信息來源：安全牛

2020年，熱度飆升的勒索軟件已經(jīng)成為與APT并列的最危險(xiǎn)的網(wǎng)絡(luò)安全威脅。針對性、復(fù)雜化和高傷害成本是2020年勒索軟件加速“進(jìn)化”的三大特征。

重裝上陣

過去一年中業(yè)界多家安全廠商對勒索軟件監(jiān)測發(fā)現(xiàn)：勒索軟件在陷入一段時(shí)間低潮后，已經(jīng)全面恢復(fù)活力，攻擊勢頭上升，頻率也在增加。

Juniper Network威脅實(shí)驗(yàn)室負(fù)責(zé)人Mounir Hahad指出了勒索軟件攻擊再次激增的兩大深層原因：首先，加密貨幣價(jià)格的變化無常。很多加密貨幣劫持者都利用受害者電腦挖掘開源加密貨幣門羅幣(Monero)；隨著門羅幣價(jià)格的下跌，某個(gè)時(shí)候，加密貨幣劫持者就會意識到挖礦還不如勒索軟件攻擊賺錢。而由于已經(jīng)在受害者主機(jī)上植入了木馬下載器，加密貨幣劫持者就很容易在時(shí)機(jī)合適的時(shí)候發(fā)起勒索軟件攻擊。

刺激勒索軟件卷土重來的另一大趨勢就是企業(yè)級攻擊的高收益。越來越多的攻擊針對載有任務(wù)關(guān)鍵數(shù)據(jù)的生產(chǎn)服務(wù)器。

Hahad稱：

一臺筆記本被鎖定，企業(yè)不會太過重視。但如果是關(guān)系到日常業(yè)務(wù)生產(chǎn)的多臺服務(wù)器被劫持，勒索者的議價(jià)空間就太大了。

多年來，勒索軟件攻擊已經(jīng)日趨成熟，技術(shù)上日趨隱蔽和復(fù)雜，同時(shí)修復(fù)了早期迭代所存在的許多實(shí)現(xiàn)錯誤。與冠狀病毒類似，一度被“免疫系統(tǒng)”（端點(diǎn)安全軟件）扼制的勒索軟件近年來通過與流行的數(shù)據(jù)泄露軟件“載體”結(jié)合產(chǎn)生了新的“商業(yè)模式”和攻擊矢量，與此同時(shí)自身代碼和變體也在不斷進(jìn)化，例如過去主要感染W(wǎng)indows系統(tǒng)，而新一代勒索軟件對Mac OS系統(tǒng)、移動操作系統(tǒng)甚至工控系統(tǒng)都形成威脅，“傳染性”大大提升。

目標(biāo)轉(zhuǎn)移：從個(gè)人轉(zhuǎn)向企業(yè)

勒索軟件最初是作為一種面向個(gè)人消費(fèi)者的安全威脅，這些攻擊曾經(jīng)誘使人們支付虛假罰款或購買流氓軟件來解決不存在的問題。盡管早期的攻擊活動對網(wǎng)絡(luò)犯罪團(tuán)伙證明是有利可圖的，但“2C勒索軟件市場”變得過于擁擠。而且隨著個(gè)人防病毒軟件公司提高了勒索軟件的檢測能力，通過網(wǎng)絡(luò)傳播以吸引盡可能多的受害者的方法收益越來越差。

廣撒網(wǎng)式戰(zhàn)術(shù)無法給攻擊者帶來太多投資回報(bào)。具備良好橫向移動能力的針對性攻擊才能滿足此類攻擊者的高投資回報(bào)需求，而大多數(shù)情況下，橫向移動可不是能夠靠腳本或機(jī)器人程序自動實(shí)施的。奪取最初的入侵立足點(diǎn)之后，攻擊者得人工探查受害網(wǎng)絡(luò)，移動文件，提升權(quán)限，獲取管理員憑證，以便遠(yuǎn)程入侵另一臺機(jī)器。

Malwarebytes2019年8月發(fā)布的報(bào)告顯示，2018年第四季度開始，企業(yè)端的勒索軟件攻擊暴增，而面向個(gè)人的攻擊則呈下降趨勢。安全公司Malwarebytes指出：

