2019年勒索軟件：針對市政部門的全面攻擊

2019 年 12 月 30 日
筆記

人們對安全的意識正在增強，回顧過去三年，勒索軟件在惡意軟件總數中所佔的比例從2.8％上升到3.5％。勒索軟件在受惡意軟件攻擊所有用戶中的比例一直在波動，2019年上半年為2.94％，而兩年前為3.53％。

大約90萬至近120萬受勒索軟件攻擊的用戶。

有許多極其複雜的加密樣本，但背後機制非常簡單：將受害者計算機上的文件轉換為加密數據，並要求贖金換取解密密鑰。

2019年，勒索軟件有了新目標：市政府。討論最廣泛的事件是巴爾的摩，它受到大規模的勒索軟件運動，導致大量城市服務癱瘓，並需要數千萬美元來恢復該城市的網絡。

根據公開統計數據和公告，2019年至少有174個市政組織受到了勒索軟件的攻擊。與一年相比增加了大約60％。贖金在5,000美元至5,000,000美元之間，平均大約為1,032,460美元。但差異很大，例如小城鎮學區勒索的資金比從大城市市政廳勒索的資金小20倍。

根據分析師估計，攻擊造成的實際損失通常與犯罪分子要求的數額有所不同。首先，保險公司為一些市政機構和供應商提供了針對網絡事件的保險，這可以以另一種方式補償成本。其次，可以通過及時的事件響應來消除攻擊。最後，並非所有城市都支付了贖金：在巴爾的摩加密案中，官員拒絕支付贖金，該市最終花費了1800萬美元來恢復其IT基礎設施。雖然這筆錢比犯罪分子要求的114,000美元要多得多，但支付贖金是一種短期解決方案，會鼓勵攻擊者繼續其惡意行為。一旦城市的IT基礎設施遭到破壞，需要進行審核和徹底的事件調查，以防止再次發生類似的事件，還要實施強大的安全解決方案，這會帶來額外的成本。

一般來說，可以通過兩個入口點來攻擊市政當局：社會工程和未更新軟件的漏洞。在用戶設備上最經常被阻止的勒索軟件排名中，所有時間段內都處於領先地位的是WannaCry。微軟為其Windows操作系統發佈了一個補丁程序，該補丁程序在攻擊開始前幾個月就已關閉了相關漏洞，但WannaCry仍然影響了全球數十萬台設備。在2019年第三季度收集的最新統計數據表明，WannaCry結束兩年半後，所有用戶中有五分之一受到了WannaCry的攻擊。從2017年到2019年中的統計數據表明，WannaCry一直是最受歡迎的惡意軟件樣本之一，占該時期內勒索軟件攻擊的27％。

另一種情況是，犯罪分子利用人為因素：企業組織對員工進行的培訓遠未達到應有的普遍水平。許多行業由於員工的錯誤而損失了巨額資金，包含惡意軟件安裝程序的網絡釣魚和垃圾郵件仍在網絡上流傳併到達受害者手中。這些受害者可能正在管理公司的帳戶和財務時打開詐騙郵件，下載PDF文件導致網絡受到攻擊。

在整個2019年遭受攻擊的眾多類型的市政組織中，有些組織受到的攻擊要多於其他組織。最具針對性的是教育組織，約佔所有攻擊的61％：2019年，105個學區受到攻擊，530所學校成為目標。同時，市政廳和市政中心約佔案件總數的29％。另一個受歡迎的目標是醫院，占所有攻擊的7％。此外，遭受攻擊的所有機構中約有2％是市政公用事業服務機構或其分包商。服務提供商經常被用作整個設備和組織網絡的入口，攻擊者成功攻擊服務提供商的情況下，會攻擊供應商或機構服務的每個地點。公用事業服務的中斷會導致重要的常規服務中斷，例如居民在線支付服務。

下面是針對市政組織攻擊中一直活躍的惡意軟件。

Ryuk

Ryuk勒索軟件（檢測名稱：Trojan-Ransom.Win32.Hermez），它攻擊大型組織以及政府和市政網絡。該惡意軟件首次出現在2018年下半年，並且在整個2019年一直在變異和傳播。

在世界各地都可以看到Ryuk。

傳播方式

Ryuk採用了多階段計劃傳播勒索軟件。

初始階段通過Emotet bot（檢測名稱：Trojan-Banker.Win32.Emotet）感染大量計算機。通常通過發送包含帶有惡意宏文檔的垃圾郵件實現，如果受害者允許執行宏，則該惡意宏將下載bot。

在感染的第二階段，Emotet將收到來自其服務器的命令，下載並安裝另一種惡意軟件Trickbot（判定為Trojan.Win32.Trickster）到受感染的系統中。攻擊者可利用該惡意軟件在受感染的網絡中進行偵察。如果犯罪分子發現他們已滲透到受害者內部，例如大型市政網絡或公司，他們會繼續進行感染的第三階段，將Ryuk勒索軟件部署到受影響網絡中的許多節點。

