勒索软件是利用勒索病毒进行网络攻击的恶意软件,能够通过锁定设备或加密文件来阻止用户正常访问,并以此勒索钱财。2019年,尽管全球勒索病毒的总量有所下降,但是有组织有目的针对企业的勒索病毒攻击越来越多,给全球造成了巨大的经济损失,勒索软件仍然是网络安全最大的威胁,成为作案范围最广、造成经济损失最严重的网络犯罪形式。

一、2019年大型勒索攻击事件回顾

1月,新型勒索软件Anatova在全球肆虐,其伪装成应用程序或游戏,诱骗用户下载并启动,美国及比利时、德国、法国、英国等欧洲国家相继出现感染事件;爱尔兰都柏林有轨电车运营商LUAS的网站Luas.ie因遭遇勒索网络攻击而被迫离线;美国德克萨斯州的德尔里奥市政厅服务器因感染勒索软件被迫离线,进而导致电子政务平台停止运行、市政厅工作人员不得不重新使用纸和笔来进行办公。

2月,澳大利亚墨尔本一家医院心脏病门诊的病人档案被黑客“加密”勒索,涉及约15000名患者。

3月,全球最大的铝生产商挪威海德鲁公司(Norsk Hydro)在美国和欧洲的业务受到严重的勒索软件攻击,致公司被迫关闭几条自动化生产线,造成约4100万美元损失;美国乔治亚州杰克逊县电脑遭到勒索软件攻击,致政府活动陷入了瘫痪,政府被迫向网络罪犯支付40万美元以换取文件解密密钥;俄罗斯50多家大型企业遭到勒索攻击,攻击者试图通过Shade/Troldesh加密器来感染公司的基础设施,进而加密用户设备上的文件。

4月,欧洲最大的制造企业之一Aebi Sschmidt公司系统遭勒索软件攻击,致该公司整个国际网络的系统崩溃,其中受到破坏最严重的是瑞士总部,公司的电子邮件服务器也受到了严重影响;美国克利夫兰霍普金斯国际机场遭勒索软件攻击,与机场电子邮件、工资单和数字记录系统相关的电脑均造成影响,机场周围大多数的数字标牌无法显示信息。

5月,美国佛罗里达州两个城市的计算机系统遭勒索软件攻击,城市的全部线上市政业务都被破坏,包括公用事业支付系统和电子邮件;美国巴尔的摩市政府网络遭勒索攻击,造成超过1800万美元损失;英国网络安全公司Sophos报告称,新型勒索软件MegaCortex的攻击激增,目标针对的是大型企业网络。

6月,世界最大飞机零件供应商比利时ASCO公司遭勒索软件攻击,致公司IT系统瘫痪,公司在四个国家的工厂停止生产,上千名员工暂停工作;英国最大的法医服务提供商Eurofins Scientific公司感染勒索软件,影响了警方的司法工作,公司被迫支付赎金。

7月,美国路易斯安那州三个学区遭到勒索软件攻击,该州州长宣布该州进入紧急状态,这是该州历史上第一次由于网络攻击而非自然灾害造成的紧急状态;美国乔治亚州公共安全部遭受勒索软件攻击,部门系统后端遭感染,该机构被迫关闭季所有的IT系统,大量警车车载电脑受影响。

8月,美国德克萨斯州23家政府机构遭受勒索软件攻击。

9月,全球第二大听力集团丹麦Demant遭勒索软件攻击,集团听力批发业务受到严重影响,直接损失达700万美元。

10月,德国知名自动化工具生产商皮尔兹公司遭受勒索软件攻击,该公司在全球范围内的所有服务器、PC工作站、通信系统均受到影响;加拿大最大的社区诊断中心LifeLabs系统遭黑客破坏,超过1500万客户信息被窃取,最后被迫向黑客支付赎金;南非约翰内斯堡市遭勒索软件攻击,市政网络被迫关闭;马来西亚邮政局遭勒索攻击,内部系统和部分在线服务瘫痪;全球运输和邮寄服务公司必能宝(Pitney Bowes)遭勒索软件攻击,公司部分系统被加密,影响了客户对某些服务的访问;美国阿拉巴马州的十家医院和澳大利亚的七家医院受到了勒索攻击,部分医疗服务提供商被迫完全关闭或关闭其某些系统。

