导读

《2020年上半年勒索病毒疫情分析报告》分为前言、上半年勒索病毒攻击事件、勒索病毒攻击态势、典型勒索病毒疫情分析、病毒发展趋势分析、安全建议等六大版块阐述。

报告内容涵盖勒索病毒感染趋势、病毒家族分布、病毒传播方式、赎金要求、攻击地域分布、受感染系统分布、受害者所属行业分布、威胁处置情况、病毒发展趋势,以及相应的安全建议等方面。

0前言

2020年上半年每月均监测到有新增勒索病毒。其中Phobos、GlobeImposter、CrySiS、Sodinokibi、STOP等五大勒索病毒家族占比较高;WannaRen、BalaClava等新型勒索病毒攻势凶猛;EKANS和Snake等勒索病毒出现新变种。勒索病毒普遍索要赎金较高,影响范围广,已涉及医疗、政府、能源、贸易等不同行业。新型勒索病毒可能逐步将目标转向云服务器提供商或运营商,对企业及云上数据进行加密勒索。

面对勒索病毒成为攻击热门手段,工业和信息化部网络安全威胁信息共享平台(以下简称“平台”)将重点联合云服务商等电信运营企业加强云端病毒监测与防护,协同基础电信企业对恶意程序传播端、控制端进行有效封堵,建议企业或个人用户提高风险防范意识,做好基础安全防护工作的同时加强数据存储备份和应急恢复能力,避免勒索病毒给工作和生活造成严重影响或重大损失。

0上半年勒索病毒攻击事件

勒索病毒产业链在不断革新技能和规模化商业运作,持续在世界范围内产生严重危害。据平台合作企业监测数据统计,梳理2020年上半年全球勒索的一些大事件可以看到,2020年上半年勒索病毒依旧十分活跃。

图1 上半年勒索病毒攻击大事件

0上半年勒索病毒攻击态势

2020年上半年,监测到大量针对普通网民和政企部门的勒索病毒攻击。从攻击情况来看,勒索病毒攻击依然是当前国内计算机面临的最大安全威胁之一。在企业安全层面,勒索病毒威胁也已深入人心,成为企业最为担忧的安全问题。

3.1 勒索病毒家族分布

据平台合作企业监测数据统计,2020年上半年,Phobos、GlobeImposter、CrySiS、Sodinokibi、STOP等五大勒索病毒家族占比较高,牢牢统治着勒索病毒的半壁江山。

统计2020年上半年勒索病毒家族占比情况,其中排在首位的是Phobos,占比20.38%。其次是GlobeImposter,占比20.03%,然后是占比11.47%的Crysis。勒索病毒家族占比TOP10如图2为所示。

图2 2020年上半年勒索病毒家族占比情况

3.2 勒索病毒攻击地域分布

从勒索病毒攻击的地区分布看,广东、浙江、山东、河南、上海最为严重,其它省份也有遭受到不同程度攻击。勒索病毒攻击的地区分布如图3所示。

图3 勒索病毒攻击的地区分布

3.3 勒索病毒传播方式

从排名前三的病毒家族的传播方式来看,安全性较差的远程桌面协议(RDP)访问点仍然是最常见的攻击媒介。在暗网市场上,只需20美元即可购买到企业IP地址的RDP凭证。结合廉价的勒索软件套件,对具有开放RDP的计算机进行攻击的成本在经济上太有利可图,以致犯罪分子无法抗拒。

另外,传统的勒索病毒,一般通过垃圾邮件、钓鱼邮件、水坑网站等方式传播,受害者需要下载运行勒索病毒才会中毒。而通过漏洞和弱口令扫描互联网中的计算机,直接植入病毒并运行,效率要高很多。

3.4 勒索病毒赎金要求

近年来,勒索病毒犯罪组织意识到使用广撒网式战术并不能为其带来更多的投资回报,因此他们开始逐渐采用复杂的针对性交付技术和机制,并发起针对性极强的大型狩猎活动。大型企业虽然被攻击的次数较少,但是一旦被攻击,所需交付的金额往往较大,从而大大拉高了平均勒索赎金。在2020年上半年,排名靠前的勒索病毒攻击次数减少,但要求的赎金大大增加。根据Coveware的数据显示,与2019年相比,2020年第二季度的赎金要求增加了3倍。

3.5 受感染系统分布

据平台合作企业监测数据统计,从被感染的系统来看,Windows10、Windows7和Windows Server 2008仍然是感染占比较多的系统,其中Windows10占比37%居于首位,和2019年上半年被勒索病毒感染的系统中占比最高(46.7%)的Windows 7系统相比,今年Windows10系统被感染的占比有所增加。

