执行摘要
对组织和个人用户来说,勒索软件将是一个持续的严重安全威胁。作为一种恶意工具,它的设计越来越精妙,传播能力更强,面向人群更广,适用于各种攻击人群。本报告介绍了勒索软件的设计、传播、运行和商业模式,此外,还探讨了勒索软件的加密方法和运行时活动以及检测和缓解指标。
经过多年发展,勒索软件已然成熟,即便是技术小白也可以轻易上手。同时,出现了许多变种,用于勒索软件即服务(RaaS)。RaaS降低了勒索软件作者的风险,因为他们并未亲自发动攻击,同时降低了成员组织发动攻击的成本。此外,截至2019年,有部分勒索软件攻击者威胁说,如果受害者拒不支付赎金,他们将公开披露其敏感数据。他们是这么说的,也是这么做的。
勒索软件使用强加密,在实现上基本无缺陷,只有密钥才能解密。勒索软件之所以能成功感染目标,原因如下:
- 邮件未过滤;
- 用户缺乏安全意识,无意中打开恶意电子邮件附件;
- 有漏洞的系统和应用程序未及时修复;
- 操作系统缺乏启发式的主动监控。
本报告建议采取主动和被动两种方法,避免支付赎金,同时最大限度地减少数据丢失。要抵御勒索软件,最好的办法是离线备份所有数据,经常进行这种操作会最大限度地减少数据丢失,更有底气地拒付赎金。此外,要防护非法数据转移(DataExfiltration)带来的数据泄露(DataBreach)威胁,组织应对静态数据进行加密。
当前,勒索软件攻击的主要目标是政府机构和医疗、教育及运输行业的关键系统。勒索软件将会长期存在,随着RaaS的出现,威胁范围还可能会扩大。频繁的离线备份、持续的用户意识培训以及对系统和网络安全的增强都有助于检测和防护勒索软件。
一、概述
勒索软件是当今最有利可图的一种网络犯罪方案。简单说,勒索软件阻止受害者访问自己的数据,以此要挟受害者支付赎金。勒索软件攻击几乎每天都在发生,受害者从大型组织到个人电脑用户不一而足。大多数受害者为恢复数据,最终选择支付赎金。勒索软件攻击的成功依赖于下述重要安全缺陷:
• 邮件过滤机制无法识别、阻止收到的恶意邮件(网络钓鱼和恶意垃圾邮件等);
• 用户缺乏安全意识,不知道如何检测、预防和报告潜在的可疑邮件,无意中就会打开并执行恶意邮件附件,将恶意软件引入系统;
• 当前基于主机的恶意软件检测软件不够强大,难以防止最终用户受到攻击,尽管有各种安全措施,仍无法阻止勒索软件攻击。
因为安全缺陷的存在以及快速盈利的能力,勒索软件威胁持续恶化。许多行业想法设法了解攻击情况,以减轻威胁,并在必要时做好应对准备。就这些问题,本报告基于最新信息,阐述了勒索软件的定义、工作机制以及防护方法。
1.1定义
从定义上说,勒索软件是数据加密和勒索组件。由于加密数据需要攻击者参与才能恢复,所以,勒索软件攻击会要求支付不同数额的赎金,而在大多数情况下,这种要求都会得到满足。勒索软件的其他特征与其他恶意代码并无二致,因而可以纳入恶意软件范畴。勒索软件所使用的加密方式通常让受害者别无他选,为恢复数据只能支付赎金。除非组织准备充分,能够恢复数据,或者加密文件没有价值,否则他们最终只能按照要求支付赎金。
可以说,这类恶意软件的典型特征就是要求赎金。不过,恐吓软件(如FakeAV)之类的恶意代码也会试图诱使用户付费以清理计算机或删除恼人的弹出窗口等。勒索软件属于密码病毒学领域,该领域主要研究恶意软件使用加密技术的方法。国土安全部(DHS)网络安全与基础设施安全局(CISA)基于勒索软件的这些特征提供了一个准确的定义:
勒索软件是一种恶意软件,用以阻止用户访问计算机系统或数据,直至支付赎金。(网络安全与基础设施安全局(CISA),2020年)
1.2发展近况
