系統和金融技術公司Paytm被勒索軟體攻擊,遭受了大規模的數據洩露,其電商網站Paytm Mall的中心資料庫被入侵,黑客在向Paytm Mall索要贖金的同時,並未停止在黑客論壇上出售其數據。
通過分析2020年的勒索攻擊事件,可以發現勒索軟體的攻擊是全球性、廣泛性發展的,並且勒索攻擊呈現集聚化發展,主要的勒索攻擊事件都來自少數幾個勒索軟體家族。
1、Maze勒索病毒Maze勒索軟體是ChaCha的一個變種。最初,Maze是使用如Fallout EK和Spelevo EK之類的漏洞利用工具包通過網站進行傳播,該工具包利用Flash Player漏洞。後續Maze勒索軟體增加了利用Pulse VPN的漏洞與Windows VBScript Engine遠程代碼執行漏洞的能力。
Maze組織的獨到之處在於,它會運行獨特的腳本檢測受感染機器是家用電腦、伺服器還是工作站,之後根據受害者設備價值來確認勒索的具體金額。
2、Ryuk勒索病毒Ryuk勒索病毒主要是通過網絡攻擊手段利用其他惡意軟體如Emotet或TrickBot等銀行木馬進行傳播,由黑客團夥GrimSpider幕後操作運營,被用於對大型企業及組織進行針對性攻擊。
Ryuk特別狡詐的一個功能是可以禁用被感染電腦上的Windows系統還原Windows System Restore選項,令受害者更難以在不支付贖金的情況下找回被加密的數據。
DoppelPaymer是BitPaymer 勒索軟體的一類新變種,代表了勒索軟體攻擊的新趨勢——勒索文件加密和數據竊取雙管齊下。DoppelPaymer至少有8種變體,它們逐漸擴展各自的特徵集。
DopelPaymer受到Maze勒索軟體的極大啟發,但其勒索信息並不會提示受害組織數據已被盜,僅提供支付贖金的網站地址。
4、Clop勒索病毒Clop勒索病毒首先會結束電腦中運行的文件進程,增加加密過程的成功率,背後團隊的主要目標是加密企業的文件,收到贖金後再發送解密器。
與其他勒索病毒不同的是,Clop勒索病毒部分情況下攜帶了有效的數字籤名,這意味著它在部分攔截場景下更容易獲取到安全軟體的信任,進而感染成功,造成無法逆轉的損失。
Ekans勒索病毒(也稱Snake)的主要目標是工業控制系統(ICS)環境,通過解析受害者公司的域名,並將這些信息與IP列表進行比較,來確認目標。一旦目標被捕獲,Ekans就會掃描域控制器以進行攻擊。
Ekans代碼中包含一系列特定用於工業控制系統功能相關的命令與過程,可導致與工業控制系統(ICS)操作相關的諸多流程應用程式停滯。
勒索病毒是近年來黑客組織牟取暴利的絕佳手段,也是發展最快的網絡安全威脅之一。在後疫情時代,勒索病毒攜帶著日趨成熟的手段革新和愈發隱蔽、複雜的「進化」能力,開啟了「重裝上陣」的瘋狂模式。
1、雙重勒索成為新常態在對受害者的資料庫進行加密之前,攻擊者會提取大量敏感的商業信息,並威脅不支付贖金就發布這些信息,使得機構不僅要面臨破壞性的數據洩露,還有相關的法規、財務和聲譽影響,這給企業增加了滿足黑客要求的壓力。
2、IoT成為勒索軟體攻擊新突破口勒索病毒所攻擊的對象,已經不限於個人PC、防護能力較弱的傳統企業、政府、學校網站,萬物互聯時代的工廠、工業設備、智能攝像頭、路由器等諸多設備也被當成目標鎖定。黑客通常通過向網際網路開放的IoT設備來訪問公司網絡,每個連接的設備都是黑客安裝IoT勒索軟體並要求付款的潛在入口。
大型政企機構的網絡資產價值高,所以成了勒索病毒的頭號「獵物」。為了「一網打盡」,勒索病毒往往會在攻陷一臺機器後,再利用其進行較長時間持續滲透,攻陷更多機器後再大量植入文件加密模塊,造成政企的業務系統大面積癱瘓。根據COVEWARE公司的報告,2020年第一季度,企業平均贖金支付增加至111,605美元,比2019年第四季度增長了33%。
4、遠程辦公被攻擊者視為重要的可乘之機受新冠疫情大流行和全球數位化進程加快的驅動,數以百萬計遠程辦公場景的快速激增一定程度上因網絡開放度的提升和接口的增多,而給勒索病毒造就了新的攻擊面。Datto的《Global State of the Channel Ransomware Report》(全球渠道勒索軟體狀況報告)顯示,59%的受訪者表示由於冠狀病毒(COVID-19)大流行而導致的遠程工作導致勒索軟體攻擊的增加。
根據諮詢機構的相關數據,疫情當前,近70%的企業組織計劃增加雲的投入,而微服務、容器化、DevOps、持續交付等特點,也讓雲原生將重塑IT技術體系。達摩院2021十大科技趨勢認為,雲原生可將網絡、伺服器、作業系統等基礎架構層高度抽象化,降低計算成本、提升迭代效率,大幅降低雲計算使用門檻、拓展技術應用邊界。因此,基於雲架構的層次化防勒索預案方案將成為數據安全的重要手段。
今天,勒索病毒是所有數位化從業者都必須面臨並予以重視的安全威脅, 而勒索病毒的防治是需要涵蓋網絡安全、數據備份、人員意識提升等多方面因素在內的全面的、 多線程的一體化工作。這份工作,不容懈怠。