網絡安全知識:什么是勒索軟件?
定義
勒索軟件是一種惡意軟件,通常通過加密來威脅發布或阻止對數據或計算機系統的訪問,直到受害者向攻擊者支付贖金。在許多情況下,贖金要求都有最后期限。如果受害者沒有及時付款,數據就會永遠消失,或者贖金會增加。
勒索軟件攻擊已經變得非常普遍。北美和歐洲的大公司都成為了受害者。網絡犯罪分子攻擊任何行業的任何消費者或企業。
包括美國聯邦調查局 (FBI) 在內的多個政府機構建議不要支付贖金,以免鼓勵勒索軟件循環,“不再勒索項目”也是如此。此外,支付贖金的受害者中有一半可能會遭受重復的勒索軟件攻擊,特別是如果它沒有從系統中清除的話。
勒索軟件攻擊的歷史
勒索軟件可以追溯到 1989 年,當時“艾滋病病毒”被用來向勒索軟件接收者勒索資金。該攻擊的付款被郵寄到巴拿馬,此時解密密鑰被發送回用戶。
1996 年,哥倫比亞大學的 Moti Yung 和 Adam Young 推出了被稱為“加密病毒勒索”的勒索軟件。這個誕生于學術界的想法闡釋了現代密碼工具的進步、力量和創造。Young 和 Yung 在 1996 年 IEEE 安全和隱私會議上提出了首次加密病毒學攻擊。他們的病毒包含攻擊者的公鑰并加密了受害者的文件。然后,惡意軟件提示受害者向攻擊者發送非對稱密文,以解密并返回解密密鑰(需付費)。
多年來,攻擊者越來越有創意,要求支付幾乎無法追蹤的費用,這有助于網絡犯罪分子保持匿名。例如,臭名昭著的移動勒索軟件 Fusob 要求受害者使用 Apple iTunes 禮品卡而不是美元等標準貨幣進行支付。
隨著比特幣等加密貨幣的增長,勒索軟件攻擊開始流行起來。加密貨幣是一種數字貨幣,它使用加密技術來驗證和保護交易并控制新單位的創建。除了比特幣之外,攻擊者還提示受害者使用其他流行的加密貨幣,例如以太坊、萊特幣和瑞波幣。
勒索軟件攻擊了幾乎所有垂直領域的組織,其中最著名的病毒之一是對長老會紀念醫院的攻擊。這次攻擊感染了實驗室、藥房和急診室,凸顯了勒索軟件的潛在損害和風險。
隨著時間的推移,社會工程攻擊者變得更具創新性。英國《衛報》報道了一種情況,新的勒索軟件受害者被要求讓另外兩名用戶安裝該鏈接并支付贖金來解密他們的文件。
勒索軟件的類型
勒索軟件的日益流行帶來了日益復雜的勒索軟件攻擊。
- 恐嚇軟件:這種常見類型的勒索軟件通過顯示虛假警告消息來欺騙用戶,聲稱已在受害者的計算機上檢測到惡意軟件。這些攻擊通常偽裝成防病毒解決方案,要求付費才能刪除不存在的惡意軟件。
- 屏幕鎖:這些程序旨在將受害者鎖定在計算機之外,阻止他們訪問任何文件或數據。通常會顯示一條消息,要求付款才能解鎖。
- 加密勒索軟件:也稱為“加密勒索軟件”,這種常見的勒索軟件會對受害者的文件進行加密,并要求付款以換取解密密鑰。
- DDoS 勒索:分布式拒絕服務勒索威脅會對受害者的網站或網絡發起 DDoS 攻擊,除非支付贖金。
- 移動勒索軟件:顧名思義,移動勒索軟件針對智能手機和平板電腦等設備,并要求付費才能解鎖設備或解密數據。
- Doxware:雖然不太常見,但這種復雜類型的勒索軟件可能會發布受害者計算機上的敏感、明確或機密信息,除非支付贖金。
- 勒索軟件即服務 (RaaS):網絡犯罪分子向其他黑客或網絡攻擊者提供勒索軟件程序,這些黑客或網絡攻擊者使用此類程序來瞄準受害者。