近年来,由于相关技术的进步和潜在利润的诱惑,勒索软件不断发展壮大。攻击范围已从针对个人用户转向针对医疗、政府机构、高校和公司。勒索软件加密机制已经从功能不那么完善的定制实现发展到行业公认的标准加密算法。使用加密的匿名信道与命令控制(C2)服务器通信是某些勒索软件的常见功能。支付方式也发生了变化,从电汇和预付卡转向使用加密货币(如比特币)。
在演进过程中,勒索软件开始根据欲加密数据的类型进行调整。早期的勒索软件样本主要是加密用户文档和图片,而近期的勒索软件变种除了用户文件,还关注网络存储、数据库和网站。由于用户越来越多地尝试通过备份恢复加密数据,勒索软件迅速调整,开始尝试定位、加密用以备份文件的网络存储。2019年,勒索软件开始转移公司数据,受影响公司若未按要求支付赎金,则公布这些数据。除了这种新型的数据转移威胁,有些勒索软件还会索取这两项费用:(1)解密加密数据;(2)防止公布数据。这些改变表明勒索软件作者能力非凡,能够应时而变,顺势而为。
1.3业务模式
勒索软件是在利益驱动下产生的犯罪方案,可为犯罪分子带来丰厚回报。任何人都可能遭受勒索软件攻击,同一勒索软件既能攻击企业,也能攻击个人。它不受目标影响,对社会的多个部门造成重大影响。
加密货币的存在是勒索软件成功的关键因素。比特币等加密货币交易基本上不受法律当局监管,所以,网络犯罪分子将赎金支付从监管严厉的金融环境转移到监管相对宽松的区域。
此外,勒索软件主要是一种基于服务的业务。与所有以盈利为目的的基于服务的商业模式一样,它也是一手交钱,一手交货,勒索软件服务主要包括提供解密密钥、解密软件和客户支持。
成功的勒索软件方案擅长提供这种服务。勒索软件往往组织良好,能够为每个受害者提供唯一的标识符,然后通过这些标识符传递正确的解密密钥。解密软件通常能正常工作,所有被加密的文件都会完全恢复到原状。这种软件易于使用,通常支持多种语言,即使是非技术人员也能轻松搞定。
勒索软件商业模式基于以下基本假设,这些假设基本正确,促进了勒索软件的商业成功:
• 大多数用户不定期备份数据。勒索软件在经济上的成功表明大多数受害者并未妥善备份数据,否则,就不会有那么多人付款了。2019年,Backblaze对1858名参与者(每人拥有至少一台电脑)进行了一项调查。结果表明,只有9%的用户每天备份数据,20%的用户从不备份数据,38%的用户只在想起时才备份数据。(Bauer,2019年)
Backblaze从2008年开始对备份频率进行年度调查。2008–2019年的结果如表1所示。
在12年的时间里,只有一小部分用户每周备份数据;19–26%的用户每年备份一次;20–35%的用户称从未备份过数据,这类用户所占比例最大。不过,随着时间的推移,备份频率呈缓慢上升趋势。
表1:Backblaze 2008–2019计算机备份频率调查数据
频率 | 2008 | 2009 | 2010 | 2011 | 2012 | 2013 | 2014 | 2015 | 2016 | 2017 | 2018 | 2019 |
|---|---|---|---|---|---|---|---|---|---|---|---|---|
每天一次 | 6% | 6% | 8% | 6% | 10% | 10% | 9% | 8% | 8% | 9% | 6% | 9% |
每周一次 | 7% | 8% | 8% | 8% | 10% | 9% | 9% | 9% | 9% | 12% | 11% | 10% |
每月一次 | 14% | 12% | 14% | 13% | 16% | 17% | 16% | 19% | 17% | 16% | 17% | 20% |
每年一次 | 20% | 20% | 21% | 20% | 19% | 22% | 22% | 23% | 25% | 26% | 26% | 25% |