勒索軟件這個(gè)一度休眠的危險(xiǎn)物種，已經(jīng)大范圍地恢復(fù)了生命力，攻擊活動從大規(guī)模的消費(fèi)者活動轉(zhuǎn)變?yōu)楦叨韧{的活動，尤其是面向企業(yè)的針對性手工攻擊，該趨勢與永恒之藍(lán)漏洞利用有關(guān)。

由于永恒之藍(lán)（EternalBlue）漏洞的存在，如今勒索軟件攻擊一家企業(yè)的難度已經(jīng)極大降低，永恒之藍(lán)是2017年3月曝出的微軟服務(wù)器消息塊（SMB）協(xié)議漏洞，影響了所有版本的Windows。該漏洞也成了WannaCry、NotPetya和其他勒索軟件蠕蟲通過公司網(wǎng)絡(luò)傳播的主要方法。

WannaCry和NotPetya的破壞性爆發(fā)凸顯了企業(yè)安全的重要性和脆弱性。過去，人們認(rèn)為這些擁有強(qiáng)大安全團(tuán)隊(duì)的公司黑客很難闖入，但是勒索軟件輕松就突破了傳統(tǒng)安全防線，攻擊規(guī)模和破壞力巨大，不是因?yàn)榕渲缅e誤，而是因?yàn)闆]有及時(shí)打補(bǔ)丁。

勒索軟件的“成功案例”掀起一股“掙錢效應(yīng)”，很多網(wǎng)絡(luò)犯罪分子意識到，攻擊企業(yè)更加有利可圖。

影響和損失難以評估

由于并非所有的私營公司都會披露勒索軟件事件，因此就成本和普遍性而言，難以量化勒索軟件攻擊對商業(yè)領(lǐng)域的影響。

在2019年10月發(fā)布的警報(bào)中，F(xiàn)BI的互聯(lián)網(wǎng)犯罪投訴中心（IC3）警告說：

自2018年初以來，“泛攻擊”的勒索軟件活動發(fā)生頻率急劇下降，但勒索軟件攻擊造成的損失卻顯著增加。

IC3認(rèn)為：

即使攻擊的總體頻率保持一致，勒索軟件攻擊也變得更有針對性，更復(fù)雜且造成的損失更大。上市公司有時(shí)會在其證券交易委員會（SEC）的文件中發(fā)布有關(guān)勒索軟件攻擊的影響的信息，因?yàn)檫@是其向股東披露重大網(wǎng)絡(luò)攻擊的義務(wù)的一部分，尤其是當(dāng)公司需要向客戶和合作伙伴解釋嚴(yán)重業(yè)務(wù)中斷時(shí)。

例如，由于2017年NotPetya勒索軟件的襲擊，運(yùn)輸巨頭馬士基（Maersk）不得不在17個(gè)港口碼頭暫停運(yùn)營，這導(dǎo)致大量貨船排隊(duì)等候貨物裝載和后勤噩夢，需要數(shù)月的時(shí)間才能恢復(fù)。該事件使公司損失了超過2億美元，但同時(shí)也嚴(yán)重影響了客戶的業(yè)務(wù)。

當(dāng)勒索軟件襲擊市政機(jī)構(gòu)、醫(yī)院、學(xué)?；蚓觳块T等公共機(jī)構(gòu)時(shí)，其社會影響更大，而目前獲得的統(tǒng)計(jì)數(shù)字也令人擔(dān)憂。根據(jù)安全公司Emsisoft于2019年12月發(fā)布的勒索軟件攻擊損失報(bào)告：

2019年全年，勒索軟件在美國攻擊了113個(gè)政府機(jī)構(gòu)，市政當(dāng)局和州政府。波及764位醫(yī)療保健提供者以及89個(gè)大學(xué)、學(xué)院和學(xué)區(qū)，其中有多達(dá)1,233所學(xué)校。

由于預(yù)算有限，IT基礎(chǔ)架構(gòu)過時(shí)，公共機(jī)構(gòu)的安全防御等級無法與大公司相比，更容易成為攻擊者的目標(biāo)。