這些只是一些最常見的勒索軟件類型。隨著網絡犯罪分子適應網絡安全策略,他們轉向利用新的創新方法來利用漏洞和破壞計算機系統。
勒索軟件示例
通過了解下面的主要勒索軟件攻擊,組織將獲得其策略、漏洞和特征的堅實基礎。雖然勒索軟件代碼、目標和功能不斷變化,但攻擊創新通常是漸進的。
- WannaCry:利用強大的 Microsoft 漏洞創建了一種全球性的勒索軟件蠕蟲,該蠕蟲感染了超過 250,000 個系統,然后啟動了終止開關以阻止其傳播。Proofpoint 參與識別用于查找終止開關的樣本并解構勒索軟件。了解有關Proofpoint 參與阻止 WannaCry 的更多信息。
- CryptoLocker:這是當前一代早期的勒索軟件,需要加密貨幣(比特幣)進行支付,并對用戶的硬盤驅動器和連接的網絡驅動器進行加密。CryptoLocker通過一封帶有聲稱是 FedEx 和 UPS 跟蹤通知的附件的電子郵件進行傳播。2014 年為此發布了解密工具。但各種報告表明 CryptoLocker 勒索了超過 2700 萬美元。
- NotPetya: NotPetya 被認為是最具破壞性的勒索軟件攻擊之一,它利用了同名的Petya策略,例如感染和加密基于 Microsoft Windows 的系統的主引導記錄。NotPetya 針對與 WannaCry 相同的漏洞,快速傳播比特幣支付需求以撤消更改。有些人將其歸類為擦除器,因為 NotPetya 無法撤消其對主引導記錄的更改,并使目標系統無法恢復。
- Bad Rabbit:Bad Rabbit被認為是 NotPetya 的近親,使用類似的代碼和漏洞進行傳播,是一種明顯的勒索軟件,似乎針對俄羅斯和烏克蘭媒體公司。與 NotPetya 不同的是,如果支付了贖金,Bad Rabbit 確實允許解密。大多數案例表明,它是通過虛假的 Flash 播放器更新傳播的,該更新通過路過式攻擊影響用戶。
- REvil: REvil 是由一群出于經濟動機的攻擊者編寫的。它會在加密之前泄露數據,以勒索目標受害者,如果他們選擇不發送贖金,則必須付費。此次攻擊源于用于修補 Windows 和 Mac 基礎設施的 IT 管理軟件遭到破壞。攻擊者破壞了用于將 REvil 勒索軟件注入企業系統的 Kaseya 軟件。
- Ryuk: Ryuk 是一種手動分發的勒索軟件應用程序,主要用于魚叉式網絡釣魚。通過偵察仔細選擇目標。電子郵件會發送給選定的受害者,然后受感染系統上托管的所有文件都會被加密。
勒索軟件統計
盡管勒索軟件攻擊的數量多年來一直在波動,但這些類型的網絡攻擊仍然是對組織最常見且代價最高的攻擊之一。勒索軟件攻擊統計數據令人震驚,呼吁組織采取行動加強網絡安全措施和安全意識培訓。
- 根據 Sophos 的《2022 年勒索軟件狀況》報告,2021 年勒索軟件攻擊影響了 66% 的組織,與 2020 年相比同比大幅增長 78%。
- Proofpoint 的 2023 年網絡釣魚狀況報告發現,64% 的受訪組織表示他們在 2022 年受到勒索軟件的影響,其中超過三分之二的組織報告了多起事件。反過來,專家推測去年的實際事故數量和相關損失遠高于報道的數量。
- 醫療保健行業仍然是勒索軟件的最大目標,贖金支付率為 85%。然而,根據 BlackFog 的 2022 年勒索軟件報告,教育機構的勒索軟件攻擊增幅最大(2021 年為 28%)。