11月,专门为牙科诊所提供IT服务的美国科罗拉多州公司 CTS 遭受了勒索软件攻击,影响了100多所牙科诊所的运营;加拿大努纳武特州政府系统遭遇勒索软件破坏,所有需要访问电子信息的政府服务都受到了影响。

12月,美国新奥尔良市遭勒索病毒感染的网络攻击,政府网站处于离线状态,该城市的其他服务器也已关闭;美国新泽西州最大的医院Hackensack Meridian Health宣布,勒索软件攻击中断了其网络,IT人员决定通过支付勒索金来解密文件。

二、勒索攻击频繁主要原因

(一)攻击利润丰厚可观。与可以在网络潜伏几个月的APT攻击不同,勒索软件的效果更加直接且具有侵犯性。勒索软件对攻击者的金钱、资源或技术复杂性成本需求不多,因而政府、企业越来越关心勒索软件导致的经济损失、业务宕机时间等影响。当受害者数据非常重要又没有备份的情况下,除了支付赎金没有什么别的方法去恢复数据,正是因为这点勒索者能源源不断的获取高额收益,助推勒索软件的爆发增长。2019年6月,GandCrab勒索病毒运营团队宣称在一年半的时间内获利20亿美元。根据网络安全公司Crowdstrike发布2019年全球安全态度调查报告数据显露,在全球局限内,受到供给链冲击后向黑客妥协支出赎金的组织总数已从14%增进到了39%,较去年同期增加一倍。

(二)加密使攻击易于得逞。勒索软件的发展历经最初以欺骗为主、发展到仅锁住用户设备索要赎金,到今天流行的、更恶毒的以加密用户数据为手段勒索赎金的形式。新型勒索软件都采用成熟的密码学算法,使用高强度的对称和非对称加密算法对文件进行加密。除非在实现上有漏洞或密钥泄密,不然在没有私钥的情况下是几乎没有可能解密。勒索软件带来的问题是,如果它足够复杂,任何安全专家都不能阻止企业或个人遭受攻击,如果重要的系统或文件被加密,则必须支付赎金才可以使用户访问文件。

(三)勒索攻击发起成本低。勒索软件可以发送到成千上万的计算机系统,而不会给犯罪者带来任何实际成本。只要有一小部分受害目标支付赎金,那么犯罪分子将获得相当大的数额。此外,与勒索软件的生产和分配相关的风险很小。只要系统和用户容易受到攻击,网络犯罪分子就会继续分发勒索软件。德勤会计师事务所最新报告发现,网络犯罪的成本低到令人难以置信,其中每个勒索软件和远程访问木马攻击仅约1000 美元。德勤估算,甚至低至每月仅 34 美元的低端网络攻击都可带来 2.5 万美元的回报,耗费数千美元的高端攻击可获得高至每月 100 万美元的回报;以勒索软件为例,即便支付率仅 0.05%,投资回报率也能达到 500% 以上。

(四)门槛低且易于传播。勒索软件服务化为开发者提供了整套勒索软件的解决方案,从勒索软件的开发、传播到赎金的收取都提供完整的服务。攻击者不需要任何知识,只要支付少量的租金及可租赁他们的服务就可以开展勒索软件的非法勾当。这大大降低了勒索软件的门槛,推动了勒索软件大规模爆发。勒索软件的传播手段与常见的木马非常相似,主要包括:一是网页挂马;二是邮件传播;三是利用漏洞植入;四是弱密码暴力破解(RDP);五是供应链感染;六是勒索软件创建服务(RaaS)。

五)攻击范围及目标广泛。在被发现的新型勒索软件中,大多数为更危险的“加密勒索软件”,这类恶意软件可以通过强效加密锁定受害目标的文件。为了能够获取最大的利润,攻击者通常不区分受害者对象。个人电脑用户、移动设备用户以及政府机构等人群和机构都可能成为勒索软件的受害人。由于企业拥有更多的有价值数据和更多金钱可供勒索,因此已经成为勒索软件攻击的主要目标。数据显示,2017年至2018年间,勒索软件攻击的数量有所下降,但针对企业的攻击却呈上升趋势,表明黑客会为了财富继续推动勒索软件攻击。