技術簡介

Ryuk自創建以來一直在發展，存在32位和64位版本，加密方案有時也因樣本不同而不同。

下面將描述2019年10月下旬發現的最新樣本（MD5：fe8f2f9ad6789c6dba3d1aa2d3a8e404）。

1）文件加密

Ryuk使用混合加密方案，該方案使用AES算法對受害者文件的內容進行加密，使用RSA算法對AES密鑰進行加密。Ryuk使用Microsoft CryptoAPI實現加密。

該木馬樣本包含攻擊者嵌入的2048位RSA密鑰。Ryuk將為每個受害文件生成一個唯一256位AES密鑰，該密鑰將用於加密文件內容。AES密鑰由RSA加密，並保存在加密文件的末尾。

Ryuk加密本地驅動器和網絡共享。加密的文件將獲得一個附加擴展名（.RYK）。

2）附加功能

為了對網絡造成更大的破壞，Ryuk變種使用了新的技巧；Trojan嘗試喚醒處於睡眠狀態的其他計算機。

Ryuk這樣做是為了最大程度地擴大攻擊面：位於睡眠PC上的網絡共享上文件不可訪問，但如果木馬設法喚醒它們，就可以對這些文件進行加密。Ryuk從受感染系統的本地ARP緩存中檢索附近機器的MAC地址，並將以{0xff，0xff，0xff，0xff，0xff，0xff}開頭的廣播UDP數據包發送到端口7喚醒目標計算機。

Ryuk算法在勒索軟件中較為傳統的其他功能包括：將代碼注入合法進程中以避免檢測；嘗試終止與被加密應用程序相關的過程，使這些程序使用的文件可被修改；試圖停止與業務應用程序和安全解決方案相關的各種服務。

Purga

這個勒索軟件系列出現在2016年中期，且仍在積極地開發和向世界各地傳播。該惡意軟件的特徵之一是，它攻擊常規用戶以及大型公司甚至政府組織。該惡意軟件檢測為Trojan-Ransom.Win32.Purga。

傳播方式

該惡意軟件使用了各種類型的傳播方式。主要的攻擊手段是垃圾郵件和RDP暴力攻擊。

常見的攻擊情形：

1、犯罪分子掃描網絡以查找開放的RDP端口 2、嘗試暴力破解憑據以登錄到目標計算機 3、成功登錄後，犯罪分子會嘗試各種漏洞來提升權限 4、犯罪分子啟動勒索軟件

技術簡介

Purga勒索軟件在過去的兩年中改變了幾種加密算法，密鑰生成功能，密碼方案等，簡要介紹最新的修改。

1）命名方案：

Purga會為每個文件使用不同的擴展名，使用不同的電子郵件地址進行聯繫。儘管對加密文件使用了各種擴展名，但該木馬僅使用兩種命名方案，具體取決於其配置：

[original file name].[original extension].[new extension]：

[encrypted file name].[new extension]：

文件加密

木馬結合了對稱和非對稱算法的標準方案。使用隨機生成的對稱密鑰對每個文件進行加密，然後使用非對稱密鑰對對稱密鑰進行加密，並將結果存儲在專門構建的結構中。

Stop

Stop勒索軟件（也稱為Djvu STOP）於2018年底出現，檢測名稱是Trojan-Ransom.Win32.Stop，根據統計數據，在2019年Stop勒索軟件攻擊了全球2萬多名受害者。根據2019年第三季度報告，Stop勒索軟件在最常見的勒索軟件中排名第七。

傳播方式

攻擊者主要通過軟件安裝程序來傳播其惡意軟件。當用戶從不受信任的站點下載特定軟件或嘗試使用軟件破解程序時，他們的計算機會受到勒索軟件的感染。

技術簡介

勒索軟件使用隨機生成的Salsa20密鑰，然後使用RSA密鑰對其進行加密。

根據C＆C服務器的狀態，勒索軟件會使用在線或離線RSA密鑰。離線RSA密鑰可以在每個惡意樣本的配置中找到。

總結與建議

2019年是勒索軟件對市政當局進行攻擊的一年，這種趨勢會在2020年繼續。針對市政當局的攻擊次數不斷增加的原因有多種。

首先，市政當局的網絡安全預算通常更側重於保險和應急響應，而不是主動防禦。其次，市政部門通常是由多個組織組成的網絡，對它們的打擊會同時在多個層次上造成中斷，從而使整個地區的流程都陷入停頓。此外，存儲在市政網絡中的數據通常對於日常服務的運行至關重要，它直接關係到公民和地方組織的利益。

簡單的預防措施可以幫助對抗惡意軟件攻擊：

1、必須儘快安裝安全更新。大多數網絡攻擊利用已報告的漏洞，因此安裝最新的安全更新可降低受到攻擊的可能性。 2、通過VPN保護對公司網絡的遠程訪問，並為域帳戶使用安全密碼。 3、始終更新操作系統以消除最近的漏洞，並對更新的數據庫使用可靠的安全解決方案。 4、始終保留文件的新備份副本，以便在丟失時可以替換它們，並將它們不僅存儲在物理介質上，而且還存儲在雲中，以提高可靠性。

*參考來源：securelist，由Kriston編譯，轉載請註明來自FreeBuf.COM