勒索软件五大家族的攻击目标与方法
勒索软件是劫持数据以索求赎金的一类恶意软件,面世已颇有些年头。第一起勒索软件攻击发生在1991年,当时一位生物学家通过平邮将载有首个勒索软件PC Cyborg的软盘寄给其他研究艾滋病的科学家。新千年第一个十年中期,采用加密技术的首款勒索软件Archiveus出现,其密码至今仍可在维基百科页面上找到——尽管此勒索软件早已被安全社区击溃。10年代初,“警方”系勒索软件包浮出水面;此类勒索软件因假冒司法机构发出的违法警告并索取“罚款”而得名,开始利用新一代匿名支付服务避开监管渔利。
21世纪第二个十年里,一种新的勒索软件趋势浮现:网络罪犯首选加密货币作为赎金支付方式。加密货币本就专为不可追踪的匿名支付而设计,对勒索者的吸引力显而易见。比特币是最为著名的加密货币,绝大多数勒索软件攻击者都要求以比特币支付赎金。不过,比特币的广为流传也使其价值波动性增大,有些攻击者已开始转向其他的加密货币。
10年代中期,勒索软件攻击飙升到了危机的程度。但到了2018年,勒索软件热潮似乎开始消退,另一种非法攫取比特币的方式逐渐冒头:加密货币劫持。这种方法甚至无需受害者知晓比特币钱包是什么,就能利用受害者电脑挖掘比特币。利用垃圾邮件分发者和DDoS攻击者沿用多年的脚本模式,这些加密货币劫持者能在用户毫不知情的情况下偷偷获取计算机系统的控制权。受害用户电脑被黑后即变身比特币挖矿机,在后台默默生产加密货币,吃掉空闲计算周期,悄悄耗费受害者大量计算资源与电力。2018年里,勒索软件攻击逐渐下降,而加密货币劫持攻击则激增450%。
过去两年来,由于加密币市场的巨幅波动,原本醉心于挖矿的勒索软件调转枪口卷土重来,其攻击技术和危害性也有极大提升,以下是新时期安全业界尤为头疼的勒索软件五大家族。
1. SamSam
SamSam勒索软件攻击始于2015年末,但其真正激增出现在后面几年,科罗拉多运输部、亚特兰大市和多家医疗保健机构都沦为了SamSam的受害者。该勒索软件攻击完美展现了攻击者组织技能的重要性,充分证明组织协同能力对网络攻击者而言堪比代码编程技艺。不同于一些其他勒索软件的做法,SamSam并非无差别地探查某些具体漏洞,而是以勒索软件即服务的方式运营:控制者小心探测预选目标的弱点,利用的漏洞涵盖IIS、FTP、RDP等多种服务与协议。一旦进入系统内部,攻击者便相当敬业地提升权限,确保开始加密文件时攻击具有足够的破坏力。
尽管安全研究人员最初认为SamSam源自东欧,但绝大部分SamSam攻击却针对美国境内的组织机构。2018年末,美国司法部判定两名伊朗人是攻击的背后主使;起诉书宣称这些攻击造成了超过3,000万美元的损失。目前尚不清楚这一数字是否真实反映出已支付的赎金数额;亚特兰大市官方曾在当地媒体上发布过附带攻击者联系信息的勒索信截屏,正是该信息导致了此通信门户的关闭,可能阻止了亚特兰大支付此笔赎金(想付也付不了了)。
2. Ryuk
Ryuk是2018和2019年间盛行的另一大勒索软件,其目标受害者是精心挑选出来的难以承受宕机后果的组织机构,包括日报社和北卡罗来纳州正努力从飓风佛罗伦萨的余波中恢复的一家水厂。《洛杉矶时报》详细报道了自家系统遭感染后发生的一切。Ryuk一个特别狡诈的功能是可以禁用被感染电脑上的Windows系统还原(Windows System Restore)选项,令受害者更难以在不支付赎金的情况下找回被加密的数据。鉴于攻击者针对的是高价值受害者,赎金目标也转为高企;圣诞季的一波攻击表明了他们为达成目标毫不介意毁掉圣诞节。
安全分析师认为,Ryuk源代码很大程度上出自朝鲜Lazarus黑客团伙的Hermes恶意软件。但这并不表明Ryuk攻击本身是朝鲜发起的,迈克菲认为其代码基础由俄语区供应商提供,因为该勒索软件不会在系统语言设置为俄语、白俄罗斯语和乌克兰语的计算机上执行。至于该俄罗斯供应源如何从朝鲜获得的代码,我们就不得而知了。
3. PureLocker
2019年11月,IBM和Intezer共同发表了一篇文章,讲述新型勒索软件变种PureLocker的运行机制。该勒索软件可在Windows或Linux机器上执行,是新一波针对性恶意软件的绝佳代表。PureLocker并不通过广泛的网络钓鱼攻击进驻受害主机,而是与几个著名网络犯罪团伙所用的more_eggs后门软件有关。换句话说,PureLocker安装在已被攻击者入侵并探查清楚的机器上,且会在运行前先检查自身所处环境,而不是盲目加密数据。
尽管并未披露PureLocker感染范围,但IBM和Intezer揭示出企业生产服务器这类明显高价值目标是遭受攻击最严重的。由于此类攻击需要较高水准的人工控制,Intezer安全研究员Michael Kajiloti认为PureLocker是能承受高额前期投入的犯罪组织才能入手的勒索软件即服务产品。
4. Zeppelin
Zeppelin是Vega/VegasLocker勒索软件家族的进阶版,继承并发展了这一肆虐俄罗斯和东欧会计企业的勒索软件即服务产品。Zeppelin创新了几个技术花招,其可配置功能尤为突出,但真正让它在Vega家族鹤立鸡群的,是其针对性攻击的本质。Vega的传播某种程度上而言有点漫无目的,且主要活跃在俄语世界,Zeppelin则特别设计为不在俄罗斯、乌克兰、白俄罗斯和哈萨克斯坦的电脑上运行。Zeppelin的部署方式也很多,包括可执行文件(EXE)、动态链接库(DLL)和PowerShell加载器,但有些攻击甚至能通过被黑托管安全服务供应商部署,这就令人不寒而栗了。