一年多一次 | 19% | 15% | 15% | 16% | 14% | 13% | 16% | 16% | 16% | 15% | 17% | 16% |
从不 | 35% | 35% | 33% | 34% | 29% | 29% | 29% | 25% | 25% | 21% | 24% | 20% |
• 加密的数学设计非常复杂,难以破解。众所周知,加密的数学基础是使用较大的数字序列,目的是耗费超长时间来验证所有可能的匹配。
• 用户易受网络钓鱼攻击。根据威瑞森(Verizon)公司的《2019年数据泄露调查报告》,研究发现,邮件附件是网络事件中最常见的切入点。报告指出,在检测到的恶意软件中,90%以上是通过邮件传播的,勒索软件也是如此。(威瑞森,2019年)过去几年间,网络钓鱼邮件的用户点击率已降至3%。然而,Avant研究集团公司的研究表明,与移动硬件和软件的交互方式决定了用户更容易通过移动设备受到网络钓鱼攻击。由于屏幕尺寸小,描述信息也随之缩小,因而,在移动界面上很难验证邮件。最后,Avant研究还调查了移动用户行为的多任务方面,发现移动界面会影响用户对细节的关注。
• 组织有多重顾虑。勒索软件的作者发现,相较于普通用户,企业更不愿意丧失对自己数据的访问权限,哪怕是很短的时间。虽然组织更可能会频繁备份数据,但同时也希望其服务始终可用。即使勒索软件只加密数据中心的部分数据且恢复备份只需要一天时间,仍然会造成业务暂时离线。鉴于此,企业常常会支付赎金,以更快地恢复运营,最大可能地避免数据丢失。最近,佐治亚州杰克逊县政府机构为解密密钥支付了40万美元的赎金,此前Ryuk黑客冲击了该县的执法部门、紧急调度业务和监狱。(Novinson,2019年十大勒索软件攻击;9.佐治亚州杰克逊县,2019年)。在另一类似事件中,佛罗里达州莱克城的政府官员向Ryuk勒索软件黑客支付了46万美元的比特币,以解密该市的数据。(Novinson,2019年十大勒索软件攻击;8.佛罗里达州莱克城,2019年)通常情况下,支付赎金被视为成本最低的应对方案,尤其是与未来利润的潜在损失和负债相比。
• 终端用户机器连接到网络。在公司环境中,终端用户的笔记本电脑或台式机通常连接到多个网络服务器,这些服务器包含不同用户的大量组织数据。用户登录后,通常自动连接到这些服务器,一般不需要进一步验证远程读写权限。因此,勒索软件一旦在用户的本地机器上运行,就很容易发现、访问和加密网络服务器数据。利用这一漏洞,黑客可能会加密大量数据,收到赎金的可能性会更大。
勒索软件商业模式的上述基本假设不包括对计算机的一般假设,例如软件没有定期更新、颠覆大多数安全产品的能力等等,因为这些假设的存在,各种恶意软件(并非只是勒索软件)才得以大行其道。
二、现状
2.1已知勒索软件家族
2.1.1至2.1.10节介绍了自2018年1月起到现在由国家网络取证与培训联盟(NCFTA)确定的十大热门勒索软件
>>>>
2.1.1 FuxSocy加密程序
概述:MalwareHunterTeam于2019年10月发现FuxSocy,它类似于Cerber勒索软件,后者现已停止活动。(新泽西州网络安全与通信集成小组,2019年)一旦进入系统,FuxSocy就会创建多个注册表项,获得管理权限。(Carballo,2019年)在加密过程中,FuxSocy会加密路径包含特定字符串的文件。(新泽西州网络安全与通信集成小组,2019年)系统被加密后,会改变桌面背景,通知受害者感染了病毒,并通过ToxChat即时消息程序告知受害者如何联系他们。(Woods,2019年)FuxSocy的独特之处在于它并不加密整个文件,而是同时使用RSA和AES-256对文件进行部分加密。(新泽西州网络安全与通信集成小组,2019年)
