2020年,注定是要被曆史銘記的一年,除了肆虐全球的新冠病毒,網絡“疫情”也沒有消停,各種新型勒索病毒不斷湧現,黑客組織陸續壯大,甚至不少國外一些主流的勒索病毒營運團隊在國内尋找勒索病毒分銷營運商,通過暗網與國外營運商進行合作,進行勒索病毒的分發傳播,謀取暴利。
一、2020年勒索病毒事件
在魔幻的2020年,從勒索病毒新面孔WannaRen火上熱搜,到知名B站UP主被勒索後線上求助,可以看出勒索病毒依然是網絡病毒中的“頂流”。下面我們來盤點部分2020年全球勒索病毒大事件。
3月,特斯拉、波音、洛克希德·馬丁公司和SpaceX等行業巨頭的精密零件供應商,總部位于科羅拉多州丹佛的Visser Precision遭受勒索軟體DoppelPaymer攻擊,黑客已經洩漏Visser Precision與特斯拉和SpaceX簽署的保密協定。
4月,葡萄牙跨國能源公司(天然氣和電力)EDP(Energias de Portugal)遭Ragnar Locker勒索軟體攻擊,10TB的敏感資料檔案遭洩,贖金高達1090萬美金。根據EDP加密系統上的贖金記錄,攻擊者能夠竊取有關賬單、合同、交易、客戶和合作夥伴的機密資訊。
6月,日本汽車巨頭本田的伺服器遭受到了Ekans勒索軟體攻擊,這款新型病毒具有鎖定工廠中的工業控制系統和機械的功能,直接重創本田的工業生産核心,導緻其日本總部以外多國工廠出現了生産停頓問題。南韓兩大電子巨頭SK Hynix、 LG電子的網站被Maze組織攻擊,大量機密被竊取。
7月,日本數位錄影機廠商佳能遭受Maze團夥勒索攻擊,其中影響包含電子郵件、微軟團隊、美國網站以及其他内部應用程式。美國知名穿戴裝置制造商佳明 (Garmin) 遭WastedLocker勒索軟體攻擊,導緻國際伺服器癱瘓,攻擊者向Garmin索要高達1000萬美元贖金。
8月,全球最大的遊輪營運商嘉年華遊輪集團(Carnival Corporation)遭受了勒索病毒攻擊。嘉年華公司指出,攻擊者“通路并加密了公司資訊技術系統的一部分”,入侵者還從公司的網絡下載下傳了檔案。
9月,德國杜塞爾多夫大學醫院遭遇勒索軟體攻擊,造成IT系統中斷,進而導緻門診治療和緊急護理無法正常進行。一名患者被迫轉移到另一家醫院接受救治。然而在轉移途中,患者不幸身亡。此事件被認為是首例因勒索攻擊導緻人員死亡案例,德國警方也将案件性質調升為謀殺案。
10月,物聯網廠商研華科技遭遇了來自Conti勒索軟體團夥的攻擊,黑客組織提出了750個比特币的贖金要求(約合1300萬美元),否則将會把所盜資料逐漸洩露在網絡上。德國第二大軟體供應商Softawre AG遭到勒索軟體“Clop”的攻擊,其内部軟體被加密,該攻擊發起者要求提供2000萬美元,才能給到解密密鑰。
11月,位于墨西哥的富士康工廠遭到了DoppelPaymer勒索軟體的攻擊。DoppelPaymer加密了約1200台伺服器,竊取了100 GB的未加密檔案,删除了20TB至30 TB的備份内容,并要求富士康支付1804枚比特币(約為3468萬美元)以擷取解密工具。
12月,印度電子商務支付系統和金融技術公司Paytm被勒索軟體攻擊,遭受了大規模的資料洩露,其電商網站Paytm Mall的中心資料庫被入侵,黑客在向Paytm Mall索要贖金的同時,并未停止在黑客論壇上出售其資料。
二、2020年五大勒索病毒
通過分析2020年的勒索攻擊事件,可以發現勒索軟體的攻擊是全球性、廣泛性發展的,并且勒索攻擊呈現集聚化發展,主要的勒索攻擊事件都來自少數幾個勒索軟體家族。
1、Maze勒索病毒
Maze勒索軟體是ChaCha的一個變種。最初,Maze是使用如Fallout EK和Spelevo EK之類的漏洞利用工具包通過網站進行傳播,該工具包利用Flash Player漏洞。後續Maze勒索軟體增加了利用Pulse VPN的漏洞與Windows VBScript Engine遠端代碼執行漏洞的能力。
Maze組織的獨到之處在于,它會運作獨特的腳本檢測受感染機器是家用電腦、伺服器還是工作站,之後根據受害者裝置價值來确認勒索的具體金額。
2、Ryuk勒索病毒
