勒索軟件五大家族的攻擊目標與方法
勒索軟件是劫持數據以索求贖金的一類惡意軟件,面世已頗有些年頭。第一起勒索軟件攻擊發生在1991年,當時一位生物學家通過平郵將載有首個勒索軟件PC Cyborg的軟盤寄給其他研究艾滋病的科學家。新千年第一個十年中期,采用加密技術的首款勒索軟件Archiveus出現,其密碼至今仍可在維基百科頁面上找到——盡管此勒索軟件早已被安全社區擊潰。10年代初,“警方”系勒索軟件包浮出水面;此類勒索軟件因假冒司法機構發出的違法警告并索取“罰款”而得名,開始利用新一代匿名支付服務避開監管漁利。
21世紀第二個十年里,一種新的勒索軟件趨勢浮現:網絡罪犯首選加密貨幣作為贖金支付方式。加密貨幣本就專為不可追蹤的匿名支付而設計,對勒索者的吸引力顯而易見。比特幣是最為著名的加密貨幣,絕大多數勒索軟件攻擊者都要求以比特幣支付贖金。不過,比特幣的廣為流傳也使其價值波動性增大,有些攻擊者已開始轉向其他的加密貨幣。
10年代中期,勒索軟件攻擊飆升到了危機的程度。但到了2018年,勒索軟件熱潮似乎開始消退,另一種非法攫取比特幣的方式逐漸冒頭:加密貨幣劫持。這種方法甚至無需受害者知曉比特幣錢包是什么,就能利用受害者電腦挖掘比特幣。利用垃圾郵件分發者和DDoS攻擊者沿用多年的腳本模式,這些加密貨幣劫持者能在用戶毫不知情的情況下偷偷獲取計算機系統的控制權。受害用戶電腦被黑后即變身比特幣挖礦機,在后臺默默生產加密貨幣,吃掉空閑計算周期,悄悄耗費受害者大量計算資源與電力。2018年里,勒索軟件攻擊逐漸下降,而加密貨幣劫持攻擊則激增450%。
過去兩年來,由于加密幣市場的巨幅波動,原本醉心于挖礦的勒索軟件調轉槍口卷土重來,其攻擊技術和危害性也有極大提升,以下是新時期安全業界尤為頭疼的勒索軟件五大家族。
1. SamSam
SamSam勒索軟件攻擊始于2015年末,但其真正激增出現在后面幾年,科羅拉多運輸部、亞特蘭大市和多家醫療保健機構都淪為了SamSam的受害者。該勒索軟件攻擊完美展現了攻擊者組織技能的重要性,充分證明組織協同能力對網絡攻擊者而言堪比代碼編程技藝。不同于一些其他勒索軟件的做法,SamSam并非無差別地探查某些具體漏洞,而是以勒索軟件即服務的方式運營:控制者小心探測預選目標的弱點,利用的漏洞涵蓋IIS、FTP、RDP等多種服務與協議。一旦進入系統內部,攻擊者便相當敬業地提升權限,確保開始加密文件時攻擊具有足夠的破壞力。
盡管安全研究人員最初認為SamSam源自東歐,但絕大部分SamSam攻擊卻針對美國境內的組織機構。2018年末,美國司法部判定兩名伊朗人是攻擊的背后主使;起訴書宣稱這些攻擊造成了超過3,000萬美元的損失。目前尚不清楚這一數字是否真實反映出已支付的贖金數額;亞特蘭大市官方曾在當地媒體上發布過附帶攻擊者聯系信息的勒索信截屏,正是該信息導致了此通信門戶的關閉,可能阻止了亞特蘭大支付此筆贖金(想付也付不了了)。
2. Ryuk
Ryuk是2018和2019年間盛行的另一大勒索軟件,其目標受害者是精心挑選出來的難以承受宕機后果的組織機構,包括日報社和北卡羅來納州正努力從颶風佛羅倫薩的余波中恢復的一家水廠。《洛杉磯時報》詳細報道了自家系統遭感染后發生的一切。Ryuk一個特別狡詐的功能是可以禁用被感染電腦上的Windows系統還原(Windows System Restore)選項,令受害者更難以在不支付贖金的情況下找回被加密的數據。鑒于攻擊者針對的是高價值受害者,贖金目標也轉為高企;圣誕季的一波攻擊表明了他們為達成目標毫不介意毀掉圣誕節。
安全分析師認為,Ryuk源代碼很大程度上出自朝鮮Lazarus黑客團伙的Hermes惡意軟件。但這并不表明Ryuk攻擊本身是朝鮮發起的,邁克菲認為其代碼基礎由俄語區供應商提供,因為該勒索軟件不會在系統語言設置為俄語、白俄羅斯語和烏克蘭語的計算機上執行。至于該俄羅斯供應源如何從朝鮮獲得的代碼,我們就不得而知了。
