作者:安恒威胁情报中心猎影实验室
关键词:网络安全,勒索攻击,勒索软件,黑客,数据安全
引言
2021年,在网络安全快速发展的同时,网络犯罪产业也在逐渐壮大,其中,勒索软件在众多网络威胁中表现最为亮眼,在美国燃油管道事件发生后,被广大新闻媒体报道,热度更是高居不下,引发广泛关注。
勒索软件是目前网络空间中最具破坏性且传播广泛的一种恶意软件,旨在加密目标设备上的文件,阻止目标访问,并索要赎金以换取解密密钥。此外,部分勒索软件还会在攻击过程中窃取目标信息,并威胁在暗网上发布或出售数据,对企业和个人造成严重的影响。
安恒威胁情报中心猎影实验室对2021年上半年勒索攻击态势进行了研究分析,并从上半年攻击事件概况、行业影响、攻击趋势等多个角度进行了阐述。
2021年上半年全球勒索攻击事件概况
据不完全统计, 2021年光上半年就至少发生了1200多起勒索软件攻击事件,与2020年发生的已知公布的大约1420起勒索攻击事件已经十分接近,其中针对医疗系统和教育行业的攻击增加了45%,平均赎金从去年的400,000美元提高到今年的800,000美元,而这仅仅是上半年的统计数据。
在众多勒索软件攻击事件中,有将近70%的勒索团伙采用双重勒索策略,以数据泄露问题威胁受害者支付巨额赎金,由于赎金通常是通过加密货币进行支付的,而加密货币又具有一定的安全性及匿名性,因此在追查过程中将给执法部门带来一定的难度和挑战。
在攻击目标方面,政府实体和关键基础设施组织遭到勒索软件攻击逐渐变得普遍,其中具有标志性的有美国管道运营商Colonial Pipeline勒索事件、美国核武器承包商Sol Oriens勒索事件、JBS肉类生产商勒索事件。这些攻击事件具备APT的特点,并呈现出高针对性和复杂性。
勒索犯罪产业在高速发展的同时,也吸引着越来越多的人加入,不断推动勒索产业发展,这使得其攻击和运营迈向成熟,部分勒索犯罪团伙甚至具备实施复杂APT攻击的技术能力。
2021年上半年全球受勒索软件影响的行业
2021年上半年,在全球范围内,制造业受勒索软件的影响较为严重,占攻击事件的17.43%,针对医疗行业的攻击与往年相比,仍处于上升阶段,占比达到了16.56%。政府机构、教育、科技、传媒、金融等也影响较重。另外,自美国管道供应商勒索攻击事件以来,美国政府表示将大力打压勒索软件,此后,针对美国政府部门的勒索攻击有所放缓。
勒索软件攻击趋势
勒索攻击类型的网络犯罪将会影响企业和组织业务的正常运营,自2020年来,越来越多的勒索团伙使用双重勒索策略攻击目标企业,即加密设备文件并窃取公司数据,这种以泄露数据为主要威胁的策略对于大型企业非常有效,设备文件被加密,企业可以通过重建系统恢复,但如果被盗数据泄露,将面临法律风险,并可能需要为违规泄密支付高额的罚金,从而引发一系列连锁反应,对公司的的声誉造成重大打击。
5月30日,全球最大的肉类生产商遭到Revil勒索组织攻击,事后,该公司通过备份系统恢复正常运营,但仍选择支付1100万美元的赎金,以防止Revil泄露被盗数据。在获取巨额赎金的背后,其实际上的攻击成本却不到5000美元,在地下网络犯罪中,勒索软件样本和构建器的价格在300到4000 美元之间,勒索软件即服务的租金为每年 120 到 1900 美元,低成本的攻击和高利润的回报,将刺激着更多的犯罪分子加入勒索行业。
随着勒索成功的事件频繁曝光,一些来自世界各地的犯罪分子嗅到了机会,并加入勒索行业,导致有出现针对本地语言的勒索攻击迹象,例如针对韩国境内部署自定义勒索软件的Andariel组织;模仿Locky的中文勒索软件等,并呈现多平台,轻量化的攻击趋势,而服务模型更是为犯罪分子提供了便利,使其可在不具备技术和经验的情况下也能实施复杂的网络攻击。
