勒索软件五大家族的攻击目标与方法
勒索软件是劫持数据以索求赎金的一类恶意软件,面世已颇有些年头。第一起勒索软件攻击发生在1991年,当时一位生物学家通过平邮将载有首个勒索软件PC Cyborg的软盘寄给其他研究艾滋病的科学家。新千年第一个十年中期,采用加密技术的首款勒索软件Archiveus出现,其密码至今仍可在维基百科页面上找到——尽管此勒索软件早已被安全社区击溃。10年代初,“警方”系勒索软件包浮出水面;此类勒索软件因假冒司法机构发出的违法警告并索取“罚款”而得名,开始利用新一代匿名支付服务避开监管渔利。
21世纪第二个十年里,一种新的勒索软件趋势浮现:网络罪犯首选加密货币作为赎金支付方式。加密货币本就专为不可追踪的匿名支付而设计,对勒索者的吸引力显而易见。比特币是最为著名的加密货币,绝大多数勒索软件攻击者都要求以比特币支付赎金。不过,比特币的广为流传也使其价值波动性增大,有些攻击者已开始转向其他的加密货币。
10年代中期,勒索软件攻击飙升到了危机的程度。但到了2018年,勒索软件热潮似乎开始消退,另一种非法攫取比特币的方式逐渐冒头:加密货币劫持。这种方法甚至无需受害者知晓比特币钱包是什么,就能利用受害者电脑挖掘比特币。利用垃圾邮件分发者和DDoS攻击者沿用多年的脚本模式,这些加密货币劫持者能在用户毫不知情的情况下偷偷获取计算机系统的控制权。受害用户电脑被黑后即变身比特币挖矿机,在后台默默生产加密货币,吃掉空闲计算周期,悄悄耗费受害者大量计算资源与电力。2018年里,勒索软件攻击逐渐下降,而加密货币劫持攻击则激增450%。
过去两年来,由于加密币市场的巨幅波动,原本醉心于挖矿的勒索软件调转枪口卷土重来,其攻击技术和危害性也有极大提升,以下是新时期安全业界尤为头疼的勒索软件五大家族。
1. SamSam
SamSam勒索软件攻击始于2015年末,但其真正激增出现在后面几年,科罗拉多运输部、亚特兰大市和多家医疗保健机构都沦为了SamSam的受害者。该勒索软件攻击完美展现了攻击者组织技能的重要性,充分证明组织协同能力对网络攻击者而言堪比代码编程技艺。不同于一些其他勒索软件的做法,SamSam并非无差别地探查某些具体漏洞,而是以勒索软件即服务的方式运营:控制者小心探测预选目标的弱点,利用的漏洞涵盖IIS、FTP、RDP等多种服务与协议。一旦进入系统内部,攻击者便相当敬业地提升权限,确保开始加密文件时攻击具有足够的破坏力。
尽管安全研究人员最初认为SamSam源自东欧,但绝大部分SamSam攻击却针对美国境内的组织机构。2018年末,美国司法部判定两名伊朗人是攻击的背后主使;起诉书宣称这些攻击造成了超过3,000万美元的损失。目前尚不清楚这一数字是否真实反映出已支付的赎金数额;亚特兰大市官方曾在当地媒体上发布过附带攻击者联系信息的勒索信截屏,正是该信息导致了此通信门户的关闭,可能阻止了亚特兰大支付此笔赎金(想付也付不了了)。
2. Ryuk
Ryuk是2018和2019年间盛行的另一大勒索软件,其目标受害者是精心挑选出来的难以承受宕机后果的组织机构,包括日报社和北卡罗来纳州正努力从飓风佛罗伦萨的余波中恢复的一家水厂。《洛杉矶时报》详细报道了自家系统遭感染后发生的一切。Ryuk一个特别狡诈的功能是可以禁用被感染电脑上的Windows系统还原(Windows System Restore)选项,令受害者更难以在不支付赎金的情况下找回被加密的数据。鉴于攻击者针对的是高价值受害者,赎金目标也转为高企;圣诞季的一波攻击表明了他们为达成目标毫不介意毁掉圣诞节。
安全分析师认为,Ryuk源代码很大程度上出自朝鲜Lazarus黑客团伙的Hermes恶意软件。但这并不表明Ryuk攻击本身是朝鲜发起的,迈克菲认为其代码基础由俄语区供应商提供,因为该勒索软件不会在系统语言设置为俄语、白俄罗斯语和乌克兰语的计算机上执行。至于该俄罗斯供应源如何从朝鲜获得的代码,我们就不得而知了。
