2020年，熱度飆升的勒索軟件已經成為與APT并列的最危險的網絡安全威脅。針對性、復雜化和高傷害成本是2020年勒索軟件加速“進化”的三大特征。

[[317526]]

重裝上陣

過去一年中業界多家安全廠商對勒索軟件監測發現：勒索軟件在陷入一段時間低潮后，已經全面恢復活力，攻擊勢頭上升，頻率也在增加。

Juniper Network威脅實驗室負責人Mounir Hahad指出了勒索軟件攻擊再次激增的兩大深層原因：首先，加密貨幣價格的變化無常。很多加密貨幣劫持者都利用受害者電腦挖掘開源加密貨幣門羅幣(Monero);隨著門羅幣價格的下跌，某個時候，加密貨幣劫持者就會意識到挖礦還不如勒索軟件攻擊賺錢。而由于已經在受害者主機上植入了木馬下載器，加密貨幣劫持者就很容易在時機合適的時候發起勒索軟件攻擊。

刺激勒索軟件卷土重來的另一大趨勢就是企業級攻擊的高收益。越來越多的攻擊針對載有任務關鍵數據的生產服務器。Hahad稱：

一臺筆記本被鎖定，企業不會太過重視。但如果是關系到日常業務生產的多臺服務器被劫持，勒索者的議價空間就太大了。

多年來，勒索軟件攻擊已經日趨成熟，技術上日趨隱蔽和復雜，同時修復了早期迭代所存在的許多實現錯誤。與冠狀病毒類似，一度被“免疫系統”(端點安全軟件)扼制的勒索軟件近年來通過與流行的數據泄露軟件“載體”結合產生了新的“商業模式”和攻擊矢量，與此同時自身代碼和變體也在不斷進化，例如過去主要感染Windows系統，而新一代勒索軟件對Mac OS系統、移動操作系統甚至工控系統都形成威脅，“傳染性”大大提升。

目標轉移：從個人轉向企業

勒索軟件最初是作為一種面向個人消費者的安全威脅，這些攻擊曾經誘使人們支付虛假罰款或購買流氓軟件來解決不存在的問題。盡管早期的攻擊活動對網絡犯罪團伙證明是有利可圖的，但“2C勒索軟件市場”變得過于擁擠。而且隨著個人防病毒軟件公司提高了勒索軟件的檢測能力，通過網絡傳播以吸引盡可能多的受害者的方法收益越來越差。

廣撒網式戰術無法給攻擊者帶來太多投資回報。具備良好橫向移動能力的針對性攻擊才能滿足此類攻擊者的高投資回報需求，而大多數情況下，橫向移動可不是能夠靠腳本或機器人程序自動實施的。奪取最初的入侵立足點之后，攻擊者得人工探查受害網絡，移動文件，提升權限，獲取管理員憑證，以便遠程入侵另一臺機器。

Malwarebytes2019年8月發布的報告顯示，2018年第四季度開始，企業端的勒索軟件攻擊暴增，而面向個人的攻擊則呈下降趨勢。安全公司Malwarebytes指出：

勒索軟件這個一度休眠的危險物種，已經大范圍地恢復了生命力，攻擊活動從大規模的消費者活動轉變為高度威脅的活動，尤其是面向企業的針對性手工攻擊，該趨勢與永恒之藍漏洞利用有關。

由于永恒之藍(EternalBlue)漏洞的存在，如今勒索軟件攻擊一家企業的難度已經極大降低，永恒之藍是2017年3月曝出的微軟服務器消息塊(SMB)協議漏洞，影響了所有版本的Windows。該漏洞也成了WannaCry、NotPetya和其他勒索軟件蠕蟲通過公司網絡傳播的主要方法。

WannaCry和NotPetya的破壞性爆發凸顯了企業安全的重要性和脆弱性。過去，人們認為這些擁有強大安全團隊的公司黑客很難闖入，但是勒索軟件輕松就突破了傳統安全防線，攻擊規模和破壞力巨大，不是因為配置錯誤，而是因為沒有及時打補丁。

勒索軟件的“成功案例”掀起一股“掙錢效應”，很多網絡犯罪分子意識到，攻擊企業更加有利可圖。

影響和損失難以評估

由于并非所有的私營公司都會披露勒索軟件事件，因此就成本和普遍性而言，難以量化勒索軟件攻擊對商業領域的影響。

在2019年10月發布的警報中，FBI的互聯網犯罪投訴中心(IC3)警告說：

自2018年初以來，“泛攻擊”的勒索軟件活動發生頻率急劇下降，但勒索軟件攻擊造成的損失卻顯著增加。

IC3認為：

即使攻擊的總體頻率保持一致，勒索軟件攻擊也變得更有針對性，更復雜且造成的損失更大。

上市公司有時會在其證券交易委員會(SEC)的文件中發布有關勒索軟件攻擊的影響的信息，因為這是其向股東披露重大網絡攻擊的義務的一部分，尤其是當公司需要向客戶和合作伙伴解釋嚴重業務中斷時。

