近五年的重大勒索軟件攻擊事件盤點

2020 年 1 月 20 日
筆記

惡意軟件已存在多年。1991年，一位生物學家曾通過郵件向其他艾滋病研究人員傳播PC Cyborg，這便是有史以來的第一個勒索軟件。

在00年左右，Archiveus則是第一個使用加密的勒索軟件，雖然它早已被攻克，但現在仍舊能在網上搜到它的光輝戰績。到了10年，網絡中出現了一系列「警察」勒索軟件包，因為這些軟件自稱是執法部門用來警告犯法者並要求支付罰款的；並且開始使用匿名支付來避免暴露自身。

近些年來，隨着加密貨幣的興起，勒索軟件又出現了新的趨勢：使用加密貨幣作為網絡犯罪分子的資金流動渠道。因為加密貨幣具備匿名且無法追蹤的特點，幾乎成了為網絡犯罪分子量身定做的產品。而加密貨幣中，又以比特幣為甚，因其價格的波動性充滿了吸引力。

經過多年的發展，勒索軟件已經成為與國際陰謀、間諜等事件同量級的問題。本文就將對近五年來發生過最大的幾次勒索軟件攻擊事件作出盤點。

一、TeslaCrypt

最初被當作CryptLocker的一個變種出現，後來便被單獨命名為TeslaCrypt。該軟件的行為很有特點：它的主要針對目標是視頻遊戲的相關輔助文件，例如遊戲存檔、各種可下載的內容以及地圖文件等。這些內容對於遊戲玩家來說是不可或缺的，並且多數也會存儲在本地計算機中，大大增加了勒索軟件的成功率。

截止2016年，TeslaCrypt在勒索軟件攻擊中佔據了48%的比例。

除此之外，該軟件還有一個神奇的點在於，2016年初，它還在全世界範圍內肆虐，如果沒有軟件使用者的幫助，想要恢復文件基本是不可能的，但到了年中時段，TeslaCrypt創建者便對外宣稱已經結束了所有的惡意活動，並主動提供了解密密鑰。可以說是匪夷所思了～

二、SimpleLocker

隨着移動端設備日益發達，越來越多的數據開始存儲在移動設備，其具備的價值也越來越高，勒索軟件也開始將側重點逐漸轉移到了移動設備上。

其中，Android是攻擊者首選的平台，在2015年底至2016年初，Android設備在移動端被惡意軟件感染的概率飆升了近四倍。彼時移動端的防護手段還多以「阻止」為主，僅僅通過阻止用戶訪問UI的部分內容顯然是不夠的。到了2015年末，一種名為SimpleLocker的「激進派」惡意軟件開始廣泛傳播，這也是出現在Android系統中的第一次以文件加密使用戶無法訪問的方式進行勒索的攻擊事件，以當時的安全防禦手段，可以說是束手無策。雖然說該軟件出生於東歐，但多數受害者卻位於美國地區。

好消息是，雖然該軟件的感染率在不斷增加，但相對於總數，這個數量並不龐大——截至2016年底受感染人數也不過15萬人，這對Andriod龐大的用戶群體來說不過是九牛一毛。多數用戶試圖通過從Google Play官方商店下載應用程序以避免被惡意軟件感染，但隨着官方不斷爆出安全問題，針對勒索軟件的防範仍舊難以避免。SimpleLocker至今還是一個潛在的威脅。

三、WannaCry

2017年中，兩起勒索軟件攻擊事件在全球蔓延，攻擊直接導致了烏克蘭的一家醫院和加州廣播電台關閉，也使得世界第一次正視勒索軟件攻擊的嚴重性。

其中一起便是威震四海的WannaCry。研究人員表示這「可能是史上最嚴重的一次勒索軟件攻擊」。

是年5月12日，WannaCry出現在歐洲網絡中，僅僅四天之後，便在全球116個國家及地區中檢測到了超過250000起惡意事件。但WannaCry真正的影響遠超這個數字。ReliaQuest首席技術官Joe Partlow指出，這是「第一次通過利用NSA泄露的工具發動的黑客攻擊行為。因為多數系統的445端口處於開放狀態，因此其利用微軟的一個SMB協議漏洞便可以實現勒索。」雖然微軟早已發佈了針對該漏洞的補丁，但仍然有很多沒有安裝補丁的用戶。

由於WannaCry並不需要與用戶發生任何互動，因此也通過該漏洞在不斷傳播，時至今日，安全領域仍舊不敢對其掉以輕心。

四、NotPetya

如果說WannaCry開啟了網絡攻擊新時代，那麼NotPetya的存在便是對這一點的最好證明。

Petya是一個勒索軟件包，起源可以追溯到2016年，在WannaCry爆發幾周之後，它也不甘寂寞的出現了一個新版本，並且同樣使用了WannaCry的EtrnalBlue軟件包。並且由於該軟件的發展歷程早已超出其起源，因此研究人員將其稱為NotPetya。人們猜測它實際上根本就不是勒索軟件，而是俄羅斯對烏克蘭發動網絡攻擊的偽裝。