感染途径:FuxSocy最常用的感染方法是网络钓鱼邮件,主要通过AppData、Local和LocalLow目录释放恶意负载。除网络钓鱼邮件外,该勒索软件还可能借助于带有宏的文档和不可信下载进行传播,在其中加载恶意脚本和/或木马或蠕虫,直接植入设备。(新泽西州网络安全与通信集成小组,2019年)
加密手段:RSA和AES-256加密机制结合使用
可用解密程序:无公开解密程序
目标行业:未知
目标国家:未知
更多入侵指标(IOC),见附录6.1。
>>>>
2.1.2 GlobeImposter/GlobeImposter 2.0
概述:由于模仿“环球”(Globe)勒索软件家族,GlobeImposter也被称为“假环球”(Fake Globe),通常借助于恶意软件垃圾邮件进行传播。(新泽西州网络安全与通信集成小组,2019年)最常见的情况是,攻击者向受害者发送恶意垃圾邮件,其中的Zip压缩文档附件包含用JavaScript编写的恶意软件。大多数时候,GlobeImposter几乎无法检测,在加密文件时悄无声息,难以察觉。勒索消息中会提供个人感染ID,用于支付赎金;同时,还会提供多个邮件地址,指示受害者使用洋葱网络联系任一地址(见附录6.2),以获取付款和解密说明。(Manuel和Salvio,2019年)(Malwarebytes实验室,2017年)
感染途径/方法:GlobeImposter通过恶意软件垃圾邮件活动,利用漏洞攻击工具、恶意广告、虚假更新或重新打包的受感染安装程序来感染Windows机器。
加密手段:RSA-4096和AES-256加密机制结合使用(Malwarebytes实验室,2017年)(Neumann和Natvig,2019年)
可用解密程序:“No More Ransom”网站和NCFTA提供解密程序,可解密部分勒索软件加密的文件(“No More Ransom”项目,2019年)
目标行业:未知
目标国家:美国、欧洲(NCFTA,2020年)(Manuel和Salvio,2019年)
更多IOC,见附录6.2。
>>>>
2.1.3 LockerGoga
概述:LockerGoga于2019年1月发现,据信为FIN6组织的产品。LockerGoga有三个执行阶段,根据所设置的参数在这三个阶段之间切换。LockerGoga运行后会更改账号密码、发送勒索消息并禁用接口。它使用父/子模型来加速对受害者文件的加密。父进程查找目标文件,然后在共享内存中写入文件路径,告知子进程要加密哪些文件。(Manuel和Salvio,2019年)(Lopez,2019年)此勒索软件使用管理权限,可能仅为多重攻击的一部分。(Manuel和Salvio,2019年)(NCFTA,2020年)LockerGoga和WannaCry、NotPetya和SamSam攻击有着同样的趋势。
感染途径:LockerGoga使用钓鱼邮件,其中含有嵌入宏的恶意附件。它还利用服务器消息块协议(SMB)和活动目录服务,通过计划任务在受害者网络上传播负载,并修改所有的用户账号密码。(Manuel和Salvio,2019年)(NCFTA,2020年)(Neumann和Natvig,2019年)
加密手段:RSA-4096和AES-256结合使用(Neumann和Natvig,2019年)
可用解密程序:无公开解密程序
目标行业:工业和工程(NCFTA,2020年)
目标国家:美国、法国(Manuel和Salvio,2019年)(NCFTA,2020年)
更多IOC,见附录6.3。
>>>>
2.1.4 SamSam