- 根據 Google 的 VirusTotal 服務,Windows 系統代表了絕大多數受影響的系統,占勒索軟件惡意軟件攻擊的 95%。
- 據 Cybersecurity Ventures 稱,到 2031 年,勒索軟件攻擊預計每年會給受害者造成超過 2650 億美元的損失。
勒索軟件趨勢
根據最新統計數據,勒索軟件趨勢不斷發展。一些值得注意的最引人注目的趨勢包括:
- 全球化威脅增加
- 更有針對性和復雜的攻擊
- 多級勒索技術的增長
- 勒索軟件泄露的頻率更高
- 隨著安全態勢的加強,贖金價格趨于穩定
政府干預是另一個可能改變勒索軟件攻擊處理方式的主要趨勢。Gartner 預測,到 2025 年,全球 30% 的政府可能會頒布勒索軟件支付立法。
勒索軟件付款的平均折扣似乎也在增加。根據最新的勒索軟件趨勢,受害者的贖金支付可享受 20% 至 25% 的折扣,有些人的折扣甚至高達 60%。
勒索軟件如何運作
勒索軟件是一種惡意軟件,旨在向受害者勒索金錢,受害者被阻止或阻止訪問其系統上的數據。最流行的兩種勒索軟件是“加密器”和“屏幕鎖”。顧名思義,加密器對系統上的數據進行加密,如果沒有解密密鑰,內容將毫無用處。另一方面,屏幕儲物柜只是通過“鎖定”屏幕阻止對系統的訪問,斷言系統已加密。
圖 1:勒索軟件如何試圖誘騙受害者安裝它
受害者通常會在鎖定屏幕(加密器和屏幕儲物柜都很常見)上收到通知,要求他們購買加密貨幣(例如比特幣)來支付贖金。支付贖金后,客戶會收到解密密鑰并可以嘗試解密文件。無法保證解密,因為多個來源報告稱在支付贖金后解密取得了不同程度的成功。有時受害者永遠不會收到鑰匙。即使支付了贖金并發布了數據,某些攻擊也會在計算機系統上安裝惡意軟件。
雖然加密勒索軟件最初專注于個人計算機,但現在越來越多地針對企業用戶,因為企業通常比個人支付更多費用來解鎖關鍵系統并恢復日常運營。
企業勒索軟件感染或病毒通常始于惡意電子郵件。毫無戒心的用戶打開附件或單擊惡意或受感染的 URL。
此時,勒索軟件代理將被安裝并加密受害者電腦上的關鍵文件和任何附加的文件共享。加密數據后,勒索軟件會在受感染的設備上顯示一條消息,解釋發生了什么以及如何向攻擊者付款。如果受害者付款,勒索軟件承諾他們將獲得解鎖數據的代碼。
誰面臨風險?
任何連接到互聯網的設備都有可能成為下一個勒索軟件受害者。勒索軟件會掃描本地設備和任何連接網絡的存儲,這意味著易受攻擊的設備會使本地網絡成為潛在的受害者。如果本地網絡是一家企業,勒索軟件可能會對重要文檔和系統文件進行加密,從而導致服務和生產力停止。
如果設備連接到互聯網,則應使用最新的軟件安全補丁進行更新,并且應安裝用于檢測和阻止勒索軟件的反惡意軟件。不再維護的過時操作系統(例如 Windows XP)面臨的風險要高得多。
勒索軟件對業務的影響
成為勒索軟件受害者的企業可能會損失數千美元的生產力和數據丟失。有權訪問數據的攻擊者通過威脅釋放數據并揭露數據泄露事件來勒索受害者支付贖金。支付速度不夠快的組織可能會遇到額外的副作用,例如品牌損害和訴訟。
由于勒索軟件會影響生產力,因此第一步就是遏制。遏制后,組織可以從備份中恢復或支付贖金。執法部門參與調查,但追蹤勒索軟件作者需要研究時間,這會延遲恢復。根本原因分析可以識別漏洞,但任何恢復延遲都會影響生產力和業務收入。
勒索軟件為何蔓延?
