近五年的重大勒索软件攻击事件盘点

  • 2020 年 1 月 20 日
  • 筆記

恶意软件已存在多年。1991年,一位生物学家曾通过邮件向其他艾滋病研究人员传播PC Cyborg,这便是有史以来的第一个勒索软件。

在00年左右,Archiveus则是第一个使用加密的勒索软件,虽然它早已被攻克,但现在仍旧能在网上搜到它的光辉战绩。到了10年,网络中出现了一系列“警察”勒索软件包,因为这些软件自称是执法部门用来警告犯法者并要求支付罚款的;并且开始使用匿名支付来避免暴露自身。

近些年来,随着加密货币的兴起,勒索软件又出现了新的趋势:使用加密货币作为网络犯罪分子的资金流动渠道。因为加密货币具备匿名且无法追踪的特点,几乎成了为网络犯罪分子量身定做的产品。而加密货币中,又以比特币为甚,因其价格的波动性充满了吸引力。

经过多年的发展,勒索软件已经成为与国际阴谋、间谍等事件同量级的问题。本文就将对近五年来发生过最大的几次勒索软件攻击事件作出盘点。

一、TeslaCrypt

最初被当作CryptLocker的一个变种出现,后来便被单独命名为TeslaCrypt。该软件的行为很有特点:它的主要针对目标是视频游戏的相关辅助文件,例如游戏存档、各种可下载的内容以及地图文件等。这些内容对于游戏玩家来说是不可或缺的,并且多数也会存储在本地计算机中,大大增加了勒索软件的成功率。

截止2016年,TeslaCrypt在勒索软件攻击中占据了48%的比例。

除此之外,该软件还有一个神奇的点在于,2016年初,它还在全世界范围内肆虐,如果没有软件使用者的帮助,想要恢复文件基本是不可能的,但到了年中时段,TeslaCrypt创建者便对外宣称已经结束了所有的恶意活动,并主动提供了解密密钥。可以说是匪夷所思了~

二、SimpleLocker

随着移动端设备日益发达,越来越多的数据开始存储在移动设备,其具备的价值也越来越高,勒索软件也开始将侧重点逐渐转移到了移动设备上。

其中,Android是攻击者首选的平台,在2015年底至2016年初,Android设备在移动端被恶意软件感染的概率飙升了近四倍。彼时移动端的防护手段还多以“阻止”为主,仅仅通过阻止用户访问UI的部分内容显然是不够的。到了2015年末,一种名为SimpleLocker的“激进派”恶意软件开始广泛传播,这也是出现在Android系统中的第一次以文件加密使用户无法访问的方式进行勒索的攻击事件,以当时的安全防御手段,可以说是束手无策。虽然说该软件出生于东欧,但多数受害者却位于美国地区。

好消息是,虽然该软件的感染率在不断增加,但相对于总数,这个数量并不庞大——截至2016年底受感染人数也不过15万人,这对Andriod庞大的用户群体来说不过是九牛一毛。多数用户试图通过从Google Play官方商店下载应用程序以避免被恶意软件感染,但随着官方不断爆出安全问题,针对勒索软件的防范仍旧难以避免。SimpleLocker至今还是一个潜在的威胁。

三、WannaCry

2017年中,两起勒索软件攻击事件在全球蔓延,攻击直接导致了乌克兰的一家医院和加州广播电台关闭,也使得世界第一次正视勒索软件攻击的严重性。

其中一起便是威震四海的WannaCry。研究人员表示这“可能是史上最严重的一次勒索软件攻击”。

是年5月12日,WannaCry出现在欧洲网络中,仅仅四天之后,便在全球116个国家及地区中检测到了超过250000起恶意事件。但WannaCry真正的影响远超这个数字。ReliaQuest首席技术官Joe Partlow指出,这是“第一次通过利用NSA泄露的工具发动的黑客攻击行为。因为多数系统的445端口处于开放状态,因此其利用微软的一个SMB协议漏洞便可以实现勒索。”虽然微软早已发布了针对该漏洞的补丁,但仍然有很多没有安装补丁的用户。

由于WannaCry并不需要与用户发生任何互动,因此也通过该漏洞在不断传播,时至今日,安全领域仍旧不敢对其掉以轻心。

四、NotPetya

如果说WannaCry开启了网络攻击新时代,那么NotPetya的存在便是对这一点的最好证明。

Petya是一个勒索软件包,起源可以追溯到2016年,在WannaCry爆发几周之后,它也不甘寂寞的出现了一个新版本,并且同样使用了WannaCry的EtrnalBlue软件包。并且由于该软件的发展历程早已超出其起源,因此研究人员将其称为NotPetya。人们猜测它实际上根本就不是勒索软件,而是俄罗斯对乌克兰发动网络攻击的伪装。