不亞于APT的新威脅

勒索軟件是少有的、能同時(shí)攻擊財(cái)富500強(qiáng)企業(yè)和鄰居大爺大媽的網(wǎng)絡(luò)威脅。

因此，雖然最新的趨勢顯示公共機(jī)構(gòu)更容易成為攻擊目標(biāo)，但對于私營公司而言，感染勒索軟件的風(fēng)險(xiǎn)并不會降低。在過去的幾年中，勒索軟件犯罪組織采用了復(fù)雜的技術(shù)，包括針對性的交付機(jī)制，以及采用高級持續(xù)威脅（APT）技術(shù)的“手動攻擊”，例如SamSam。

SamSam是一個(gè)可追溯到2016年的勒索軟件程序，它以“高效率的手動攻擊”部署而聞名，但是在過去的一年中，如Ryuk、RobinHood和Sodinokibi這些新的勒索軟件組織也采用了類似的策略。

此外，有跡象表明，勒索軟件正在演變成一種新型威脅，網(wǎng)絡(luò)犯罪分子不僅在加密數(shù)據(jù)，而且還在竊取數(shù)據(jù)并威脅要在互聯(lián)網(wǎng)上發(fā)布數(shù)據(jù)。這使組織面臨破壞性的公共數(shù)據(jù)泄露以及相關(guān)的法規(guī)、財(cái)務(wù)和聲譽(yù)影響。

2019年12月，一個(gè)名為Maze的黑客組織揚(yáng)言如果組織拒絕支付贖金將公布通過勒索軟件竊取的數(shù)據(jù)。受害者包括佛羅里達(dá)州彭薩科拉市，該市在12月7日遭到襲擊，其電話、市政熱線、電子郵件服務(wù)器和賬單支付系統(tǒng)遭到破壞。

其他黑客團(tuán)體已將數(shù)據(jù)泄漏用作勒索技術(shù)。2015年，針對消費(fèi)者的勒索軟件程序Chimera曾威脅要發(fā)布從受害者那里竊取的私人信息。但這只是一個(gè)虛假恐嚇，Chimera實(shí)際上并未從受感染的系統(tǒng)中竊取任何數(shù)據(jù)。

多年來，網(wǎng)絡(luò)罪犯揚(yáng)言公開被盜信息的許多威脅被證明是虛假的，因?yàn)楦`取大量數(shù)據(jù)并不是一件容易的事情，黑客需要能夠接收和存儲數(shù)百TB數(shù)據(jù)的大規(guī)?；A(chǔ)架構(gòu)。但是，云基礎(chǔ)架構(gòu)的興起使這些攻擊變得更加可行，這種云架構(gòu)更容易維護(hù)，且存儲和數(shù)據(jù)流量成本更低。

在2019年12月下旬，Maze組織發(fā)布了他們聲稱被盜的部分?jǐn)?shù)據(jù)，以證明他們確實(shí)擁有從受害者那里竊取的潛在敏感信息。他們的第一個(gè)網(wǎng)站托管在愛爾蘭的ISP上，但該網(wǎng)站已被撤下，但是不久之后，他們又通過位于新加坡的另一個(gè)網(wǎng)站重新上線。

安全專家Kujawa認(rèn)為：

這是這種勒索軟件威脅出乎意料的演變。可以肯定的是，它確實(shí)使罪犯更多地暴露了出來，但這也是一種施加壓力的有效方法。它利用了媒體的力量。

Kujawa認(rèn)為，勒索軟件團(tuán)伙可能會越來越多地采取這種策略，因?yàn)殡S著越來越多的組織學(xué)習(xí)如何處理勒索軟件并制定可靠的數(shù)據(jù)恢復(fù)計(jì)劃，犯罪分子可能會發(fā)現(xiàn)僅通過鎖定文件來從他們那里獲取金錢變得更加困難。

新的攻擊方法

勒索軟件的主要分發(fā)渠道和方法仍然是魚叉式網(wǎng)絡(luò)釣魚和不安全的遠(yuǎn)程桌面協(xié)議（RDP）連接。但值得注意的是，勒索軟件攻擊者還可以通過與其他惡意軟件或者攻擊者“業(yè)務(wù)合作”來訪問那些感染了其他惡意軟件的系統(tǒng)。勒索軟件攻擊者可以從地下網(wǎng)絡(luò)黑市（暗網(wǎng)市場）購買被黑客入侵的計(jì)算機(jī)和服務(wù)器的訪問權(quán)，而僵尸網(wǎng)絡(luò)也提供付費(fèi)“投放”業(yè)務(wù)。例如， Emotet垃圾郵件僵尸網(wǎng)絡(luò)，TrickBot憑據(jù)竊取木馬和Ryuk勒索軟件之間的“協(xié)作共生”關(guān)系是眾所周知的。