概述:SamSam于2015年12月发现,专用于定向攻击。它不会自动传播,需要人类的参与才能执行。(Malwarebytes实验室,2018年)SamSam只能由作者或知道作者密码的人启动。2018年11月,美国财政部对外访问控制办公室和美国司法部共同起诉两名伊朗人,指控他们利用SamSam勒索软件获取比特币赎金,并将这些款项存入伊朗银行。(Coveware,2019年)
感染途径:SamSam利用漏洞感染特定的组织和机构,采用的手段包括弱密码爆破、JBoss主机服务器漏洞攻击、远程桌面协议(RDP)系统、基于Java的web服务器和文件传输协议(FTP)服务器。(Infradata,2019年)
加密手段:RSA-2048(Boyd,2019年)
可用解密程序:无公开解密程序(Coveware,2019年)
目标行业:政府、交通、医疗和教育(Infradata,2019年)
目标国家:美国、荷兰(网络安全与基础设施安全局(CISA),2018年)
更多IOC,见附录6.4。
>>>>
2.1.5 MedusaLocker
概述:MedusaLocker于2019年9月由MalwareHunterTeam发现,传播方式尚未确认,但发现恶意负载通过网络钓鱼和带有恶意网站链接的垃圾邮件传送至受害者,(MalwareHunterTeam,2019年)(Walter,MedusaLocker勒索软件疯狂攻击远程主机,2019年)然后重启LanmanWorkstation服务,该服务负责通过SMB协议创建和保持客户端网络到远程服务器的连接。停止或重启LanmanWorkstation服务时,MedusaLocker会强制更改并应用配置,之后,再攻击可执行文件,摧毁用于分析和逆向工程的通用产品。
感染途径:通过网络钓鱼和带有恶意网站链接的垃圾邮件,将恶意负载传送给受害者。
加密手段:RSA-2048和AES-256加密机制结合使用
可用解密程序:无公开解密程序
目标行业:未知
目标国家:未知
更多IOC,见附录6.5。
>>>>
2.1.6 Ryuk
概述:Ryuk发现于2018年,据信为Hermes勒索软件的改进版,后者一般认为属于朝鲜的高级持续威胁(APT)Lazarus组织。Ryuk通过各种社会工程技术或不安全网站获得访问权限。一旦进入网络,就能利用TrickBot和Emotet通过RDP进行直接访问。TrickBot和Emotet使用PsExec和/或组策略进行传播,释放Ryuk,在加密之前窃取敏感信息,并可能对目标网络发动进一步攻击。(Malwarebytes实验室,2019年)(Oza,2020年)此勒索软件针对的是大型组织和政府实体,因为攻击者知道,这些组织和实体为了解密自己的数据,会选择支付大额赎金。
感染途径:Ryuk通过网络钓鱼邮件、不安全的网站或用户单击随机弹出窗口入侵网络。攻击者使用TrickBot和Emotet可以通过RDP直接访问目标网络。
加密手段:RSA-2048和AES-256结合使用(Walter,MedusaLocker勒索软件疯狂攻击远程主机,2019年)
可用解密程序:无公开解密程序
目标行业:零售、健康、运输和政府机构(Oza,2020年)
目标国家:未知
更多IOC,见附录6.6。
>>>>
2.1.7 Nemty
概述:Nemty是2019年8月发现的勒索软件即服务(RaaS),利用RDP来实现完全控制。它通过Trik僵尸网络和RIG漏洞利用工具包传播。(Ilascu,Nemty勒索软件通过RIG漏洞利用工具包传播,2019年)进入系统后,为加密文件添加扩展名“.Nemty”,下令恢复数据。(Ilascu,Nemty勒索软件通过RIG漏洞利用工具包传播,2019年)(GoldSparrow,Nemty勒索软件,2020年)Nemty背后黑手据信与GandCrab和Sodinokibi勒索软件家族有关。(Ilascu,Nemty勒索软件通过RIG漏洞利用工具包传播,2019年)