而勒索团伙在攻击企业时所提出的赎金也从最初的几万美元,过渡到现在的数百万,甚至数千万的勒索赎金。勒索犯罪团伙会积极尝试各种策略,例如删除系统备份文件、DDOS、电话轰炸、泄露警方线人信息、泄露受害者不雅照、做空公司股票等策略,为达目的不择手段,目的是增加受害者的压力,以提高赎金支付几率。导致勒索事件的性质变得更加恶劣,且更具破坏性和影响力。
现在,勒索软件呈现出攻击水平高、驻留时间短、影响范围广、勒索赎金大的趋势,并且勒索攻击逐渐变得普遍和有效。
我们总结了勒索软件攻击的趋势主要有如下一些方面。
击呈多平台、轻量化攻击趋势
勒索软件呈多平台攻击趋势
根据调查,针对其他平台的勒索攻击正在不断增加,例如常见的Android、Linux、Unix、ICS、Mac平台等。其中,移动平台有着庞大的用户群体,相比PC的勒索软件,手机勒索病毒在近年来也在迅速发展演变,并从以往的锁屏勒索发展到现在的数据文件加密,对个人用户造成的影响巨大,相关安全问题不容小觑。
部分勒索软件运营商将重心从Windows转移到Unix和Linux平台开发加密模块,目前观察到的组织有Defray777、Mespinoza、Babuk、Nephilim、Sodinokibi和 Darkside,这些组织的加入将加快Linux平台的勒索软件发展。
针对ICS/OT工控系统的攻击正在扩散
另外,一些勒索软件将目光放在ICS/OT(工业控制系统),工控勒索软件通常具备APT攻击的复杂特点,部分工控勒索软件会在感染设备上筛选攻击对象,一旦找到目标,将通过脚本、Active Directory攻击或其他机制在网络中扩散和有计划地传播,以同时实现感染和系统破坏。
工业控制系统一直是国家关键基础设施的重要组成部分,被广泛用于化工、电网、水利等领域,如果这些设施遭到勒索软件攻击,将可能导致停水、停电等严重后果,受攻击影响所造成的灾害将是不可逆,且极具毁灭性的。
2020年1月,Dragos工控安全公司披露了一个针对工控系统的EKANS勒索软件,该勒索软件试图干预工业控制系统,加密基础数据并将其劫持控制,要求受害者付款以解密数据。针对工控系统的恶意软件通常具备破坏性攻击行为,例如最广为人知的Stuxnet(震网病毒)攻击事件,该攻击是国家支持的黑客实施的,旨在延迟伊朗核计划。虽然EKANS勒索软件的危害性远远比不上Stuxnet,但它的出现表明网络罪犯正在往工业系统扩散,这也意味着非国家行为体对关键基础设施实体进行攻击或损害的意愿正在加强。
轻量化勒索软件
2021年6月17日,研究人员披露一个名为“DarkRadiation”的新型勒索软件,可针对Linux平台和Docker云容器,DarkRadiation基于Bash脚本编写,感染链涉及多阶段攻击过程,并使用了一组复杂的Bash脚本和多个C&C,脚本具有多个依赖项,通过硬编码API密钥与Telegrambot进行通信。
由于脚本不需要重新编译,即可进行快速迭代更新,通过简单的混淆器工具生成不同的脚本,可以有效规避依赖于静态文件签名检测的安全软件,从而变得更加灵活,适用性更强,预计未来将有更多轻量化的勒索软件出现。
佯装成勒索攻击掩盖真实意图
随着勒索事件的激增,一些受民族国家支持的网络组织看到了机会,将攻击伪装成勒索事件以掩盖真实意图,对目标进行网络间谍活动或实施破坏性攻击,其中比较著名的是NotPetya攻击事件。
2017年6月,乌克兰遭受NotPetya勒索软件的大规模攻击,NotPetya瞄准了乌克兰的流行会计软件(M.E.Doc)更新服务器,向用户推送包含病毒的软件更新,这个假的乌克兰税收软件更新在多个领域横向传播,像蠕虫一样感染网络,造成俄罗斯最大石油企业Rosneft等超过80家俄罗斯、乌克兰公司遭到网络袭击。黑客向能源交通、企业、银行业和国家机构等植入病毒并封锁电脑,相关用户被要求支付300美元的赎金。该事件带来超过100亿美元的总损失。