托管安全服務(wù)提供商Secureworks的安全研究員Chris Yule在11月的DefCamp會議上的演講中說：

Ryuk勒索軟件事件的最初危害幾乎總是通過主流惡意軟件引起的。我們看到Emotet導(dǎo)致了TrickBot感染，隨著時(shí)間的流逝，我們看到其中一些TrickBot感染導(dǎo)致了Ryuk的傳播。

根據(jù)Yule的說法，Trickbot正在進(jìn)行自動憑證盜竊的正?；顒樱且坏㏑yuk運(yùn)營商接手，一切都會改變。該活動變得更加“手動化”，涉及使用系統(tǒng)管理工具、網(wǎng)絡(luò)掃描、使用PowerShell Empire之類的公共攻擊框架來禁用端點(diǎn)惡意軟件檢測等等。攻擊者需要花時(shí)間學(xué)習(xí)環(huán)境、確定域控制器和其他重要目標(biāo)，并為大規(guī)模勒索軟件的襲擊做好準(zhǔn)備，同時(shí)努力保持未被檢測到，這其實(shí)是APT組織的一種常見策略。

好消息是，在最初的Emotet感染與Ryuk部署之間，公司通?？梢栽诤荛L一段時(shí)間窗口內(nèi)檢測并處理感染。在Yule給出的案例中，該期限為48天。

壞消息是，如果沒有更先進(jìn)的網(wǎng)絡(luò)和系統(tǒng)監(jiān)視工具，基于常規(guī)的安全策略來檢測這種類型的手動黑客攻擊和橫向移動并不容易。這意味著，尚未具備APT防御能力的組織可能會更容易遭受勒索軟件和其他復(fù)雜的網(wǎng)絡(luò)犯罪攻擊的打擊。

某些勒索軟件組織在過去的一年中采用的另一個(gè)有趣的感染媒介是托管服務(wù)提供商（MSP），這些提供商憑借其提供的服務(wù)而有權(quán)訪問其許多企業(yè)的網(wǎng)絡(luò)和系統(tǒng)。這帶來了一個(gè)問題，因?yàn)橹行⌒徒M織將其網(wǎng)絡(luò)和安全管理外包給專業(yè)的供應(yīng)商，因此，對于中小型企業(yè)來說，需要采取措施評估和限制受信任的第三方企業(yè)或工具，防止此類內(nèi)部威脅造成嚴(yán)重?fù)p失（編者按：試想一下微盟刪庫事件的主角是一個(gè)勒索軟件黑客組織而不是一個(gè)情緒不穩(wěn)的運(yùn)維人員）。

此外，使用Web漏洞利用工具包來針對企業(yè)和部署勒索軟件（尤其是RIG漏洞利用工具包）的現(xiàn)象再次流行。這些是通過受攻擊的網(wǎng)站發(fā)起的水坑攻擊，攻擊者知道這些攻擊與某些業(yè)務(wù)部門有關(guān)，或者有可能被其目標(biāo)員工訪問。

難以破解的勒索軟件加密

安全公司一直試圖在勒索軟件程序的文件加密實(shí)現(xiàn)中發(fā)現(xiàn)漏洞，以幫助受害者在不支付贖金就能恢復(fù)被加密的文件。這些解密工具通常是免費(fèi)發(fā)布的，可以在歐洲刑警組織維護(hù)的這個(gè)網(wǎng)站NoMoreRansom.org上獲得。

但是，勒索軟件組織使用的勒索軟件程序在技術(shù)上進(jìn)步很快，攻擊者從過去的錯誤或其他勒索軟件開發(fā)人員的錯誤中吸取了教訓(xùn)，并糾正了實(shí)施錯誤。

一些勒索軟件程序的代碼已在線泄漏，可以復(fù)制和改進(jìn)。操作系統(tǒng)還提供了加密API，并且有經(jīng)過嚴(yán)格審查的開源加密框架和庫。所有這些意味著，最流行的勒索軟件程序也是最危險(xiǎn)的，因?yàn)樗鼈兪褂脧?qiáng)大的加密算法并且沒有解決方案。