隨著越來越多的人在家工作,威脅行為者越來越多地使用網絡釣魚。網絡釣魚是勒索軟件感染的主要起點。網絡釣魚電子郵件針對員工,包括低權限和高權限用戶。電子郵件價格便宜且易于使用,使攻擊者可以方便地傳播勒索軟件。
文檔通常通過電子郵件傳遞,因此用戶認為打開電子郵件附件中的文件沒什么意義。惡意宏運行,將勒索軟件下載到本地設備,然后傳遞其有效負載。通過電子郵件傳播勒索軟件很容易,這就是它成為常見惡意軟件攻擊的原因。
惡意軟件工具包的出現也導致了廣泛的勒索軟件攻擊。這些漏洞利用工具包會掃描設備中的軟件漏洞,并部署其他惡意軟件以進一步感染設備,從而按需生成惡意軟件樣本。惡意軟件即服務趨勢推動了這些工具包的流行。
誰是惡意角色?
復雜的攻擊可能會使用勒索軟件,作者也構建了自己的版本。變體使用現有勒索軟件版本的代碼庫,并改變足夠的功能來改變有效負載和攻擊方法。勒索軟件作者可以自定義其惡意軟件以執行任何操作并使用首選加密密碼。
攻擊者并不總是作者。一些勒索軟件作者將其軟件出售給其他人或出租使用。勒索軟件可以作為惡意軟件即服務 (MaaS) 進行租賃,客戶可以通過儀表板進行身份驗證并啟動自己的活動。因此,攻擊者并不總是程序員和惡意軟件專家。他們也是向作者付費以出租勒索軟件的個人。
為什么你不應該支付勒索軟件費用
勒索軟件加密文件后,會向用戶顯示一個屏幕,宣布文件已加密以及勒索金額。通常,受害者會在特定期限內支付贖金或增加贖金。攻擊者還威脅要揭露企業并公開宣布他們是勒索軟件的受害者。
支付贖金的最大風險是永遠不會收到解密數據的密鑰。大多數專家建議不要支付贖金,以阻止攻擊者永久獲得金錢利益,但許多組織別無選擇。勒索軟件作者需要加密貨幣付款,因此資金轉移無法逆轉。
響應攻擊的步驟
勒索軟件的有效負載是立即的。該惡意軟件向用戶顯示一條消息,其中包含付款說明以及有關文件發生情況的信息。管理員必須迅速做出反應,因為勒索軟件可能會傳播到掃描其他網絡位置以查找關鍵文件。您可以采取一些基本步驟來正確應對勒索軟件,但請注意,根本原因分析、清理和調查通常需要專家干預。
- 確定哪些系統受到影響。您必須隔離系統,以便它們不會影響環境的其他部分。此步驟是遏制措施的一部分,旨在最大限度地減少對環境的損害。
- 如有必要,請斷開系統并關閉電源。勒索軟件在網絡上迅速傳播,因此必須通過禁用網絡訪問或關閉系統來斷開所有系統的連接。
- 優先恢復系統。這可以確保最關鍵的部分首先恢復正常。通常,優先級基于生產力和收入影響。
- 消除網絡威脅。攻擊者可能會使用后門,因此必須由值得信賴的專家來消除。專家需要訪問日志來執行根本原因分析,以識別漏洞和所有受影響的系統。
- 請專業人員檢查環境是否存在潛在的安全升級。勒索軟件受害者成為第二次攻擊的目標是很常見的。未檢測到的漏洞可以再次被利用。
新的勒索軟件威脅
作者不斷地將代碼更改為新的變體以避免被發現。管理員和反惡意軟件開發人員必須跟上這些新方法,以便在威脅通過網絡傳播之前快速檢測到威脅。以下是一些新的威脅:
- DLL 端加載。惡意軟件試圖通過使用看似合法函數的 DLL 和服務來避免檢測。