2020年10月19日,美国司法部宣布起诉6名俄罗斯情报人员,指控其与2017年的NotPetya网络攻击有关,起诉书称,这6个人为了俄罗斯的利益,有意、蓄意地相互勾结,通过未经授权侵入电脑,部署恶意软件等方式进行了一系列破坏性行为。
通过勒索攻击活动掩盖真实意图的策略,逐渐被部分民族国家支持的威胁组织所使用。例如被认为与伊朗政府有关联的Agrius、n3tw0rm和Pay2Key组织,这些勒索团伙开出的赎金较低,并且与受害企业的联络并不积极,缺乏经济动机。被认为以勒索攻击之名,行间谍活动之实,目的是攻击以色列的实体组织,从战略层面打击敌对国家。
服务模型降低攻击门槛
网络安全在飞速发展的同时,地下市场也在蓬勃发展,并衍生出恶意软件开发和黑客服务,这类服务的供应主要通过以下几种方式提供:
1.雇用黑客根据客户定义的要求编写恶意软件。
2.通过地下市场或犯罪论坛购买自定义恶意软件。
3.使用 RaaS 平台,常见的有RaaSberry、Ranion、EarthRansomware和Redfox。
犯罪分子可以通过RaaS平台,在不懂技术的前提下创建自己的勒索软件并进行传播,只需要支付定额的费用即可一直使用,并逐渐发展成为一种名为犯罪软件即服务(CaaS)的新型网络犯罪模式。
犯罪软件即服务(CaaS),指的是网络犯罪生态系统中技术人员向其他网络犯罪分子提供产品和服务的做法。CaaS为网络犯罪集团提供了便利,使不具备技术和经验的犯罪分子也能实施复杂的网络攻击。
CaaS服务在犯罪论坛和地下市场相当普遍,并具有很大的影响力,这是一个由需求驱动的市场,这种模式的危险之处有以下几点:
- 降低网络犯罪门槛。
- 溯源困难。这种模式使执法部门很难将攻击事件归因到特定的犯罪人员。
- 促进高级威胁的发展。高级威胁攻击者可以使用该服务下的攻击手段和攻击工具掩盖行动的真实意图,达到混淆视听的效果。
当CaaS模型应用到常见的恶意软件时,便诞生了各式各样的服务模型,例如勒索软件即服务(RaaS)、恶意软件保护即服务(PaaS)、恶意软件即服务(MaaS)以及初始访问即服务等。
其中应用比较广泛的是勒索软件即服务(RaaS)模式,该模式覆盖了绝大部分的勒索软件运营商,由于这种模式攻击成本低、且效率高,在短时间内涌现了不少新兴的勒索团伙,并使得勒索事件的数量出现了快速上升的迹象。
三重勒索策略或将成为主流
勒索团伙一直在尝试使用各种方法对受害公司施加压力,以增加其获取赎金的可能性,除了常见的二重勒索策略(文件加密和数据泄露)之外,还有另外一种危害极大,但易于发起,且攻击成本极低的勒索策略,也就是所谓的分布式拒绝服务攻击(DDOS)。
在DDOS攻击中,攻击者使用大量集中的 Web 流量攻击目标网站,导致其Web 服务器瘫痪或造成网络卡顿问题,从而影响业务的正常运行。由于DDOS攻击隐蔽性强,且检测困难,因此这种攻击方式成为了难以防范的存在。
目前,部分勒索软件已整合了DDOS攻击能力,一些勒索软件运营商直接将DDOS攻击列入到RaaS的服务列表中,例如SunCrypt和Ragnor Locker是最早使用DDOS策略的勒索软件运营商,其他采用这种策略的组织包括Avaddon和DarkSide。DDOS攻击结合文件加密和数据泄露操作,组成了三重勒索策略,不仅能加密受害者电脑文件,还能对外出售敏感数据,并利用被感染电脑发送恶意网络流量,以此影响受害者系统的带宽或运行速度,若同时实施这三种攻击,所带来的后果将是非常严重且不可逆转的。
针对小型企业的攻击事件上升