對于組織而言，制定備份計(jì)劃和定期測試的數(shù)據(jù)恢復(fù)計(jì)劃至關(guān)重要，采用異地備份或離線存儲，以防止攻擊者將其刪除或加密。

勒索軟件防御

常規(guī)的勒索軟件防御措施大致有以下幾點(diǎn)：

1、安全加固

首先，組織應(yīng)該通過執(zhí)行內(nèi)部和外部滲透測試并確定暴露于互聯(lián)網(wǎng)的任何潛在易受攻擊的系統(tǒng)、服務(wù)器和網(wǎng)絡(luò)遠(yuǎn)程連接（例如VPN或RDP）。啟用高熵密碼（消滅弱密碼）和雙因素身份驗(yàn)證（2FA）。

在網(wǎng)絡(luò)內(nèi)部，公司應(yīng)確保端點(diǎn)和服務(wù)器的操作系統(tǒng)和所運(yùn)行軟件的補(bǔ)丁程序是最新的。應(yīng)根據(jù)最小特權(quán)原則對網(wǎng)絡(luò)進(jìn)行分段，以使一個(gè)部門中的工作站受到損害不會輕易導(dǎo)致整個(gè)網(wǎng)絡(luò)被接管。在Windows網(wǎng)絡(luò)上，應(yīng)仔細(xì)監(jiān)視域控制器是否存在異常訪問。

2、供應(yīng)鏈安全

依賴MSP或受管安全服務(wù)提供商（MSSP）的組織應(yīng)確保監(jiān)視和記錄了來自這些第三方的連接，并且啟用了雙因素認(rèn)證。提供給第三方的網(wǎng)絡(luò)和系統(tǒng)訪問權(quán)限應(yīng)僅限于執(zhí)行其工作所需的內(nèi)容（最小化權(quán)限策略）。

3、資產(chǎn)發(fā)現(xiàn)

企業(yè)應(yīng)當(dāng)盡快建立對業(yè)務(wù)運(yùn)營至關(guān)重要的數(shù)據(jù)資產(chǎn)的完整清單，存儲資產(chǎn)清單的系統(tǒng)應(yīng)嚴(yán)格控制。

4、端點(diǎn)防護(hù)

由于許多勒索軟件感染都是從受感染的工作站開始的，因此使用端點(diǎn)反惡意軟件非常重要。從瀏覽器中刪除不需要的插件和擴(kuò)展，保持軟件為最新，并確保員工帳戶具有有限的特權(quán)也是如此。

5、意識培訓(xùn)

培訓(xùn)員工如何發(fā)現(xiàn)網(wǎng)絡(luò)釣魚電子郵件，以及如何詢問要求他們打開文件或單擊鏈接的不請自來的郵件。創(chuàng)建一個(gè)由安全團(tuán)隊(duì)監(jiān)控的特殊電子郵件地址，員工可以在其中轉(zhuǎn)發(fā)他們認(rèn)為可疑的電子郵件。

6、事件響應(yīng)

最后，起草事件響應(yīng)計(jì)劃，并確保每個(gè)相關(guān)人員都知道自己的角色，以及一旦發(fā)生侵害時(shí)需要采取的措施，包括與您的安全供應(yīng)商或MSSP以及執(zhí)法部門如何進(jìn)行溝通。不要輕視常規(guī)惡意軟件感染，徹底調(diào)查它們，因?yàn)樗鼈兛赡懿⑶医?jīng)常是更嚴(yán)重威脅的勒索軟件的入侵媒介。

7、最佳實(shí)踐框架

2020年2月，美國國家標(biāo)準(zhǔn)技術(shù)研究院（NIST）發(fā)布了有關(guān)處理勒索軟件最佳實(shí)踐的兩項(xiàng)實(shí)踐準(zhǔn)則草案。準(zhǔn)則草案名為“數(shù)據(jù)完整性：識別和保護(hù)資產(chǎn)免遭勒索軟件和其他破壞性事件”和“數(shù)據(jù)完整性：檢測和響應(yīng)勒索軟件和其他破壞性事件”。該草案預(yù)計(jì)在2020年下半年發(fā)布將最終指南。