隨著云和大數(shù)據(jù)時(shí)代的到來(lái),,再加上今年全球疫情對(duì)經(jīng)濟(jì)的影響,,各行各業(yè)紛紛投入數(shù)字化轉(zhuǎn)型,,全球的互聯(lián)網(wǎng)上擁有了海量的信息財(cái)富,致使2020年的勒索病毒攻擊比以往都來(lái)得更猛了些,。
近日,,PCI安全標(biāo)準(zhǔn)委員會(huì)(PCI SSC)和ATM行業(yè)協(xié)會(huì)(ATMIA)發(fā)布了聯(lián)合公告,警告針對(duì)ATM機(jī)(提款)威脅日益嚴(yán)峻,,需要引起全球金融機(jī)構(gòu)的緊急密切關(guān)注,。ATM自動(dòng)柜員機(jī)提款攻擊是精心設(shè)計(jì)的攻擊,在這種攻擊中,犯罪分子會(huì)破壞銀行或支付卡處理器,,并操縱欺詐檢測(cè)控件并更改客戶賬戶,,在短時(shí)間內(nèi)從眾多自動(dòng)提款機(jī)中提取資金且沒(méi)有金額限制。犯罪分子經(jīng)常通過(guò)篡改余額和取款限額的手法“把ATM當(dāng)成提款機(jī)”,,將ATM機(jī)里的現(xiàn)金洗劫一空,。另有勒索軟件襲擊了醫(yī)療軟件公司eResearchTechnology(ERT),該公司為全球制藥公司提供進(jìn)行臨床試驗(yàn)(包括COVID-19疫苗試驗(yàn))的工具,,因而對(duì)包括施貴寶,、阿斯利康、輝瑞和強(qiáng)生等公司進(jìn)行的多個(gè)新冠研究項(xiàng)目造成潛在影響,。據(jù)報(bào)道,,由于研究人員被迫改用筆和紙來(lái)跟蹤患者數(shù)據(jù),過(guò)去兩周對(duì)ERT公司的網(wǎng)絡(luò)攻擊使這些試驗(yàn)的速度減慢了,。
勒索病毒強(qiáng)勢(shì)來(lái)襲 新變種層出不窮
亞信安全監(jiān)測(cè)發(fā)現(xiàn),,GlobeImposter、WannaRen,、Sodinokibi勒索病毒在鎖住目標(biāo)主機(jī)的系統(tǒng)或是文件,,以勒索贖金的同時(shí),躲避安全軟件的封鎖,,其全新的變種都已頻繁出現(xiàn),。
以 GlobeImposter勒索病毒為例,該勒索病毒首次出現(xiàn)于 2017 年,,并在接下來(lái)的三年中演化了數(shù)個(gè)版本,,催生了“十二主神”、“十二生肖”系列等多個(gè)知名變種,。今年上半年,GlobeImposter 勒索病毒攜 C4H 強(qiáng)勢(shì)來(lái)襲,,黑客在入侵企業(yè)內(nèi)網(wǎng)之后,,會(huì)利用RDP/SMB暴力破解以及多種方法以求獲取登錄憑證,以在內(nèi)網(wǎng)橫向滲透?jìng)鞑?。一旦攻擊成功,,該病毒?huì)加密系統(tǒng)中的文件,添加擴(kuò)展名,。C4H,,繼而在電腦屏幕中提示勒索信息。
由于比特幣等數(shù)字貨幣的價(jià)格在今年上半年再度上漲,,挖礦病毒也開(kāi)始活躍起來(lái),。其中,利用“新冠病毒”郵件傳播的LemonDuck挖礦病毒尤為值得關(guān)注,該病毒會(huì)偽裝成“新冠病毒”相關(guān)郵件,,給受感染主機(jī)的聯(lián)系人發(fā)送電子郵件,,利用好奇心誘導(dǎo)收件人點(diǎn)擊攜帶了挖礦病毒的郵件附件。此外,,臭名昭著的“黑球”攻擊也在上半年持續(xù),,該病毒同樣會(huì)偽裝成為“新冠病毒”相關(guān)郵件,在感染之后會(huì)首先試圖結(jié)束殺毒軟件進(jìn)程,,繼而執(zhí)行挖礦程序,。
(圖片來(lái)源于網(wǎng)絡(luò))
勒索病毒傳播至今,360互聯(lián)網(wǎng)安全中心已累計(jì)接受到上萬(wàn)勒索病毒感染求助,。勒索病毒的蔓延,,給企業(yè)和個(gè)人都帶來(lái)了嚴(yán)重的安全威脅。360安全大腦針對(duì)勒索病毒進(jìn)行了全方位的監(jiān)控與防御,。