Ryuk勒索病毒主要是通過網絡攻擊手段利用其他惡意軟體如Emotet或TrickBot等銀行木馬進行傳播,由黑客團夥GrimSpider幕後操作營運,被用于對大型企業及組織進行針對性攻擊。
Ryuk特别狡詐的一個功能是可以禁用被感染電腦上的Windows系統還原Windows System Restore選項,令受害者更難以在不支付贖金的情況下找回被加密的資料。
3、DoppelPaymer勒索病毒
DoppelPaymer是BitPaymer 勒索軟體的一類新變種,代表了勒索軟體攻擊的新趨勢——勒索檔案加密和資料竊取雙管齊下。DoppelPaymer至少有8種變體,它們逐漸擴充各自的特征集。
DopelPaymer受到Maze勒索軟體的極大啟發,但其勒索資訊并不會提示受害組織資料已被盜,僅提供支付贖金的網站位址。
4、Clop勒索病毒
Clop勒索病毒首先會結束電腦中運作的檔案程序,增加加密過程的成功率,背後團隊的主要目标是加密企業的檔案,收到贖金後再發送解密器。
與其他勒索病毒不同的是,Clop勒索病毒部分情況下攜帶了有效的數字簽名,這意味着它在部分攔截場景下更容易擷取到安全軟體的信任,進而感染成功,造成無法逆轉的損失。
5、Ekans勒索病毒
Ekans勒索病毒(也稱Snake)的主要目标是工業控制系統(ICS)環境,通過解析受害者公司的域名,并将這些資訊與IP清單進行比較,來确認目标。一旦目标被捕獲,Ekans就會掃描域控制器以進行攻擊。
Ekans代碼中包含一系列特定用于工業控制系統功能相關的指令與過程,可導緻與工業控制系統(ICS)操作相關的諸多流程應用程式停滞。
三、勒索病毒發展趨勢
勒索病毒是近年來黑客組織牟取暴利的絕佳手段,也是發展最快的網絡安全威脅之一。在後疫情時代,勒索病毒攜帶着日趨成熟的手段革新和愈發隐蔽、複雜的“進化”能力,開啟了“重裝上陣”的瘋狂模式。
1、雙重勒索成為新常态
在對受害者的資料庫進行加密之前,攻擊者會提取大量敏感的商業資訊,并威脅不支付贖金就釋出這些資訊,使得機構不僅要面臨破壞性的資料洩露,還有相關的法規、财務和聲譽影響,這給企業增加了滿足黑客要求的壓力。
2、IoT成為勒索軟體攻擊新突破口
勒索病毒所攻擊的對象,已經不限于個人PC、防護能力較弱的傳統企業、政府、學校網站,萬物互聯時代的工廠、工業裝置、智能攝像頭、路由器等諸多裝置也被當成目标鎖定。黑客通常通過向網際網路開放的IoT裝置來通路公司網絡,每個連接配接的裝置都是黑客安裝IoT勒索軟體并要求付款的潛在入口。
3、關鍵基礎設施成勒索軟體攻擊的重要目标
大型政企機構的網絡資産價值高,是以成了勒索病毒的頭号“獵物”。為了“一網打盡”,勒索病毒往往會在攻陷一台機器後,再利用其進行較長時間持續滲透,攻陷更多機器後再大量植入檔案加密子產品,造成政企的業務系統大面積癱瘓。根據COVEWARE公司的報告,2020年第一季度,企業平均贖金支付增加至111,605美元,比2019年第四季度增長了33%。
4、遠端辦公被攻擊者視為重要的可乘之機
受新冠疫情大流行和全球數字化程序加快的驅動,數以百萬計遠端辦公場景的快速激增一定程度上因網絡開放度的提升和接口的增多,而給勒索病毒造就了新的攻擊面。Datto的《Global State of the Channel Ransomware Report》(全球管道勒索軟體狀況報告)顯示,59%的受訪者表示由于冠狀病毒(COVID-19)大流行而導緻的遠端工作導緻勒索軟體攻擊的增加。
5、雲原生下的資料安全将成為重中之重
根據咨詢機構的相關資料,疫情目前,近70%的企業組織計劃增加雲的投入,而微服務、容器化、DevOps、持續傳遞等特點,也讓雲原生将重塑IT技術體系。達摩院2021十大科技趨勢認為,雲原生可将網絡、伺服器、作業系統等基礎架構層高度抽象化,降低計算成本、提升疊代效率,大幅降低雲計算使用門檻、拓展技術應用邊界。是以,基于雲架構的階層化防勒索預案方案将成為資料安全的重要手段。
今天,勒索病毒是所有數字化從業者都必須面臨并予以重視的安全威脅, 而勒索病毒的防治是需要涵蓋網絡安全、資料備份、人員意識提升等多方面因素在内的全面的、 多線程的一體化工作。這份工作,不容懈怠。
進一步了解阿裡雲勒索病毒解決方案:
https://www.aliyun.com/solution/security/bvp