例如，由于2017年NotPetya勒索軟件的襲擊，運輸巨頭馬士基(Maersk)不得不在17個港口碼頭暫停運營，這導致大量貨船排隊等候貨物裝載和后勤噩夢，需要數月的時間才能恢復。該事件使公司損失了超過2億美元，但同時也嚴重影響了客戶的業務。

當勒索軟件襲擊市政機構、醫院、學校或警察部門等公共機構時，其社會影響更大，而目前獲得的統計數字也令人擔憂。根據安全公司Emsisoft于2019年12月發布的勒索軟件攻擊損失報告：

2019年全年，勒索軟件在美國攻擊了113個政府機構，市政當局和州政府。波及764位醫療保健提供者以及89個大學、學院和學區，其中有多達1,233所學校。

由于預算有限，IT基礎架構過時，公共機構的安全防御等級無法與大公司相比，更容易成為攻擊者的目標。

不亞于APT的新威脅

勒索軟件是少有的、能同時攻擊財富500強企業和鄰居大爺大媽的網絡威脅。

因此，雖然最新的趨勢顯示公共機構更容易成為攻擊目標，但對于私營公司而言，感染勒索軟件的風險并不會降低。在過去的幾年中，勒索軟件犯罪組織采用了復雜的技術，包括針對性的交付機制，以及采用高級持續威脅(APT)技術的“手動攻擊”，例如SamSam。

SamSam是一個可追溯到2016年的勒索軟件程序，它以“高效率的手動攻擊”部署而聞名，但是在過去的一年中，如Ryuk、RobinHood和Sodinokibi這些新的勒索軟件組織也采用了類似的策略。

此外，有跡象表明，勒索軟件正在演變成一種新型威脅，網絡犯罪分子不僅在加密數據，而且還在竊取數據并威脅要在互聯網上發布數據。這使組織面臨破壞性的公共數據泄露以及相關的法規、財務和聲譽影響。

2019年12月，一個名為Maze的黑客組織揚言如果組織拒絕支付贖金將公布通過勒索軟件竊取的數據。受害者包括佛羅里達州彭薩科拉市，該市在12月7日遭到襲擊，其電話、市政熱線、電子郵件服務器和賬單支付系統遭到破壞。

其他黑客團體已將數據泄漏用作勒索技術。2015年，針對消費者的勒索軟件程序Chimera曾威脅要發布從受害者那里竊取的私人信息。但這只是一個虛假恐嚇，Chimera實際上并未從受感染的系統中竊取任何數據。

多年來，網絡罪犯揚言公開被盜信息的許多威脅被證明是虛假的，因為竊取大量數據并不是一件容易的事情，黑客需要能夠接收和存儲數百TB數據的大規模基礎架構。但是，云基礎架構的興起使這些攻擊變得更加可行，這種云架構更容易維護，且存儲和數據流量成本更低。

在2019年12月下旬，Maze組織發布了他們聲稱被盜的部分數據，以證明他們確實擁有從受害者那里竊取的潛在敏感信息。他們的第一個網站托管在愛爾蘭的ISP上，但該網站已被撤下，但是不久之后，他們又通過位于新加坡的另一個網站重新上線。

安全專家Kujawa認為：

這是這種勒索軟件威脅出乎意料的演變。可以肯定的是，它確實使罪犯更多地暴露了出來，但這也是一種施加壓力的有效方法。它利用了媒體的力量。

Kujawa認為，勒索軟件團伙可能會越來越多地采取這種策略，因為隨著越來越多的組織學習如何處理勒索軟件并制定可靠的數據恢復計劃，犯罪分子可能會發現僅通過鎖定文件來從他們那里獲取金錢變得更加困難。

新的攻擊方法

勒索軟件的主要分發渠道和方法仍然是魚叉式網絡釣魚和不安全的遠程桌面協議(RDP)連接。但值得注意的是，勒索軟件攻擊者還可以通過與其他惡意軟件或者攻擊者“業務合作”來訪問那些感染了其他惡意軟件的系統。勒索軟件攻擊者可以從地下網絡黑市(暗網市場)購買被黑客入侵的計算機和服務器的訪問權，而僵尸網絡也提供付費“投放”業務。例如， Emotet垃圾郵件僵尸網絡，TrickBot憑據竊取木馬和Ryuk勒索軟件之間的“協作共生”關系是眾所周知的。

托管安全服務提供商Secureworks的安全研究員Chris Yule在11月的DefCamp會議上的演講中說：

Ryuk勒索軟件事件的最初危害幾乎總是通過主流惡意軟件引起的。我們看到Emotet導致了TrickBot感染，隨著時間的流逝，我們看到其中一些TrickBot感染導致了Ryuk的傳播。

根據Yule的說法，Trickbot正在進行自動憑證盜竊的正常活動，但是一旦Ryuk運營商接手，一切都會改變。該活動變得更加“手動化”，涉及使用系統管理工具、網絡掃描、使用PowerShell Empire之類的公共攻擊框架來禁用端點惡意軟件檢測等等。攻擊者需要花時間學習環境、確定域控制器和其他重要目標，并為大規模勒索軟件的襲擊做好準備，同時努力保持未被檢測到，這其實是APT組織的一種常見策略。