无论是哪一种,该软件的出现也都让人们明白了一个道理。RedLock的首席执行官Varun Badhwar表示,从WannaCry开始,恶意软件便呈现出了不可阻挡的趋势。在网络世界中,不论是恶意软件漏洞还是工具都极易传播,并且使用者也可以从犯罪分子覆盖到平头百姓再到国家、政府部门等。NotPetya如此迅速的传播证明了全世界仍然有很多组织并没有重视网络安全,WannaCry便是前车之鉴。

五、SamSam

使用SamSam的攻击最早出现在2015年,在随后的几年内开始被频繁使用,并且获得了一系列亮眼的“战绩”,例如科罗拉多交通局、亚特兰大市的众多医疗机构等等。

SamSam的特别之处在于:它不会像普通勒索软件一样寻找某些特定的漏洞,而是将勒索软件作为一项服务,通过探测来搜索并选择可利用的目标,随后利用漏洞来进行下一步操作。一旦该软件进入系统,攻击者便会立即进行提权,并开始进行加密攻击。

尽管多数安全研究人员认为SamSam起源于欧洲,但其攻击多数针对的却是美国地区用户。2018年底,美国司法部起诉两名伊朗人,称其是该软件袭击事件的幕后黑手;起诉书表示,此二人通过勒索软件造成了超过3000万美元的损失。

六、Ryuk

Ryuk是另一个勒索软件的变种,在2018和2019年广受欢迎。该软件以专门攻击“对设备停机时间容忍度较低”的组织闻名,比如报社、北卡罗来纳水务公司等等。其中,洛杉矶时报曾对自己遭到攻击进行了描述:

“Ryuk的一个非常狡猾的点在于,它可以在被感染计算机上禁用Windows自带的系统还原选项,这使得受害者除了支付赎金以外的选项进一步减少。他们往往会索要巨额赎金,这个额度还会与被攻击者的价值而浮动。而且这些丧心病狂的人并不会在意任何攻击的时间,哪怕是圣诞节这种日子。”

分析专家表示,Ryuk源代码主要来源于Hermes,后者是朝鲜著名黑客组织Lazarus的产品。但这并不能表明朝鲜就是攻击的始作俑者。McAfee认为,Ryuk的构建代码来自基于俄语的供应商,这么认为的原因是该勒索软件无法在语言设置为俄语、乌克兰语或白俄罗斯语的计算机上运行。

提名:CryptoLocker

在这里我们还要提起一位“特别嘉宾”——CryptoLocker,因为该软件在我们的统计时间之外。CryptoLocker于2013年现世,它的出现正式开启了大规模勒索软件的时代。

CryptoLocker通过邮件附件来传播,使用RSA公钥来加密用户文件,并向用户索取赎金。Avast的战略总监Jonathan Penn指出,仅在2013年底至2014年初,就有超过500000台计算机被CryptoLocker感染。

作为一款勒索软件,CryptoLocker算是比较原始的,并最终被Operation Tovar(一个白帽活动,它击溃了控制CryptoLocker的僵尸网络,并在此过程中发现了该软件用于加密文件的私钥)击败。但正如研究人员所说,CryptoLocker的出现,开启了加密勒索的大门,有很多后续的勒索软件都是基于CryptoLocker编写的,例如CryptoWall(该软件在2015年的勒索软件中感染比例高达50%)。并且这些“子孙”也为犯罪分子带来了约300万美元的收益。

时代更迭

尽管勒索软件的存在是十足的威胁,但在2018-2019年,勒索软件出现的频率已经开始了大幅下降:2017年,勒索软件影响了全球约48%的企业、组织机构,到了2018年这个比例仅为4%。

造成这个现象的原因有几种:

1.勒索软件的攻击越来越多的开始针对特定目标进行定制化攻击,例如SamSam和Ryuk。2017年48%的数字听起来可能令人震惊,但其中包括了很多仅仅是收到钓鱼邮件的目标,这些实际上的威胁非常小。虽然有针对性的攻击影响范围变小了,但成功率却比以往要高得多。 2.勒索软件是一种非常“引人注目”的攻击,其要求受害者采取一系列积极的措施来实现自身的收益。例如,受害者需要搞清楚什么是比特币、怎么用比特币(毕竟还存在那么多电脑小白),然后再评估他们是否愿意支付赎金或是是否会采取其他补救措施。

事实证明,如果攻击者的目标是通过渗透其他人的计算机系统来获取比特币,那么就可以采取加密攻击的方式。加密劫持多年来一直遵循一样的套路:在计算机主人不知情的情况下取得计算机控制权,并将其变为挖矿设备,在后台进行加密货币的挖掘。巧合的是,2018年以来,勒索软件攻击大幅下降,而加密劫持的比例却增加了480%。

*参考来源:csoonline,Karunesh91编译