三、勒索攻击的技术特点

(一)以劫持数据为主要手段。勒索软件是以加密电脑和移动设备中用户文件为目的的恶意软件。用户一旦感染,用户设备中的各类文件将会被加密无法使用,用户必须按照恶意软体的指示缴纳赎金才有可能解密文件。目前,勒索软件主要分为两大类型:锁定型勒索软件和加密型勒索软件。锁定型勒索软件的目的在于锁定受害者的设备屏幕,只有当受害者支付赎金后,才能够解锁使用,用户可通过一些安全手段夺回设备的处理权;加密型勒索软件在入侵电脑后,会寻找特定的文件格式进行加密,并告知用户文档已全部被加密,需要支付赎金进行解密,否则文档将被删除。

(二)加密程度不断提高。自2017年WannaCry以来,勒索软件随着SimpleLocker、NotPetya、SamSam和LockerGoga等更新版本的出现而迅速发展。然而,勒索软件的核心仍然是相同的。它们通过钓鱼邮件或类似的策略进入端点系统,安装恶意软件,获取加密代码,并加密整个网络系统上的数据,然后要求受害者支付赎金来解密数据。勒索软件都采用成熟的密码学算法,使用高强度的对称和非对称加密算法对文件进行加密。当受害者数据非常重要又没有备份的情况下,除了支付赎金没有什么别的方法去恢复数据。2019年新出现的勒索软件Anatova进入用户系统后,用crypto API创建RSA密钥对,对所有字符串进行加密,然后生成随机密钥对目标系统进行加密,最后完成安装赎金软件的整个过程。

(三)具备躲避安全检测能力。勒索软件的技术已发展到具有绕过安全防御的机制。勒索软件Snatch从2018年的夏季开始一直活跃至今,软件制作者正在使用一种前所未有的技巧来绕过防病毒软件的检测,最终成功将受害者的计算机加密。这种全新的攻击方式就在于将受感染的计算机重新启动到安全模式,然后进行文件加密。攻击者使用合法的渗透测试工具包来获取所需权限,并成功利用Windows注册表使计算机开启安全模式,紧接着运行Snatch勒索软件,便不会被防病毒软件检测到,并且不会停止其加密过程,在此期间将不会有任何警报。Anatova拥有快速变形的能力,添加了新的躲避技术和传播机制,它伪装成应用程序或游戏,诱骗用户下载并启动。

(四)电子支付手段追踪困难。早期的勒索软件采用传统的邮寄方式接收赎金,会要求受害者向指定的邮箱邮寄一定数量的赎金。也有勒索软件要求受害者向指定银行账号汇款和向指定号码发送可以产生高额费用的短信。比特币等虚拟货币支付形式的出现为勒索软件提供了更为隐蔽的赎金获取方式。目前几乎所有勒索软件支付赎金的手段都是采用比特币支付的形式来进行的。比特币的特点是匿名、变现快、追踪困难,因而被攻击者大量使用。比特币为勒索软件解决了赎金问题,加速了勒索软件的泛滥。

四、勒索攻击未来展望

(一)勒索攻击将依然是主流网络犯罪形式。未来,勒索软件继续在全球大量扩散。只要系统和用户容易受到攻击,网络犯罪分子就会继续分发勒索软件。每次目标被勒索软件成功击中,都会继续助长网络勒索攻击。根据《Verizon 2019年数据泄露调查报告》显示,以勒索钱财为目的的攻击远多于网络间谍,且两者间的差距不断加大,以勒索钱财为目的的攻击目前占68%。国际互联网协会下设的在线信任联盟2019年发布《2018年网络安全事件和数据泄露趋势报告》显示,2018年有超过200万起网络安全事件,最主要的攻击类型是密码劫持(130万)和勒索软件(50万),其次是数据泄露(6万)、物联网攻击(至少6万个受感染的网站)和商业电子邮件泄露(2万)。根据Check Point发布的2019年中网络攻击趋势报告,针对性勒索软件攻击在2019年上半年不断成为头条,包括当地政府实体、云服务商、工业企业以及机场都成为勒索软件攻击的潜在目标。