2019年10月,一家总部位于阿肯色州的电话销售公司在遭到勒索攻击后,为了恢复系统而支付赎金,但后续的数据恢复工作未能按计划进行,公司领导层决定暂停所有服务,致使300多名员工失业。
这些小型企业通常不具备大型组织的防护及数据保护能力,由于缺乏正确处理攻击事件和防范此类攻击的知识,导致企业在面对网络攻击时非常脆弱,无法在勒索攻击中迅速恢复,甚至面临公司因攻击而倒闭的风险。勒索团伙会根据小型企业的收入调整勒索赎金,并发起了更多的攻击,预计未来针对小型企业的勒索攻击事件将会有明显的上升趋势。
通过模仿提高赎金支付几率
冒充其他勒索团伙以逃避制裁
勒索团伙模仿其他犯罪组织的品牌重塑行为被认为是一种普遍的存在。例如俄罗斯的Evil Corp网络犯罪集团,在2021年4月底的攻击中冒充Babuk勒索团伙,Babuk组织之前运营着一个名为PayloadBin的泄露网站,EvilCorp组织通过将WastedLocker重新命名为PayloadBin,试图诱骗受害者违反OFAC(美国禁止受害者对EvilCorp组织支付赎金,支付的企业将面临被指控违反制裁的风险)规定。
冒充知名勒索团伙以提高赎金支付几率
Prometheus是一个新兴的勒索团伙,该组织在针对美国、英国和其他几个国家的攻击中,自称是Revil勒索组织的其中一员,但研究人员并没有发现两个组织之间的联系,Prometheus可能是利用 Revil组织在勒索领域的声誉和名气来增强攻击的可信度,说服受害者付款。
犯罪分子相互合作
部分勒索团伙会在黑客论坛或地下市场招募合作伙伴,以高额奖金吸引其他人加入勒索领域,为他们分发勒索软件,作为回报,这些合作伙伴将获得60%以上的赎金。另外,一些勒索团伙还试图招募具有恶意软件开发能力或渗透测试能力的黑客为他们工作,例如Revil组织在黑客论坛上存放99个比特币作为竞赛奖金,以促进黑客技术。这些具有高技术能力的黑客加入将使勒索攻击变得更加复杂。随着勒索软件收入的逐步提高,他们变得越来越有组织和选择性,并只招募最好的人才。
一些勒索团伙(例如Ryuk、Egregor和Revil)还会选择与各种用于初始感染的恶意软件(例如TrickBot、BazaLoader和IcedID)背后的参与者紧密合作,例如最多产的恶意软件Emotet,这是一种具有破坏性的多功能恶意软件分发器,在2018年至2020年期间大量分发勒索软件,在今年1月,执法部门摧毁了Emotet的基础设施,防止进一步的感染。
通过有效信息选取高价值目标
勒索团伙在攻击目标时会先进行侦查,利用开源监视工具识别高价值目标,或寻找易受攻击的目标,当选取攻击目标后,通过分析目标公司的收入状况,制定公司承受范围内的赎金金额。如果一些初始访问代理(TrickBot、BazaLoader和IcedID)已经入侵了目标公司,勒索团伙将会与其建立合作,购买访问权限,利用现有的恶意软件后门实现横向移动和全域入侵。
全球对于勒索软件的看法
英国政府通信总部(GCHQ)网络安全部门负责人表示,勒索软件是英国面临的主要威胁。英国国家网络安全中心(NCSC)首席执行官Lindy Cameron在演讲中表示,网络犯罪分子所处的生态系统正在不断发展,随着RaaS模式的成功,黑客加密数据并要求支付巨额赎金的现象正在不断升级,并变得越来越专业。
在美国管道运营商Colonial Pipeline遭黑客攻击之后,美国司法部将考虑把勒索软件攻击的调查提升到与恐怖主义类似的优先级别。
在北约的G7峰会上,G7成员国领导人(来自英国、美国、加拿大、日本、德国、法国和意大利,加上欧盟)发布联合声明,承诺共同努力,以解决来自勒索软件犯罪网络的不断升级的共享威胁。并呼吁所有国家紧急识别和破坏其境内运作的勒索软件犯罪网络,让犯罪分子对其行为负责。由于大多数勒索软件攻击是由俄罗斯勒索软件团伙实施的,因此,G7领导人还特别呼吁俄罗斯追究在其境内实施勒索软件攻击的犯罪分子的责任。