- Web 服務器作為目標。共享托管環境中的惡意軟件可能會影響服務器上托管的所有站點。勒索軟件(例如 Ryuk)以托管網站為目標,主要使用網絡釣魚電子郵件。
- 魚叉式網絡釣魚優于標準網絡釣魚。攻擊者不是向數千個目標發送惡意軟件,而是對潛在目標進行偵察,以獲取高權限網絡訪問權限。
- 勒索軟件即服務 (RaaS) 允許用戶在沒有任何網絡安全知識的情況下發起攻擊。RaaS 的引入導致勒索軟件攻擊增加。
使用勒索軟件的威脅增加的主要原因是遠程工作。這場大流行帶來了一種新的全球工作方式。在家工作的員工更容易受到威脅。家庭用戶沒有必要的企業級網絡安全來防范復雜的攻擊,而且其中許多用戶將個人設備與工作設備混合在一起。由于勒索軟件會掃描網絡中是否存在易受攻擊的設備,因此感染惡意軟件的個人計算機也可能會感染網絡連接的商用機器。
勒索軟件預防和檢測
預防勒索軟件攻擊通常涉及設置和測試備份以及在安全工具中應用勒索軟件防護。電子郵件保護網關等安全工具是第一道防線,而端點是第二道防線。入侵檢測系統 (IDS) 可以檢測勒索軟件命令和控制,以針對調用控制服務器的勒索軟件系統發出警報。雖然用戶培訓至關重要,但這只是防范勒索軟件的多層防御之一。它通常在通過電子郵件網絡釣魚發送勒索軟件后發揮作用。
如果其他勒索軟件預防性防御失敗,后備措施是儲存比特幣。當直接損害可能影響受影響組織的客戶或用戶時,這種情況更為普遍。醫院和酒店業尤其面臨勒索軟件的風險,因為患者的生活可能會受到影響,或者人們可能被鎖在或鎖在設施外。
之前/之后
如何防止勒索軟件攻擊
- 保護電子郵件免受勒索軟件的侵害:電子郵件網絡釣魚和垃圾郵件是勒索軟件攻擊的主要傳播方式。具有針對性攻擊保護的安全電子郵件網關對于檢測和阻止傳播勒索軟件的惡意電子郵件至關重要。這些解決方案可防止發送到用戶計算機的電子郵件中的惡意附件、惡意文檔和 URL。
- 保護移動設備免受勒索軟件的侵害:與移動設備管理 (MDM) 工具結合使用時,移動攻擊防護產品可以分析用戶設備上的應用程序,并立即向用戶和 IT 人員發出可能危害環境的任何應用程序的警報。
- 保護網絡沖浪免受勒索軟件的侵害:安全網絡網關可以掃描用戶的網絡沖浪流量,以識別可能導致勒索軟件的惡意網絡廣告。
- 監控服務器和網絡并備份關鍵系統:監控工具可以及時檢測異常文件訪問活動、病毒、網絡 C&C 流量和 CPU 負載,以阻止勒索軟件激活。保留關鍵系統的完整映像副本可以降低機器崩潰或加密導致關鍵操作瓶頸的風險。
如何刪除勒索軟件
致電聯邦和地方執法部門:就像有人會致電聯邦機構處理綁架事件一樣,組織也必須聯系同一機構來處理勒索軟件問題。他們的取證技術人員可以確保系統不會以其他方式受到損害,收集信息以更好地保護組織的未來,并嘗試找到攻擊者。
勒索軟件恢復
- 了解反勒索軟件資源: No More Ransom 門戶和 Bleeping Computer 提供針對選定勒索軟件攻擊的提示、建議,甚至解密器。
- 恢復數據:如果組織遵循最佳實踐并保留系統備份,則可以恢復系統并恢復正常運營。