Zeppelin开始崭露头角是在2019年11月,作为区别于Vega的明证,其目标似乎是仔细挑选的。受害者大多数属于北美和欧洲的医疗保健和技术行业,有些勒索信就是特别针对受感染目标机构写就的。安全专家认为,Zeppelin在行为上偏离Vega是因为其代码库可能转手给了更具野心的俄罗斯黑客;尽管感染数量没Vega那么高,但部分专家觉得目前观测到的情况有可能是更大攻击潮的概念验证。
5. REvil/Sodinokibi
Sodinokibi亦名为REvil,首次出现于2019年4月。与Zeppelin类似,Sodinokibi源自名为GandCrab的另一恶意软件家族,同样具有不在俄罗斯及其邻国(如叙利亚)执行的特点,表明其源头可能也是俄语区。其传播方式多样,可利用Oracle WebLogic服务器或Pulse Connect Secure VPN中的漏洞。
Sodinokibi的传播再次凸显出其背后命令与控制团队将之作为勒索软件即服务产品的野心。该勒索软件在2019年9月造成德克萨斯州22个以上的市镇宕机,但其真正臭名昭著是在新年夜搞崩英国货币兑换服务Travelex之时,此次袭击导致机场陷入纸笔运营,令无数客户茫然无措。攻击者要求高达600万美元的赎金,不过受害公司既没证实也没否认是否支付了赎金。
在Juniper Networks威胁实验室负责人Mounir Hahad眼中,2019最严重勒索软件攻击是Sodinokibi,因为该勒索软件的控制者在攻击中引入了额外的变化。最特别的一点就是,这伙黑客不仅告诉人们“不付赎金就拿不回数据”,还会威胁称“将在网上公开或在地下论坛竞拍这些机密数据”。这种新的勒索方式将此商业模式推升到了新的高度,与传统勒索模式大为不同——毕竟,这种方法无需费劲渗漏即可锁定受害者数据,但又切切实实地威胁到了受害者。高针对性、强定制化的勒索软件新时代似乎正走向危险新深渊。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
解读:广电“一网整合”与5G大业
3月2日下午,国家广播电视总局召开了“贯彻落实《全国有线电视网络整合发展实施方案》电视电话会议”,并且在当日就把会议重要内容对外正式发布了。从昨晚到今日上午,估计各路媒体及其他行业相关群体都在密切关注并讨论这一消息。 本次总局的对外公示也非常的意外,以往的相关重要行业性会议会对外延期发布,但这次发布的相当及时,并且会议重点内容在通报信息中也显得比较详细。涉及到了全国有线电视行业及其他相关产业长期以来特别期盼的“全国有线电视网络整合”与“广电5G建设”的相关工作安排。 实际上,广电总局在2019年10月18日就曾召开过一次全国有线电视网络整合工作专题会议,当时就要求总局机关各相关部门和中国广电围绕“推进《全国有线电视网络整合发展实施方案》联合发文、全国有线电视网络整合和5G建设一体化发展工作会议筹备、‘全国一网’股份公司组建、广电5G建设”等各项工作进行推进。此次召开的电视电话会议,看来只是阶段性的会议之一。 反复推敲了总局官方新闻的主体内容,DVBCN笔者在这里也适宜的做一些解读,原新闻整体内容可移步至总局官方号或DVBCN官网阅览;另,凡涉及到笔者联想及纯粹的个人见解性的部分,如有异...
- 下一篇
安全从业者该去甲方还是乙方
“To be, or not to be, that is a question。”——《哈姆雷特》 最近有很多安全从业者咨询我,去甲方做安全好还是去乙方做安全好,尤其是应届生或工作1-3年的安全从业者。其实这是一个不太好回答的问题,因为牵扯的因素太多,每个人的状况也不尽相同。但是之所以有这么多人问,更多的是折射出大家对甲方安全工作和乙方安全工作的未知,不知道哪个更适合自己,更深层次的意识可能是对自身职业发展的不确定。 我大学毕业后直接进入绿盟工作,3年后入职甲方一直工作到现在。我可以跟大家聊聊甲方做安全和乙方做安全的区别,正如安全是动态的一样,甲乙方的工作和发展也是动态变化的,仅限于个人视角,供参考。其实甲方和乙方的主要区别是你的职场角色不同。在乙方你是盈利人员(可为公司产生直接收益),在甲方你是后台职能人员(不对企业产生直接收益,但是保障企业的安全或合规建设、规避风险、确保业务安全运行)。角色的不同意味着你的工作氛围、强度、薪资、成长和晋升空间的巨大差异。 一、工作氛围 作为安全厂商或服务商,大家聚在一起都是围绕公司业务开展的,无论销售、售前、售后还是服务都会有一个团队支撑,各个团...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- MySQL8.0.19开启GTID主从同步CentOS8
- SpringBoot2全家桶,快速入门学习开发网站教程
- CentOS8编译安装MySQL8.0.19
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- CentOS7,CentOS8安装Elasticsearch6.8.6
- Red5直播服务器,属于Java语言的直播服务器
- CentOS8安装MyCat,轻松搞定数据库的读写分离、垂直分库、水平分库
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- CentOS6,CentOS7官方镜像安装Oracle11G
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装