3. PureLocker
2019年11月,IBM和Intezer共同发表了一篇文章,讲述新型勒索软件变种PureLocker的运行机制。该勒索软件可在Windows或Linux机器上执行,是新一波针对性恶意软件的绝佳代表。PureLocker并不通过广泛的网络钓鱼攻击进驻受害主机,而是与几个著名网络犯罪团伙所用的more_eggs后门软件有关。换句话说,PureLocker安装在已被攻击者入侵并探查清楚的机器上,且会在运行前先检查自身所处环境,而不是盲目加密数据。
尽管并未披露PureLocker感染范围,但IBM和Intezer揭示出企业生产服务器这类明显高价值目标是遭受攻击最严重的。由于此类攻击需要较高水准的人工控制,Intezer安全研究员Michael Kajiloti认为PureLocker是能承受高额前期投入的犯罪组织才能入手的勒索软件即服务产品。
4. Zeppelin
Zeppelin是Vega/VegasLocker勒索软件家族的进阶版,继承并发展了这一肆虐俄罗斯和东欧会计企业的勒索软件即服务产品。Zeppelin创新了几个技术花招,其可配置功能尤为突出,但真正让它在Vega家族鹤立鸡群的,是其针对性攻击的本质。Vega的传播某种程度上而言有点漫无目的,且主要活跃在俄语世界,Zeppelin则特别设计为不在俄罗斯、乌克兰、白俄罗斯和哈萨克斯坦的电脑上运行。Zeppelin的部署方式也很多,包括可执行文件(EXE)、动态链接库(DLL)和PowerShell加载器,但有些攻击甚至能通过被黑托管安全服务供应商部署,这就令人不寒而栗了。
Zeppelin开始崭露头角是在2019年11月,作为区别于Vega的明证,其目标似乎是仔细挑选的。受害者大多数属于北美和欧洲的医疗保健和技术行业,有些勒索信就是特别针对受感染目标机构写就的。安全专家认为,Zeppelin在行为上偏离Vega是因为其代码库可能转手给了更具野心的俄罗斯黑客;尽管感染数量没Vega那么高,但部分专家觉得目前观测到的情况有可能是更大攻击潮的概念验证。
5. REvil/Sodinokibi
Sodinokibi亦名为REvil,首次出现于2019年4月。与Zeppelin类似,Sodinokibi源自名为GandCrab的另一恶意软件家族,同样具有不在俄罗斯及其邻国(如叙利亚)执行的特点,表明其源头可能也是俄语区。其传播方式多样,可利用Oracle WebLogic服务器或Pulse Connect Secure VPN中的漏洞。
Sodinokibi的传播再次凸显出其背后命令与控制团队将之作为勒索软件即服务产品的野心。该勒索软件在2019年9月造成德克萨斯州22个以上的市镇宕机,但其真正臭名昭著是在新年夜搞崩英国货币兑换服务Travelex之时,此次袭击导致机场陷入纸笔运营,令无数客户茫然无措。攻击者要求高达600万美元的赎金,不过受害公司既没证实也没否认是否支付了赎金。
在Juniper Networks威胁实验室负责人Mounir Hahad眼中,2019最严重勒索软件攻击是Sodinokibi,因为该勒索软件的控制者在攻击中引入了额外的变化。最特别的一点就是,这伙黑客不仅告诉人们“不付赎金就拿不回数据”,还会威胁称“将在网上公开或在地下论坛竞拍这些机密数据”。这种新的勒索方式将此商业模式推升到了新的高度,与传统勒索模式大为不同——毕竟,这种方法无需费劲渗漏即可锁定受害者数据,但又切切实实地威胁到了受害者。高针对性、强定制化的勒索软件新时代似乎正走向危险新深渊。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