图4 受感染系统占比

从被感染的系统中以桌面系统和服务器系统区分,桌面系统占比76%居于首位,明显高于服务器系统占比。细分系统占比情况如图5所示。

图5 细分系统占比

3.6 受害者所属行业分布

从勒索病毒影响的行业看,传统行业、教育、医疗、政府机构遭受攻击最为严重,互联网、金融、能源也遭到勒索病毒攻击影响。COVID-19的流行迫使一些学校、企业远程访问开放,而配置不当的远程服务导致教育行业和企业的攻击增多。2020年上半年勒索病毒影响的行业分布情况如图6所示。

图6 勒索病毒影响的行业分布

0典型勒索病毒疫情分析

4.1 新型勒索病毒“WannaRen”凶猛突袭

2020年4月,网络上出现了一种名为“WannaRen”的新型勒索病毒开始传播,大部分杀毒软件无法拦截。与此前的“WannaCry”的行为类似,加密Windows系统中几乎所有文件,后缀为.WannaRen,赎金为0.05个比特币。

该病毒存在两个变体,区别仅为通过文字或图片发送勒索信息,语言为繁体中文,比特币地址相同,基本可确定作者为同一人。据贴吧和360社区反馈的消息来看,感染过程中360等杀毒软件未报毒,第一时间手动查杀后电脑依然被感染。有反馈称系统安装了微软“永恒之蓝”补丁后仍会被感染。此外,根据知乎专栏作者Arision.Y更新的消息,此病毒并非利用永恒之蓝漏洞,大部分杀毒软件无法拦截。

4月9日,一名火绒用户以解密为由,通过邮件尝试联系“WannaRen”勒索病毒作者获取更多信息。该作者在要求火绒用户支付比特币作为赎金未果后,竟主动提供病毒解密钥匙,并要求该火绒用户将密钥转发给火绒团队,制作“相应解密程序”。从上述邮件可以看出,该病毒作者在使用英语进行交流后,又使用了中文进行沟通,再加上火绒此前披露该病毒使用易语言编写的情况来看,极有可能为国人所为。至此,随着事件发酵,各媒体、安全厂商进行了大量的曝光和溯源调查,该病毒作者提供的比特币钱包未收到任何赎金,而该作者也已经停止下发、传播“WannaRen”勒索病毒。

4.2 BalaClava勒索病毒家族尽显惊人破坏力

从2020年4月底到5月,出现了一大批被BalaClava勒索病毒感染的受害者。该勒索病毒家族变种主要有KEY0001、KEY0003、KEY0004、KEY0005,而其所采用的感染途径,也是较为常见的投毒手段——暴力破解远程桌面口令成功后再进行手动投毒。

通常勒索病毒在进行密钥加密时会采用RSA加密算法,而BalaClava则采用了NTRU加密算法来进行密钥加密的操作。

4.3 Ekans/Snake勒索病毒出现新变种

Ekans/Snake勒索病毒是在2020年初开始流行的,一开始影响不是很大。但在2020年6月8号,EKANS/Snake出现了新的变种,该变种导致了日本汽车巨头——本田全球运营受到该病毒攻击而停摆。该病毒最大的特点是可以攻击工控系统(ICS),从而导致企业生产受到影响。Snake勒索团伙针对本田集团的事件中发现攻击团伙在病毒代码中硬编码了本田集团相关的系统名、公网IP、域名信息等,这意味着此次勒索攻击行动蓄谋已久。

据悉,Snake是一种新的勒索软件,往往针对企业来进行攻击,使用Golang编写,被加密文件末尾在追加EKANS,反过来就是SNAKE。最重要的是,该病毒不支持解密,意味着被攻击者只能缴纳赎金,才能恢复文件。

4.4 Avaddon勒索病毒家族

Avaddon勒索病毒出现于2020年6月上旬,病毒早期版本加密文件完成后会添加avdn扩展后缀,随后病毒加密文件扩展变更为随机字串。加密文件完成后留下名为”随机-readme.html”的勒索信文档。该病毒出道即以大量的垃圾邮件传播,同时与Phorpiex僵尸网络合作,导致其一度感染量上升。和众多勒索病毒一样,Avaddon也采用RaaS模式,并在6月3号的时候在暗网开始公开售卖。而就在一天后的6月4号,就已经出现野外传播。

0勒索病毒发展趋势分析

2020年勒索病毒攻击比往年来的更猛烈,各种不同的勒索病毒组织也加大了这方面的投入,同时一些新的勒索病毒组织也加了进来,包括HackedSecret、DoppelPaymer、WannaRen、Makop等,导致勒索越来越频繁。了解勒索病毒发展趋势并作出相关预测,对如何更有效针对勒索病毒的入侵也起到了必不可少的预防作用。

5.1 利用漏洞和弱口令植入勒索增多

传统的勒索病毒,一般通过垃圾邮件、钓鱼邮件、水坑网站等方式传播,受害者需要下载运行勒索病毒才会中毒。而通过利用漏洞和扫描弱口令,控制互联网中的计算机,直接植入病毒并运行,效率要高很多,使得利用漏洞和弱口令植入勒索的事件逐渐增加。