感染途径:Nemty通过RDP连接进行传播,攻击者因此能够获得进程的完全控制权。根据最新发现,Nemty通过伪造的PayPal网站和网络钓鱼邮件传播(GoldSparrow,Nemty勒索软件,2020年)(Ilascu,Nemty勒索软件通过RIG漏洞利用工具包传播,2019年)(Paganini,2020年)
加密手段:RSA-2048、RSA-8192、AES-128和AES-256结合使用(GoldSparrow,Nemty勒索软件,2020年)
可用解密程序:有针对某些变种的解密程序(“No MoreRansom”项目,2019年)
目标行业:未知
目标国家:中国、韩国、美国
更多IOC,见附录6.7。
>>>>
2.1.8 MegaCortex
概述:MegaCortex于2019年5月发现,是一款利用木马、被盗凭证和/或社会工程通过网络安装的定向勒索软件。(Abrams,FBI发布LockerGoga和MegaCortex勒索软件预警,2019年)2019年底,MalwareHunterTeam发现了新的变种。(Abrams,新Megacortex勒索软件更改Windows密码并威胁公开数据,2019年)攻陷网络后,攻击者会下载Cobalt Strike,部署信标、打开MeterMeter反向Shell(Reverse Shell)、提升权限或创建新会话以便在系统上开发侦听器,(Abrams,FBI发布LockerGoga和MegaCortex勒索软件预警,2019年)(Kim,2019年)然后,开始加密受害者的文件,更改他们的Windows密码,要求他们支付赎金,否则便公布所有窃取的数据。(Barth,2019年)
感染途径:在最初版本中,MegaCortex利用Emotet木马通过网络进行安装,再使用漏洞利用工具包或活动目录控制器推送到计算机上。在新版本中,安装过程包括漏洞利用、网络钓鱼攻击、结构化查询语言(SQL)注入和/或窃取登录凭据。
加密手段:AES-128(趋势科技,2019年)
可用解密程序:无公开解密程序
目标行业:大型企业网络(Abrams,FBI发布LockerGoga和MegaCortex勒索软件预警,2019年)
目标国家:美国、意大利、英国、挪威、加拿大、荷兰、爱尔兰、法国(Abrams,FBI发布LockerGoga和MegaCortex勒索软件预警,2019年)
更多IOC,见附录6.8。
>>>>
2.1.9 Maze
概述:Maze勒索软件因其使用的一种加密方法也被称为ChaCha勒索软件。它公开发动了多次勒索攻击,因而广为人知。相关攻击于2019年5月首次发现,到2019年10月,攻击开始更具侵略性,多管齐下,采取加密、转移和勒索三步走的方式。(Abrams,Maze勒索软件根据计算机类型决定赎金数额,2019年)已知的Maze感染方法是通过网络钓鱼邮件、盗用品牌或高仿域名冒充合法的政府机构或安全厂商。(Walter,Maze勒索软件最新消息:勒索、暴露受害者,2020年)进入系统后,Maze会扫描所有文件夹,为找到的文件分配随机生成的扩展名,加密除自身和扩展名为.ini的文件之外的所有文件。此外,勒索软件会删除机器上文件的卷影副本(Shadow Copy),更改壁纸,随后创建一个名为“DECRYPT-FILES.html”的勒索消息,其中包含作者的邮件,具体说明如何支付赎金以解密文件。(Abrams,Maze勒索软件根据计算机类型决定赎金数额,2019年)(恶意软件指南,2020年)。Maze广为人知的一点是,如果受害者没有及时支付赎金,就通过“点名羞辱”(Name and Shame)网站公开披露受害者数据。
