勒索軟體背後的理論相當簡單,勒索軟體的一種變體與另一種勒索軟體變體之間沒有太大差異。然而,網路犯罪分子使用勒索軟體的具體方式對於不同的群體和攻擊活動可能有很大不同,並且在過去幾年中發生了顯著的變化。
根據 Checkpoint Research 的數據,2021 年上半年全球受勒索軟體影響的組織數量比 2020 年增加了一倍多,其中醫療保健和公用事業行業是自 2021 年 4 月初以來最受攻擊的行業。
在 2020 年雙重勒索的成功顯而易見,尤其是自 Covid-19 大流行爆發以來。 雖然並非所有例子及其結果都被報告和公布,但在 2020 年至 2021 年間收集的統計數據說明了攻擊向量的重要性。 去年平均贖金價格上漲了 171%,至近 310,000 美元。
2020 年底和 2021 年初發生的勒索軟體攻擊指向一個新的攻擊鏈——本質上是雙重勒索軟體方法的擴展,在此過程中納入了額外的、獨特的威脅——三重勒索攻擊
2021 年著名攻擊 - Microsoft Exchange 駭客攻擊、Colonial Pipeline 網路、塔爾薩市、JBS Meat Company、Fujifilm
2019年底和2020年初,勒索軟體攻擊出現了新趨勢。勒索軟體作者不再局限於加密受害者的文件,而是開始從目標竊取敏感資料。竊取使用者資料的勒索軟體變體包括 Ako、CL0P、DoppelPaymer、 Maze 、Pysa、Nefilim、Nemty、Netwalker、Ragnarlocker、REvil、Sekhmet 和 Snatch。
此舉是為了應對成為勒索軟體感染受害者後拒絕支付贖金要求的組織。儘管修復勒索軟體攻擊的成本通常高於所要求的贖金,但最佳實踐表明不應支付贖金,因為贖金使網路犯罪分子能夠繼續其活動並進行額外的攻擊。
透過在加密之前從受感染的電腦竊取數據,勒索軟體營運商可能會威脅稱,如果受害者拒絕支付贖金,就會公開這些數據。根據收集和洩漏的數據類型,這可能導致組織在市場上失去競爭優勢,或違反數據保護法例(例如一般數據保護規例(GDPR),因為它無法保護委託給其客戶數據。
2019 年是勒索軟體業者將重點轉向關鍵機構的一年。光是 2019 年前三個季度,美國就有超過 621 家醫院、學校和城市成為 Ryuk 和其他勒索軟體變種勒索軟體攻擊的受害者。這些攻擊的價格估計為數百萬美元,導致城市無法為其居民提供服務,醫院被迫取消非必要的程序以為患者提供重要護理。
這種勒索軟體的新方法利用了這些組織提供的服務的重要性。與某些企業不同,這些企業可能在遭受攻擊中恢復惡劣的同時,城市,學校和醫院需要盡快恢復營運,並且通常可以獲得緊急資金。 因此,針對這些組織的勒索軟體攻擊通常會成功,並且持續發生。
與大多數針對隨機個人和企業的勒索軟體攻擊不同, Ryuk 勒索軟體是一種針對性很強的攻擊。這項行動背後的網絡犯罪分子目標是受害者,他們即使在少量停機時間也會遭到大規模中斷業務的受害者。
Ryuk 旨在加密公司服務器並打破業務,直到贖金支付,而不是竊取或破壞個人的數據。
琉克的目標
目標受害者包括報紙,包括所有 Tribune 報紙,以及北卡羅來納州的一家水事業公司。 受影響的報紙必須製作不包括付費分類廣告的每日新聞的縮小版本。
詳情
Ryuk 透過名為 TrickBot 的惡意軟體和遠端桌面軟體感染了系統。在阻止服務器的訪問後,魯克要求 15-50 個比特幣,約為 10 萬美元到 50 萬美元。
除了停用伺服器、感染端點和加密備份之外,Ryuk 還停用了 Windows 作業系統復原選項,以防止受害者從攻擊中恢復。
當惡意軟體被發現時,人們創建了補丁來阻止攻擊,但它們並沒有發揮作用。伺服器重新上線後,Ryuk 就開始重新感染整個伺服器網路。
McAfee 的專家懷疑 Ryuk 是使用來自一群稱自 Lazarus 集團的北韓黑客的代碼構建的。 不過,勒索軟體需要將電腦語言設定為俄語、白俄羅斯語或烏克蘭語才能執行。
與 Ryuk 一樣,PureLocker 旨在加密整個服務器並要求贖金以恢復訪問權限。 該惡意軟體經過專門設計,透過將其惡意行為隱藏在沙箱環境中並模仿正常功能來不被發現。它還會在惡意代碼執行後自己刪除。
純樂器的目標
PureLocker 針對大型企業攻擊者的服務器被認為會支付巨大的贖金。
詳情
經過徹底分析後,來自 Intezer 和 IBM X-Force 的密碼學研究人員將這個勒索軟體命名為 PureLocker,因為它是用 PureBasic 程式語言編寫的。
在 PureBasic 中編寫惡意軟體並不常見,但它給攻擊者帶來了巨大的優勢:很難偵測到用 PureBasic 編寫的惡意軟體。PureBasic 程序也很容易在各種平台上使用。