从G7峰会上发表的联合声明可以看出,各种领导人已达成打击勒索软件威胁的共识。随着全球逐渐建立打击摧毁勒索犯罪网络的共识,未来的勒索犯罪团伙的运营风险将会增加。
事后修复
据调查,勒索软件攻击后的平均恢复成本从去年的700,000美元增加至今年的1,700,000美元,考虑到事件响应和恢复时间所带来的各种因素,实际恢复成本将远超勒索团伙所提出的赎金要求,主要体现在以下几点:
- 事件响应成本:大部分企业通常并不具备安全响应团队,当攻击事件发生时,需要聘请信息安全专家来调查事件、找回数据或修复系统。事件响应对于查明黑客的入侵路径很有帮助,能够有效防止再次遭受类似攻击。由于大多数勒索软件的加密不可逆,也可能出现花费了时间和成本却无法对恢复业务有帮助的情况。
- 数据备份成本:为避免再次遭到网络攻击导致的系统瘫痪,企业应做好备份数据和关键系统映像的准备,定期备份网络并脱机存储,以便在遭遇类似威胁攻击时能快速重建服务器。
- 系统升级成本:企业遭到攻击通常是因为使用低版本或带有缺陷的系统、软件,因此需要彻查并升级相关系统和基础设施,确保安装的是最新的操作系统和安全补丁程序,同时弃用或替换有缺陷的软件或产品,并应用多因素身份验证来确保网络免受网络攻击。
- 声誉损失成本:勒索攻击事件会对企业造成一定的声誉损失,从而影响供应商和其他第三方之间的合作关系,甚至由此产生信任危机,导致合作终止。
- 法律风险成本:对于大部分国家而言,有明确的法律规定企业禁止泄露敏感信息,否则将面临因数据泄露而导致的巨额罚金等法律风险问题。例如被美国实施经济制裁的Evil Corp勒索组织,向Evil Corp支付赎金的行为将被美国视为违反OFAC(外国资产控制办公室)法规,企业将面临严重的指控,由于现在勒索软件普遍使用双重勒索策略,企业如果不支付赎金,将面临另一种数据泄露的法律风险,无论是哪种境地,企业都处于两难的状态。
大多数公司在遭受勒索攻击时,把目光放在了如何快速恢复数据并重新上线业务系统,却忽略了网络入侵问题。在今年发生的一起勒索攻击事件中,一家未透露名称的公司支付了数百万美元以获取解密密钥,在解密后的两周内未能查清攻击原因,导致该公司被相同的勒索软件再次勒索,该公司最终支付了第二笔赎金。这个案例充分说明了事后分析的重要性。
一些公司因迫切想恢复业务而选择支付赎金,但根据调查结果显示,只有不到10%的公司在支付赎金后恢复所有数据,更多的受害者只能恢复一般数据。即使支付数据,也不能保证勒索团伙信守承诺发放安全无害且能正确使用的解密密钥,即便密钥是正确的,也很难保证勒索团伙会删除受害公司的数据,勒索团伙完全可以制作副本,并在地下市场上出售给其他网络犯罪分子,以便进行二次勒索,这些案例表明支付赎金并不能确保数据或系统将不再受到损害。 对于一般企业而言,只能采取以预防为主的检测策略来提前应对威胁,在损害业务之前阻止攻击发生。
总结
勒索软件一直是广泛存在的网络安全问题,自诞生以来就在迅速发展,并由此衍生出复杂且成熟的网络犯罪产业,如今已成为庞大的网络犯罪生态系统,并从网络走向现实,对全球150个国家的教育、医疗、金融、能源等多个行业造成严重的影响。其所直接或间接造成的数据损坏、业务中断、企业声誉损害、生产力停滞、经济损失等损害甚至影响国家经济发展。
勒索软件攻击加速网络犯罪行业发展,使其成为一种越来越具有破坏性的网络犯罪形式。而在勒索威胁快速增长的同时,如何有效打击这种网络犯罪成为了目前需要迫切解决的问题,这需要各国的私营企业和执法部门联合行动,共同对抗网络威胁,遏止勒索攻击事件的发生。
若有收获,就点个赞吧
0 人点赞