無論是哪一種，該軟件的出現也都讓人們明白了一個道理。RedLock的首席執行官Varun Badhwar表示，從WannaCry開始，惡意軟件便呈現出了不可阻擋的趨勢。在網絡世界中，不論是惡意軟件漏洞還是工具都極易傳播，並且使用者也可以從犯罪分子覆蓋到平頭百姓再到國家、政府部門等。NotPetya如此迅速的傳播證明了全世界仍然有很多組織並沒有重視網絡安全，WannaCry便是前車之鑒。

五、SamSam

使用SamSam的攻擊最早出現在2015年，在隨後的幾年內開始被頻繁使用，並且獲得了一系列亮眼的「戰績」，例如科羅拉多交通局、亞特蘭大市的眾多醫療機構等等。

SamSam的特別之處在於：它不會像普通勒索軟件一樣尋找某些特定的漏洞，而是將勒索軟件作為一項服務，通過探測來搜索並選擇可利用的目標，隨後利用漏洞來進行下一步操作。一旦該軟件進入系統，攻擊者便會立即進行提權，並開始進行加密攻擊。

儘管多數安全研究人員認為SamSam起源於歐洲，但其攻擊多數針對的卻是美國地區用戶。2018年底，美國司法部起訴兩名伊朗人，稱其是該軟件襲擊事件的幕後黑手；起訴書表示，此二人通過勒索軟件造成了超過3000萬美元的損失。

六、Ryuk

Ryuk是另一個勒索軟件的變種，在2018和2019年廣受歡迎。該軟件以專門攻擊「對設備停機時間容忍度較低」的組織聞名，比如報社、北卡羅來納水務公司等等。其中，洛杉磯時報曾對自己遭到攻擊進行了描述：

「Ryuk的一個非常狡猾的點在於，它可以在被感染計算機上禁用Windows自帶的系統還原選項，這使得受害者除了支付贖金以外的選項進一步減少。他們往往會索要巨額贖金，這個額度還會與被攻擊者的價值而浮動。而且這些喪心病狂的人並不會在意任何攻擊的時間，哪怕是聖誕節這種日子。」

分析專家表示，Ryuk源代碼主要來源於Hermes，後者是朝鮮著名黑客組織Lazarus的產品。但這並不能表明朝鮮就是攻擊的始作俑者。McAfee認為，Ryuk的構建代碼來自基於俄語的供應商，這麼認為的原因是該勒索軟件無法在語言設置為俄語、烏克蘭語或白俄羅斯語的計算機上運行。

提名：CryptoLocker

在這裡我們還要提起一位「特別嘉賓」——CryptoLocker，因為該軟件在我們的統計時間之外。CryptoLocker於2013年現世，它的出現正式開啟了大規模勒索軟件的時代。

CryptoLocker通過郵件附件來傳播，使用RSA公鑰來加密用戶文件，並向用戶索取贖金。Avast的戰略總監Jonathan Penn指出，僅在2013年底至2014年初，就有超過500000台計算機被CryptoLocker感染。

作為一款勒索軟件，CryptoLocker算是比較原始的，並最終被Operation Tovar（一個白帽活動，它擊潰了控制CryptoLocker的殭屍網絡，並在此過程中發現了該軟件用於加密文件的私鑰）擊敗。但正如研究人員所說，CryptoLocker的出現，開啟了加密勒索的大門，有很多後續的勒索軟件都是基於CryptoLocker編寫的，例如CryptoWall（該軟件在2015年的勒索軟件中感染比例高達50%）。並且這些「子孫」也為犯罪分子帶來了約300萬美元的收益。

時代更迭

儘管勒索軟件的存在是十足的威脅，但在2018-2019年，勒索軟件出現的頻率已經開始了大幅下降：2017年，勒索軟件影響了全球約48%的企業、組織機構，到了2018年這個比例僅為4%。

造成這個現象的原因有幾種：

1.勒索軟件的攻擊越來越多的開始針對特定目標進行定製化攻擊，例如SamSam和Ryuk。2017年48%的數字聽起來可能令人震驚，但其中包括了很多僅僅是收到釣魚郵件的目標，這些實際上的威脅非常小。雖然有針對性的攻擊影響範圍變小了，但成功率卻比以往要高得多。 2.勒索軟件是一種非常「引人注目」的攻擊，其要求受害者採取一系列積極的措施來實現自身的收益。例如，受害者需要搞清楚什麼是比特幣、怎麼用比特幣（畢竟還存在那麼多電腦小白），然後再評估他們是否願意支付贖金或是是否會採取其他補救措施。

事實證明，如果攻擊者的目標是通過滲透其他人的計算機系統來獲取比特幣，那麼就可以採取加密攻擊的方式。加密劫持多年來一直遵循一樣的套路：在計算機主人不知情的情況下取得計算機控制權，並將其變為挖礦設備，在後台進行加密貨幣的挖掘。巧合的是，2018年以來，勒索軟件攻擊大幅下降，而加密劫持的比例卻增加了480%。

*參考來源：csoonline，Karunesh91編譯