感染途径:Maze使用针对CVE-2018-15982、CVE-2018-8174和/或CVE-2018-4878漏洞的Spelevo和Fallout漏洞利用工具包,诱使受害者执行PowerShell脚本和/或下载、部署勒索软件。(Meskauskas,2019年)
加密手段:RSA-2048和ChaCha20加密机制结合使用(Abrams,Maze勒索软件根据计算机类型决定赎金数额,2019年)
可用解密程序:无公开解密程序
目标行业:医疗、制造业、企业和信息技术(IT)服务(NCFTA,2019年)
目标国家:北美、欧洲
更多IOC,见附录6.9。
>>>>
2.1.10 Sodinokibi
概述:Sodinokibi(又称REvil)是一种勒索软件即服务(RaaS),于2019年4月发现。Sodinokibi会加密受害者的数据并删除所有卷影副本备份,让恢复变得异常困难。(Cadieux等人,2019年)勒索软件的幕后黑手声称,他们被禁止在独联体地区(包括乌克兰、俄罗斯、白俄罗斯和摩尔多瓦)做生意。Sodinokibi和GandCrab已被认定由同一作者开发。据悉,赎金支付记录高达600万美元。攻击者们会在羞辱网站上发布未支付赎金的受害者信息。(Hall,2020年)
感染途径/方法:Sodinokibi利用服务器和托管服务提供商(MSP)的漏洞,通过RDP控制网络并远程发起攻击。较新的变种使用网络钓鱼邮件以及各种木马和漏洞工具包(如RIG漏洞利用工具包和Ostap木马)来感染系统。(Fakterman,2019年)
加密手段:AES和Salsa20结合使用(Tiwari和Koshelev,2019年)
可用解密程序:无公开解密程序
目标行业:医疗和政府机构(Balaban,2020年)
目标国家:亚洲、欧洲
更多IOC,见附录6.10。
2.2重点勒索软件行为
就行为而言,这些最新形式的勒索软件与之前版本类似,但也根据网络安全形势进行了改动。勒索软件近年来有两个最显著的行为变化:一是转移受害者的数据,另一个是勒索软件即服务(RaaS)。
>>>>
2.2.1 公布转移数据
许多组织在遭遇勒索软件攻击时会使用数据备份来恢复其系统。有了数据备份,组织就不需要找勒索软件作者获取解密程序,可以避免支付赎金。而勒索软件的作者希望获取赎金,因此转而转移数据,要求组织支付费用,否则便删除(而不是公布)数据。
Nemty、MegaCortex、Maze和Sodinokibi都会威胁公布受害者数据。这一策略不同于过去的策略,之前是通过加密受害者的数据就能够获得付款。如果公布被盗数据确实提升了支付概率,可能的原因是,相较于丢失私有数据,用户更看重的是避免数据公开。第一个数据被转移并公开的受害者是一家名为AlliedUniversal的安全人员配备公司,在他们拒绝支付300比特币(约230万美元)后,Maze勒索软件公布了该公司数据。(艾布拉姆斯,Maze勒索软件攻破AlliedUniversal后窃取并泄露其数据,2019年)
>>>>
2.2.2 勒索软件即服务
有些勒索软件,如Sodinokibi和Nemty,已开始采用勒索软件即服务(RaaS)的商业模式。(迈克菲实验室,2019年)(Mundo和Lopez,2020年)RaaS模式是指勒索软件开发人员将勒索软件和一个易操作的平台出售给成员组织,执行攻击活动。这种模式降低了勒索软件开发人员的风险,因为他们只是为他人提供攻击平台,而不是亲自发动勒索软件攻击。这项服务还降低了攻击组织发动攻击的成本,因为他们可以使用经过验证的现成勒索软件。RaaS还置更多的组织于危险中,因为攻击组织不再需要定制勒索软件就能发动攻击。对于勒索软件开发人员来说,RaaS的利润率甚至可媲美直接支付赎金,因为在大多数情况下,开发人员和成员组织会按比例分配赎金,且勒索软件攻击更为普遍。图1展示了使用RaaS平台进行攻击的流程。此流程包含以下步骤:
1. 勒索软件作者开发自定义攻击代码,然后授权给勒索软件成员组织使用,收取使用费或分享攻击收益。
2. 成员组织使用自定义攻击代码并用此代码更新托管站点。
3. 勒索软件成员组织确定感染媒介,对其发动攻击,将攻击代码发送给受害者(例如,通过恶意电子邮件)。
4. 受害者点击链接或进入网站。
5. 下载勒索软件并在受害者的电脑上执行。
6. 勒索软件加密受害者的文件,发现网络上的其他目标,修改系统配置以建立持久性,中断或破坏数据备份并掩盖其踪迹。
7. 指示受害者用无法追踪的资金(通常是加密货币)支付赎金。
8. 洗钱者通过多次变身来转移资金,以掩盖勒索软件成员组织和作者的身份。
9. 勒索软件成员组织可能会在收到支付赎金后向受害者发送解密程序,可能对受害者提出额外要求,还可能啥也不做,给受害者留下一堆的加密文件。
图1:“勒索软件即服务”工作流[1]
2.2勒索软件组织的收益和攻击目标
一般情况下,勒索软件归为犯罪软件。大部分勒索软件攻击仍是投机行为,试图攻击最容易下手的目标,以期获得最高收益。不过,一些勒索软件正逐渐变得更具针对性。事实证明,对于运营商来说,勒索软件是个一本万利的买卖。勒索软件的收入来源主要有两种:(1)直接的支付赎金;(2)RaaS服务费和利润分享。对于第一种情况,赎金金额从数百至数千美元不等。
在2020年RSA大会上,联邦调查局(FBI)特工Joel DeCapua作了勒索软件报告,介绍了比特币钱包跟踪情况,称勒索软件受害人自2013年至2019年支付了1.4亿美元赎金。(Spadafora,2020年)当前,Ryuk是最吸金的勒索软件家族,持续开展攻击活动,已产生6126万美元收益。(Spadafora,2020年)
勒索软件长期对医疗、政府和教育部门发起攻击,已成功获得赎金。勒索软件之所以选择这些部门是因为它们对其系统存在关键需求。Emsisoft在2019年的勒索软件统计表明,这些勒索软件攻击波及: 764个医疗提供商
- 113个州级和市级政府和机构
- 89所大学、学院和学区,对多达1233所学校造成了潜在影响(Emsisoft恶意软件实验室,2019年)
这些攻击不仅在防御方面需要高昂成本,而且还会中断紧急服务,使警察和医务人员无法访问内部系统,导致监测系统下线,使学校无法访问学生的医疗或过敏症状数据
移动设备作为另一攻击目标也不容忽视。尽管该市场可能规模较小、利润较低且未做深入研究,但已发现几种勒索软件对移动设备下手,加密了其中的文件,要求支付赎金恢复这些文件。该问题短期可能一直存在,对缺乏云存储完整备份的设备的影响尤其大。
勒索软件是个全球问题。光是MegaCortex就攻击过美国、意大利、英国、挪威、加拿大、荷兰、爱尔兰和法国。(Abrams,FBI发布LockerGoga和MegaCortex勒索软件预警,2019年)据称,2019年全球勒索软件感染量为50万,2020年该数量预计会上升。(Muncaster,2020年)不过,勒索软件也是个区域性问题,在某些地区,就不会发动攻击。Nemty、Sodinokibi和Maze勒索软件不会攻击独联体地区。
原文链接:
https://resources.sei.cmu.edu/library/asset-view.cfm?assetid=645032
关于小蜜蜂翻译组公益译文项目
小蜜蜂翻译组公益译文项目,旨在分享国外先进网络安全理念、规划、框架、技术标准与实践,将网络安全战略性文档翻译为中文,为网络安全从业人员提供参考,促进国内安全组织在相关方面的思考和交流。
内容编辑:翻译组蒋红梅 责任编辑:王星凯