(二)勒索攻击将更具针对性和破坏力。最新数据显示,2018年超过80%的勒索软件感染都是针对企业的,因为大型企业比随机受害者或消费者更有能力支付大额赎金。GandCrab等网络犯罪组织在企业网络内部署勒索软件,深度和广度远超以往,索要赎金数额特别巨大。这是勒索软件部署方式的进化,表明网络罪犯已经意识到以破坏性方式对大企业下手能赚得更多。网络安全公司Check Point称,2019年,勒索软件攻击已经更加针对特定企业,地方政府和医疗机构,攻击者花时间了解受害者,“以确保他们能够造成最大的破坏”,并获得更高的赎金。美国网络安全公司Proofpoint发布的《Proofpoint2019年第一季度威胁报告》称,威胁行为者现在正在使用勒索软件针对高价值的关键资产进行有针对性的攻击,而不再采取广撒网的方式攻击成千上万的低价值收件人。简而言之,对于勒索软件攻击活动,威胁行为者现在更加重视目标质量,而不再盲目追求数量。对大型企业和组织机构发起的“少而精”的攻击是数据劫持的新行为模式。

(三)物联网将会成为勒索软件攻击的新目标。目前,世界各国都在积极部署5G网络,构建5G生态系统以支撑物联网向更多领域渗透发展,以迎接物联网强劲的发展势头。更多的物联网设备,意味着更多的风险。安全专家预测称,针对物联网设备的勒索软件将比传统的勒索软件更具破坏性。在传统的勒索攻击中,黑客会加密受害者设备上的文件,以勒索赎金。而在针对物联网设备的勒索软件攻击中,黑客不仅可加密设备上储存的文件,还可完全接管设备或其内部网络。在接管设备后,黑客可以造成诸如联网车辆被操控、电源被切断、敏感信息被泄露,乃至生产线停止运行等破坏性后果。

(四)针对制造业的勒索病毒攻击将呈现增势。工业主机“裸奔”、无法更新补丁、杀毒软件无法兼容更新、漏洞百出,是工业企业的老大难问题。自2017年“永恒之蓝”爆发后,勒索病毒导致工业企业停产已经不是个案。这充分说明了工业企业的安全脆弱性,同时也验证了数字化转型过程中的工业企业网络安全设计和建设的缺失,工业企业已成为网络黑客的重点攻击目标。2019年以来,已发生多起针对制造业的勒索病毒攻击事件,涉及多国知名化工、食品、汽车制造企业,直接造成了系统瘫痪、生产停滞、运营中断等严重后果。未来,随着制造业企业价值密度增大、网络依赖性提升,将愈发成为勒索者的“理想目标”。

(五)勒索软件传播媒介将更趋多样化。勒索病毒主要通过钓鱼邮件、网络共享文件和移动存储介质等进行传播。随着威胁行为者不断对其攻击媒介进行改进,通过电子邮件传播的勒索软件攻击数量正在逐步减少。数据显示,在2016年,“勒索软件”是通过电子邮件发送的最流行的恶意软件之一,但到了2019年第一季度,勒索软件只占通过电子邮件帐户发送的所有恶意负载的百分之一。现在勒索病毒更多利用了高危漏洞、鱼叉式攻击,或水坑攻击等非常专业的黑客攻击方式传播,乃至通过软件供应链传播,都大大提高了入侵成功率和病毒影响面。

(六)勒索攻击可能成为国家网络攻击的掩盖形式。当前,勒索攻击造成的威胁仍然非常严峻,但与国家背景网络攻击造成的威胁更具破坏性。兰德公司发布研究文章称,在许多方面,国家之间的网络战已经在进行之中,缺乏既定的国际规范意味着许多网络攻击都落入了低于全面战争门槛的“灰色地带”。国家背景的网络攻击者可能会利用勒索软件来掩盖更高层次的网络攻击痕迹,从而让防御者相信数据丢失的原因是由于勒索软件的随机攻击。2017年,台湾远东国际银行被勒索软件Hermes变体攻击,但攻击者并没有发布赎金通知,而英国BAE公司则将攻击归咎于与朝鲜有关的黑客组织Lazarus。2017年,日本多家公司受到ONI勒索软件的攻击,该攻击的目的是通过删除Windows事件日志来掩盖一场精心策划的黑客行动,避免防御者通过日志发现他们的行动。(赵慧杰

声明:本文来自网络空间安全军民融合创新中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。