好消息是，在最初的Emotet感染與Ryuk部署之間，公司通常可以在很長一段時間窗口內檢測并處理感染。在Yule給出的案例中，該期限為48天。

壞消息是，如果沒有更先進的網絡和系統監視工具，基于常規的安全策略來檢測這種類型的手動黑客攻擊和橫向移動并不容易。這意味著，尚未具備APT防御能力的組織可能會更容易遭受勒索軟件和其他復雜的網絡犯罪攻擊的打擊。

某些勒索軟件組織在過去的一年中采用的另一個有趣的感染媒介是托管服務提供商(MSP)，這些提供商憑借其提供的服務而有權訪問其許多企業的網絡和系統。這帶來了一個問題，因為中小型組織將其網絡和安全管理外包給專業的供應商，因此，對于中小型企業來說，需要采取措施評估和限制受信任的第三方企業或工具，防止此類內部威脅造成嚴重損失(編者按：試想一下微盟刪庫事件的主角是一個勒索軟件黑客組織而不是一個情緒不穩的運維人員)。

此外，使用Web漏洞利用工具包來針對企業和部署勒索軟件(尤其是RIG漏洞利用工具包)的現象再次流行。這些是通過受攻擊的網站發起的水坑攻擊，攻擊者知道這些攻擊與某些業務部門有關，或者有可能被其目標員工訪問。

難以破解的勒索軟件加密

安全公司一直試圖在勒索軟件程序的文件加密實現中發現漏洞，以幫助受害者在不支付贖金就能恢復被加密的文件。這些解密工具通常是免費發布的，可以在歐洲刑警組織維護的這個網站NoMoreRansom.org上獲得。

但是，勒索軟件組織使用的勒索軟件程序在技術上進步很快，攻擊者從過去的錯誤或其他勒索軟件開發人員的錯誤中吸取了教訓，并糾正了實施錯誤。

一些勒索軟件程序的代碼已在線泄漏，可以復制和改進。操作系統還提供了加密API，并且有經過嚴格審查的開源加密框架和庫。所有這些意味著，最流行的勒索軟件程序也是最危險的，因為它們使用強大的加密算法并且沒有解決方案。

對于組織而言，制定備份計劃和定期測試的數據恢復計劃至關重要，采用異地備份或離線存儲，以防止攻擊者將其刪除或加密。

勒索軟件防御

常規的勒索軟件防御措施大致有以下幾點：

1. 安全加固

首先，組織應該通過執行內部和外部滲透測試并確定暴露于互聯網的任何潛在易受攻擊的系統、服務器和網絡遠程連接(例如VPN或RDP)。啟用高熵密碼(消滅弱密碼)和雙因素身份驗證(2FA)。

在網絡內部，公司應確保端點和服務器的操作系統和所運行軟件的補丁程序是最新的。應根據最小特權原則對網絡進行分段，以使一個部門中的工作站受到損害不會輕易導致整個網絡被接管。在Windows網絡上，應仔細監視域控制器是否存在異常訪問。

2. 供應鏈安全

依賴MSP或受管安全服務提供商(MSSP)的組織應確保監視和記錄了來自這些第三方的連接，并且啟用了雙因素認證。提供給第三方的網絡和系統訪問權限應僅限于執行其工作所需的內容(最小化權限策略)。

3. 資產發現

企業應當盡快建立對業務運營至關重要的數據資產的完整清單，存儲資產清單的系統應嚴格控制。

4. 端點防護

由于許多勒索軟件感染都是從受感染的工作站開始的，因此使用端點反惡意軟件非常重要。從瀏覽器中刪除不需要的插件和擴展，保持軟件為最新，并確保員工帳戶具有有限的特權也是如此。

5. 意識培訓

培訓員工如何發現網絡釣魚電子郵件，以及如何詢問要求他們打開文件或單擊鏈接的不請自來的郵件。創建一個由安全團隊監控的特殊電子郵件地址，員工可以在其中轉發他們認為可疑的電子郵件。

6. 事件響應

最后，起草事件響應計劃，并確保每個相關人員都知道自己的角色，以及一旦發生侵害時需要采取的措施，包括與您的安全供應商或MSSP以及執法部門如何進行溝通。不要輕視常規惡意軟件感染，徹底調查它們，因為它們可能并且經常是更嚴重威脅的勒索軟件的入侵媒介。

7. 最佳實踐框架

2020年2月，美國國家標準技術研究院(NIST)發布了有關處理勒索軟件最佳實踐的兩項實踐準則草案。準則草案名為“數據完整性：識別和保護資產免遭勒索軟件和其他破壞性事件”和“數據完整性：檢測和響應勒索軟件和其他破壞性事件”。該草案預計在2020年下半年發布將最終指南。

相關資料與工具：

• 勒索軟件解密工具站點(No More Ramsom)：https://www.nomoreransom.org/en/decryption-tools.html
• 美國網絡安全與基礎設施安全局勒索軟件預防相應建議：https://www.us-cert.gov/Ransomware
• NIST勒索軟件檢測和響應指南：https://www.nccoe.nist.gov/projects/building-blocks/data-integrity/detect-respond

 【本文是51CTO專欄作者“安全牛”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文