隨著云和大數據時代的到來,再加上今年全球疫情對經濟的影響,各行各業紛紛投入數字化轉型,全球的互聯網上擁有了海量的信息財富,致使2020年的勒索病毒攻擊比以往都來得更猛了些。
近日,PCI安全標準委員會(PCI SSC)和ATM行業協會(ATMIA)發布了聯合公告,警告針對ATM機(提款)威脅日益嚴峻,需要引起全球金融機構的緊急密切關注。ATM自動柜員機提款攻擊是精心設計的攻擊,在這種攻擊中,犯罪分子會破壞銀行或支付卡處理器,并操縱欺詐檢測控件并更改客戶賬戶,在短時間內從眾多自動提款機中提取資金且沒有金額限制。犯罪分子經常通過篡改余額和取款限額的手法“把ATM當成提款機”,將ATM機里的現金洗劫一空。另有勒索軟件襲擊了醫療軟件公司eResearchTechnology(ERT),該公司為全球制藥公司提供進行臨床試驗(包括COVID-19疫苗試驗)的工具,因而對包括施貴寶、阿斯利康、輝瑞和強生等公司進行的多個新冠研究項目造成潛在影響。據報道,由于研究人員被迫改用筆和紙來跟蹤患者數據,過去兩周對ERT公司的網絡攻擊使這些試驗的速度減慢了。
勒索病毒強勢來襲 新變種層出不窮
亞信安全監測發現,GlobeImposter、WannaRen、Sodinokibi勒索病毒在鎖住目標主機的系統或是文件,以勒索贖金的同時,躲避安全軟件的封鎖,其全新的變種都已頻繁出現。
以 GlobeImposter勒索病毒為例,該勒索病毒首次出現于 2017 年,并在接下來的三年中演化了數個版本,催生了“十二主神”、“十二生肖”系列等多個知名變種。今年上半年,GlobeImposter 勒索病毒攜 C4H 強勢來襲,黑客在入侵企業內網之后,會利用RDP/SMB暴力破解以及多種方法以求獲取登錄憑證,以在內網橫向滲透傳播。一旦攻擊成功,該病毒會加密系統中的文件,添加擴展名。C4H,繼而在電腦屏幕中提示勒索信息。
由于比特幣等數字貨幣的價格在今年上半年再度上漲,挖礦病毒也開始活躍起來。其中,利用“新冠病毒”郵件傳播的LemonDuck挖礦病毒尤為值得關注,該病毒會偽裝成“新冠病毒”相關郵件,給受感染主機的聯系人發送電子郵件,利用好奇心誘導收件人點擊攜帶了挖礦病毒的郵件附件。此外,臭名昭著的“黑球”攻擊也在上半年持續,該病毒同樣會偽裝成為“新冠病毒”相關郵件,在感染之后會首先試圖結束殺毒軟件進程,繼而執行挖礦程序。
(圖片來源于網絡)
勒索病毒傳播至今,360互聯網安全中心已累計接受到上萬勒索病毒感染求助。勒索病毒的蔓延,給企業和個人都帶來了嚴重的安全威脅。360安全大腦針對勒索病毒進行了全方位的監控與防御。
感染數據分析
分析某月勒索病毒家族占比:GlobeImposter家族占比23.62%居首位;其次是占比21.79%的phobos;Crysis家族以占比15.37%位居第三。Avaddon勒索病毒于6月4日開始傳播,很快便已經進入了本月的勒索病毒家族Top 10榜單中。
(圖片來源于網絡)
綜合近年來世界各地發生的勒索事件以及以上病毒變種信息,勒索病毒主要有如下的發展趨勢:
對企業進行精準打擊,攻擊頻繁并且不擇手段
勒索病毒攻擊格外針對云服務器運用商提供商以及相關坐云上數據保護的公司。他們對云上的數據進行加密勒索,攻擊者逐漸采用復雜的針對性交付技術和機制,發起針對性極強的大型狩獵活動。
勒索病毒的攻擊不擇手段,從一開始單純索要贖金到不給贖金就公開機密數據。已知主流的幾款勒索病毒都已開始通過公布企業數據逼迫企業支付贖金,同時各種新型的竊密木馬會隨著勒索病毒一起下發,竊取企業數據。
勒索團隊全球化,不再局限某單一國家成員且逐漸產業化發展
勒索病毒就是“低成本,高收入”的典型,開發門檻低且收益巨大,導致了勒索及服務RaaS產業的誕生。而為了確保利益最大化,各種新老黑客組織逐漸開始相互合作。國外一些主流的勒索病毒運營團隊19年年底就開始在國內尋找勒索病毒分銷運營商,通過暗網與國外運營商進行合作,進行勒索病毒的分發傳播,牟取暴利。
技術不斷升級迭代,平臺多元化,場景多樣化
經過長期的演變,勒索病毒技術上不斷進化,勒索的平臺開始多元化,勒索場景多樣化。攻擊者在加密流程的細節上進行優化。從早期的單線程文件加密,升級到針對每個磁盤分區進行多線程加密;從單一的x86可執行病毒版本到增加x64可執行版本;利用高危漏洞進行內核提權,或使用壓縮打包的方式進行提權來加密更多文件等等。
目前勒索病毒常見于Windows系統,大部分Linux平臺勒索病毒大多數使用GO語言進行開發,考慮到Linux以及MAC OS系統的屬性,不排除后續蔓延到其他系統的可能。勒索場景從最簡單粗暴的垃圾郵件,到利用漏洞傳播、水坑攻擊乃至軟件供應鏈傳播,攻擊方式的多樣化也進一步證明了勒索產業的日漸強大。
從當前勒索病毒事件的發生趨勢來看,基本沒有什么手段可以完全做到防御勒索病毒,“道高一尺魔高一丈”,企業和個人都要注意信息數據的保護,并且及時備份,即做好災備建設。