3. PureLocker
2019年11月,IBM和Intezer共同發表了一篇文章,講述新型勒索軟件變種PureLocker的運行機制。該勒索軟件可在Windows或Linux機器上執行,是新一波針對性惡意軟件的絕佳代表。PureLocker并不通過廣泛的網絡釣魚攻擊進駐受害主機,而是與幾個著名網絡犯罪團伙所用的more_eggs后門軟件有關。換句話說,PureLocker安裝在已被攻擊者入侵并探查清楚的機器上,且會在運行前先檢查自身所處環境,而不是盲目加密數據。
盡管并未披露PureLocker感染范圍,但IBM和Intezer揭示出企業生產服務器這類明顯高價值目標是遭受攻擊最嚴重的。由于此類攻擊需要較高水準的人工控制,Intezer安全研究員Michael Kajiloti認為PureLocker是能承受高額前期投入的犯罪組織才能入手的勒索軟件即服務產品。
4. Zeppelin
Zeppelin是Vega/VegasLocker勒索軟件家族的進階版,繼承并發展了這一肆虐俄羅斯和東歐會計企業的勒索軟件即服務產品。Zeppelin創新了幾個技術花招,其可配置功能尤為突出,但真正讓它在Vega家族鶴立雞群的,是其針對性攻擊的本質。Vega的傳播某種程度上而言有點漫無目的,且主要活躍在俄語世界,Zeppelin則特別設計為不在俄羅斯、烏克蘭、白俄羅斯和哈薩克斯坦的電腦上運行。Zeppelin的部署方式也很多,包括可執行文件(EXE)、動態鏈接庫(DLL)和PowerShell加載器,但有些攻擊甚至能通過被黑托管安全服務供應商部署,這就令人不寒而栗了。
Zeppelin開始嶄露頭角是在2019年11月,作為區別于Vega的明證,其目標似乎是仔細挑選的。受害者大多數屬于北美和歐洲的醫療保健和技術行業,有些勒索信就是特別針對受感染目標機構寫就的。安全專家認為,Zeppelin在行為上偏離Vega是因為其代碼庫可能轉手給了更具野心的俄羅斯黑客;盡管感染數量沒Vega那么高,但部分專家覺得目前觀測到的情況有可能是更大攻擊潮的概念驗證。
5. REvil/Sodinokibi
Sodinokibi亦名為REvil,首次出現于2019年4月。與Zeppelin類似,Sodinokibi源自名為GandCrab的另一惡意軟件家族,同樣具有不在俄羅斯及其鄰國(如敘利亞)執行的特點,表明其源頭可能也是俄語區。其傳播方式多樣,可利用Oracle WebLogic服務器或Pulse Connect Secure VPN中的漏洞。
Sodinokibi的傳播再次凸顯出其背后命令與控制團隊將之作為勒索軟件即服務產品的野心。該勒索軟件在2019年9月造成德克薩斯州22個以上的市鎮宕機,但其真正臭名昭著是在新年夜搞崩英國貨幣兌換服務Travelex之時,此次襲擊導致機場陷入紙筆運營,令無數客戶茫然無措。攻擊者要求高達600萬美元的贖金,不過受害公司既沒證實也沒否認是否支付了贖金。
在Juniper Networks威脅實驗室負責人Mounir Hahad眼中,2019最嚴重勒索軟件攻擊是Sodinokibi,因為該勒索軟件的控制者在攻擊中引入了額外的變化。最特別的一點就是,這伙黑客不僅告訴人們“不付贖金就拿不回數據”,還會威脅稱“將在網上公開或在地下論壇競拍這些機密數據”。這種新的勒索方式將此商業模式推升到了新的高度,與傳統勒索模式大為不同——畢竟,這種方法無需費勁滲漏即可鎖定受害者數據,但又切切實實地威脅到了受害者。高針對性、強定制化的勒索軟件新時代似乎正走向危險新深淵。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