PureLocker 仍在大型網絡犯罪組織執行中。 專家認為,PureLocker 正作為服務出售給具有針對大型公司所需知識的網絡犯罪組織。 奇怪的是,勒索軟體即服務(RaaS)現在已經成為一種「事物」。
網路安全專家不確定 PureLocker 是如何進入伺服器的;採用零信任的網路安全方法是防範未知威脅的最佳方法。
REvil 是一種名為 GandCrab 的惡意軟體,不會在俄羅斯、敘利亞或其他幾個附近國家執行。這表示它的起點來自該區域。
與 PureLocker 一樣,REvil 被認為是勒索軟體即服務,安全專家表示,這是 2019 年最嚴重的勒索軟體實例之一。
為什麼 REvil 這麼糟糕? 對於大多數勒索軟體攻擊,人們可以忽略贖金要求並減少損失。但是,攻擊背後的人威脅要發布和出售他們加密的機密數據,如果沒有支付贖金。
雷維爾的目標
2019 年 9 月,REvil 關閉德克薩斯州至少 22 個小鎮。 三個月後,在除夕,REvil 關閉了英國貨幣兌換提供商 Travelex。
當 Travelex 倒閉時,機場交易所不得不要去過去,創建紙本賬簿來交換文件。 網絡犯罪分子要求 600 萬美元的贖金,但 Travelex 不會確認或拒絕支付這筆款項。
詳情
REvil 利用 Oracle WebLogic 伺服器和脈衝連線安全 VPN 中的脆弱性。
2019 年 3 月 1 日,勒索軟體攻擊了傑斐遜縣的 911 調度中心並導致其離線。縣監獄工作人員也失去了遠程打開室門的能力,警察無法再從筆記本電腦中檢索車牌數據。
如果沒有有效的 911 系統,整個城市都容易受到勒索軟體攻擊的二次影響。調度員兩週沒有訪問計算機。
允許囚犯與家人聯繫的視頻會議系統也失敗。 警衛必須親身陪同囚犯前往家庭探訪,這增加了他們的安全風險。
該市支付了 400,000 美元的贖金,並且能夠恢復他們的系統。
2019 年 4 月 10 日,北卡羅來納州格林維爾市遭到名為 RobinHood 的勒索軟體攻擊。當城市的大部分服務器離線時,城市的 IT 團隊將剩餘的伺服器離線,以減輕損害。
這次攻擊並不是羅賓胡德第一次攻擊。 2019 年 5 月,巴爾的摩市遭受嚴重影響。 該城市不得不花超過 10 萬美元來從羅賓胡德攻擊中恢復。 儘管贖金只有 76,000 美元,但是恢復數據需要 4.6 萬美元,城市的所有系統一個月都無法正常運作。 該城市遭受 1800 萬美元的損害。
2018 年,隨著加密貨幣價值的上漲推動加密劫持行為激增,勒索軟體的受歡迎程度有所下降。加密劫持惡意軟體旨在感染目標計算機,並使用它來執行「挖掘」比特幣和其他工作量證明 (PoW) 加密貨幣所需的計算量大的步驟,並獲得與找到有效區塊相關的獎勵。
然而,這並不是說勒索軟體在 2018 年完全不活躍。2018 年 8 月,Ryuk 勒索軟體(當今主要的勒索軟體威脅之一)首次「在野外」被發現。Ryuk 的出現是勒索軟體營運商賺錢方式轉變的一部分。像 WannaCry 這樣的攻擊以數量而不是質量,攻擊盡可能多的受害者,並向每個人要求小額贖金。 但是,這種方法並不總是有利可圖,因為普通的人缺乏用加密貨幣支付贖金的專業知識。 因此,勒索軟體業者必須提供大量的「客戶服務」才能獲得付款。
2018 年及以後,勒索軟體業者在選擇目標時變得更加挑剔。透過攻擊特定企業,網路犯罪分子可以增加其惡意軟體加密的資料有價值且目標有能力支付贖金的可能性。這使得勒索軟體業者能夠向每個受害者索取更高的價格,並合理地期望得到報酬。
2017 年是勒索軟體真正進入公眾意識的一年。雖然勒索軟體已存在數十年,但 2017 年的 WannaCry 和 NotPetya 攻擊使此類惡意軟體家喻戶曉。這些勒索軟體變體也激勵其他網路犯罪分子和惡意軟體作者進入勒索軟體領域。
WannaCry 是一種勒索軟體蠕蟲,它利用 NSA 開發的 EternalBlue 漏洞在電腦之間進行傳播。在三天內,WannaCry 成功感染了超過 20 萬計算機,造成數十億的損害,然後由一名安全研究人員針對其內置的「終止開關」終止攻擊。
NotPetya 是一個著名變體的一個例子,它實際上根本不是勒索軟體,而是偽裝成勒索軟體的擦除器惡意軟體。雖然它要求受害者支付贖金,但惡意軟體的程式碼無法向惡意軟體的操作者提供解密金鑰。由於他們沒有密鑰,因此他們無法將其提供給受害者,因此無法恢復加密文件。
事實證明,勒索軟體是網路犯罪分子極為有效的工具。失去對其數據的訪問權限使許多組織支付大量贖金來檢索它。 勒索軟體的成功意味著它不太可能作為對組織網路安全的威脅而消失。防範這種破壞性惡意軟體需要部署專門的反勒索軟體解決方案。