感染數(shù)據(jù)分析
分析某月勒索病毒家族占比:GlobeImposter家族占比23.62%居首位,;其次是占比21.79%的phobos;Crysis家族以占比15.37%位居第三,。Avaddon勒索病毒于6月4日開(kāi)始傳播,,很快便已經(jīng)進(jìn)入了本月的勒索病毒家族Top 10榜單中。
(圖片來(lái)源于網(wǎng)絡(luò))
綜合近年來(lái)世界各地發(fā)生的勒索事件以及以上病毒變種信息,,勒索病毒主要有如下的發(fā)展趨勢(shì):
對(duì)企業(yè)進(jìn)行精準(zhǔn)打擊,,攻擊頻繁并且不擇手段
勒索病毒攻擊格外針對(duì)云服務(wù)器運(yùn)用商提供商以及相關(guān)坐云上數(shù)據(jù)保護(hù)的公司。他們對(duì)云上的數(shù)據(jù)進(jìn)行加密勒索,,攻擊者逐漸采用復(fù)雜的針對(duì)性交付技術(shù)和機(jī)制,,發(fā)起針對(duì)性極強(qiáng)的大型狩獵活動(dòng)。
勒索病毒的攻擊不擇手段,,從一開(kāi)始單純索要贖金到不給贖金就公開(kāi)機(jī)密數(shù)據(jù),。已知主流的幾款勒索病毒都已開(kāi)始通過(guò)公布企業(yè)數(shù)據(jù)逼迫企業(yè)支付贖金,同時(shí)各種新型的竊密木馬會(huì)隨著勒索病毒一起下發(fā),,竊取企業(yè)數(shù)據(jù),。
勒索團(tuán)隊(duì)全球化,不再局限某單一國(guó)家成員且逐漸產(chǎn)業(yè)化發(fā)展
勒索病毒就是“低成本,,高收入”的典型,,開(kāi)發(fā)門(mén)檻低且收益巨大,導(dǎo)致了勒索及服務(wù)RaaS產(chǎn)業(yè)的誕生,。而為了確保利益最大化,,各種新老黑客組織逐漸開(kāi)始相互合作。國(guó)外一些主流的勒索病毒運(yùn)營(yíng)團(tuán)隊(duì)19年年底就開(kāi)始在國(guó)內(nèi)尋找勒索病毒分銷(xiāo)運(yùn)營(yíng)商,,通過(guò)暗網(wǎng)與國(guó)外運(yùn)營(yíng)商進(jìn)行合作,,進(jìn)行勒索病毒的分發(fā)傳播,,牟取暴利。
技術(shù)不斷升級(jí)迭代,,平臺(tái)多元化,,場(chǎng)景多樣化
經(jīng)過(guò)長(zhǎng)期的演變,勒索病毒技術(shù)上不斷進(jìn)化,,勒索的平臺(tái)開(kāi)始多元化,,勒索場(chǎng)景多樣化。攻擊者在加密流程的細(xì)節(jié)上進(jìn)行優(yōu)化,。從早期的單線程文件加密,,升級(jí)到針對(duì)每個(gè)磁盤(pán)分區(qū)進(jìn)行多線程加密;從單一的x86可執(zhí)行病毒版本到增加x64可執(zhí)行版本,;利用高危漏洞進(jìn)行內(nèi)核提權(quán),,或使用壓縮打包的方式進(jìn)行提權(quán)來(lái)加密更多文件等等。
目前勒索病毒常見(jiàn)于Windows系統(tǒng),,大部分Linux平臺(tái)勒索病毒大多數(shù)使用GO語(yǔ)言進(jìn)行開(kāi)發(fā),,考慮到Linux以及MAC OS系統(tǒng)的屬性,不排除后續(xù)蔓延到其他系統(tǒng)的可能,。勒索場(chǎng)景從最簡(jiǎn)單粗暴的垃圾郵件,,到利用漏洞傳播、水坑攻擊乃至軟件供應(yīng)鏈傳播,,攻擊方式的多樣化也進(jìn)一步證明了勒索產(chǎn)業(yè)的日漸強(qiáng)大,。
從當(dāng)前勒索病毒事件的發(fā)生趨勢(shì)來(lái)看,基本沒(méi)有什么手段可以完全做到防御勒索病毒,,“道高一尺魔高一丈”,,企業(yè)和個(gè)人都要注意信息數(shù)據(jù)的保護(hù),并且及時(shí)備份,,即做好災(zāi)備建設(shè),。