5.2 攻击者入侵后人工投毒增多

攻击者通过弱口令或者漏洞,入侵一台可以访问互联网的计算机后,远程操作这台机器,攻击局域网中的其它机器,这些机器虽然没有连接互联网,但是和被攻击的机器相连,因此攻击者可以通过这台机器攻击局域网的其它机器。所以内外网隔离非常重要,否则再坚固的堡垒,一旦从内部遭受到攻击,就会损失惨重。

攻击者一旦远程登陆一台机器,就会通过工具手工关闭杀毒软件,植入并运行勒索病毒,并继续扫描攻击局域网中的其它机器。此外由于局域网中大量机器使用弱口令和相同密码,给攻击者提供了便利,因此及时更新补丁非常重要。

5.3 公布数据进行勒索增加

高财商的Maze迷宫勒索病毒组织,才出道一年就已经成为其他勒索组织(包括Clop、Nemty、Nefilim、Ragnarlocker、Sekhmet、Snatch、DopplelPaymer、Sodinokibi等)的效仿对象,先利用恶意软件盗取企业的数据,再投放勒索病毒进行加密勒索。

Maze组织还创建了一个面向公众的网站,如果受害者拒绝交赎金,他们就会将受害者的数据全部公之于众。而Maze组织也说到做到,已公布了包括律师事务所、医疗服务提供商、保险公司等数十家公司的详细信息。

5.4 数据泄露威胁持续增加

前面说到的先利用恶意软件盗取企业的数据,再投放勒索病毒进行加密勒索做法的Maze组织,开创了勒索攻击新模式,极大的模糊了勒索软件加密勒索赎金与企业数据泄露之间的界限。就算企业有心准备了周密的备份数据,但根本无力阻止黑客威胁公开数据的行径,只能无奈认缴赎金。

随着越来越多的威胁参与者团体试图提高其攻击的转换率,数据泄露威胁将在2020年下半年持续增加。

5.5 定向攻击方式增多

相对于广撒网方式,定向攻击植入勒索病毒的事件逐渐增多。今年受疫情的影响,攻击者一般会选择更有勒索价值的目标进行定向攻击,包括医院、学校、防护不足的中小企业等,这些企业通常防护不足,数据非常重要,如学生数据、患者医疗数据等,一旦此类资料被加密,受害者支付赎金的可能性就会更高,所以攻击者会有针对性的定向攻击。

5.6 商业合作趋势

例如6月5日,一家国际建筑公司的信息和文件被发布到Maze的数据披露网站上。但是,这些数据却并非在Maze勒索软件攻击中被盗,而是来自另一个名为LockBit的勒索软件攻击。之后Maze组织公开表示他们正在与LockBit合作,允许该组织在Maze的“新闻网站”上共享受害者数据。

紧接着不久,Maze组织再次添加了另一个竞争的勒索软件组织Ragnar Locker的受害者数据,Maze网站上的帖子引用的是“Maze联盟—由Ragnar提供”。诸多证据表明,Maze组织正在将各路“散兵游勇”拉上自己的战车,以合作资源共享的方式酝酿更大的阴谋。

0安全建议

虽然许多组织已经通过实施防病毒软件和其他基于签名的解决方案来保护他们的系统,但是这些方法对高级勒索软件攻击是不够的,这些攻击旨在逃避传统方法的检测。企事业单位需要实施多层次的安全措施,以应对现代勒索软件的挑战,来有效保护自身网络。现梳理以下六点安全防护建议:

一、及时修复系统漏洞,做好日常安全运维;二、采用高强度密码,杜绝弱口令,增加勒索病毒入侵难度;三定期备份重要资料,建议使用单独的文件服务器对备份文件进行隔离存储;四、加强安全配置提高安全基线,例如关闭不必要的文件共享,关闭3389、445、139、135等不用的高危端口等;五、提高员工安全意识,不要点击来源不明的邮件,不要从不明网站下载软件;六、选择技术能力强的杀毒软件,以便在勒索病毒攻击愈演愈烈的情况下免受伤害。

0参考资料

1.《腾讯安全发布2020上半年勒索病毒报告》-腾讯安全威胁情报中心

https://mp.weixin.qq.com/s/qu_9QWBM79LlxJ76uzs_gw

2.《回顾WannaRen勒索病毒一生:从传播到解密享年6天》-火绒安全

https://www.huorong.cn/info/1586519906455.html

3.《EKANS/Snake勒索病毒出现新变种》-CSDN博客网

https://blog.csdn.net/gdlwx/article/details/106683647

联合出品

中国信息通信研究院

上海观安信息技术股份有限公司

深信服科技股份有限公司

声明:本文来自网络安全威胁信息共享平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。