信息來(lái)源：安全牛

2020年，熱度飆升的勒索軟件已經(jīng)成為與APT并列的最危險(xiǎn)的網(wǎng)絡(luò)安全威脅。針對(duì)性、復(fù)雜化和高傷害成本是2020年勒索軟件加速“進(jìn)化”的三大特征。

重裝上陣

過(guò)去一年中業(yè)界多家安全廠商對(duì)勒索軟件監(jiān)測(cè)發(fā)現(xiàn)：勒索軟件在陷入一段時(shí)間低潮后，已經(jīng)全面恢復(fù)活力，攻擊勢(shì)頭上升，頻率也在增加。

Juniper Network威脅實(shí)驗(yàn)室負(fù)責(zé)人Mounir Hahad指出了勒索軟件攻擊再次激增的兩大深層原因：首先，加密貨幣價(jià)格的變化無(wú)常。很多加密貨幣劫持者都利用受害者電腦挖掘開(kāi)源加密貨幣門羅幣(Monero)；隨著門羅幣價(jià)格的下跌，某個(gè)時(shí)候，加密貨幣劫持者就會(huì)意識(shí)到挖礦還不如勒索軟件攻擊賺錢。而由于已經(jīng)在受害者主機(jī)上植入了木馬下載器，加密貨幣劫持者就很容易在時(shí)機(jī)合適的時(shí)候發(fā)起勒索軟件攻擊。

刺激勒索軟件卷土重來(lái)的另一大趨勢(shì)就是企業(yè)級(jí)攻擊的高收益。越來(lái)越多的攻擊針對(duì)載有任務(wù)關(guān)鍵數(shù)據(jù)的生產(chǎn)服務(wù)器。

Hahad稱：

一臺(tái)筆記本被鎖定，企業(yè)不會(huì)太過(guò)重視。但如果是關(guān)系到日常業(yè)務(wù)生產(chǎn)的多臺(tái)服務(wù)器被劫持，勒索者的議價(jià)空間就太大了。

多年來(lái)，勒索軟件攻擊已經(jīng)日趨成熟，技術(shù)上日趨隱蔽和復(fù)雜，同時(shí)修復(fù)了早期迭代所存在的許多實(shí)現(xiàn)錯(cuò)誤。與冠狀病毒類似，一度被“免疫系統(tǒng)”（端點(diǎn)安全軟件）扼制的勒索軟件近年來(lái)通過(guò)與流行的數(shù)據(jù)泄露軟件“載體”結(jié)合產(chǎn)生了新的“商業(yè)模式”和攻擊矢量，與此同時(shí)自身代碼和變體也在不斷進(jìn)化，例如過(guò)去主要感染W(wǎng)indows系統(tǒng)，而新一代勒索軟件對(duì)Mac OS系統(tǒng)、移動(dòng)操作系統(tǒng)甚至工控系統(tǒng)都形成威脅，“傳染性”大大提升。

目標(biāo)轉(zhuǎn)移：從個(gè)人轉(zhuǎn)向企業(yè)

勒索軟件最初是作為一種面向個(gè)人消費(fèi)者的安全威脅，這些攻擊曾經(jīng)誘使人們支付虛假罰款或購(gòu)買流氓軟件來(lái)解決不存在的問(wèn)題。盡管早期的攻擊活動(dòng)對(duì)網(wǎng)絡(luò)犯罪團(tuán)伙證明是有利可圖的，但“2C勒索軟件市場(chǎng)”變得過(guò)于擁擠。而且隨著個(gè)人防病毒軟件公司提高了勒索軟件的檢測(cè)能力，通過(guò)網(wǎng)絡(luò)傳播以吸引盡可能多的受害者的方法收益越來(lái)越差。

廣撒網(wǎng)式戰(zhàn)術(shù)無(wú)法給攻擊者帶來(lái)太多投資回報(bào)。具備良好橫向移動(dòng)能力的針對(duì)性攻擊才能滿足此類攻擊者的高投資回報(bào)需求，而大多數(shù)情況下，橫向移動(dòng)可不是能夠靠腳本或機(jī)器人程序自動(dòng)實(shí)施的。奪取最初的入侵立足點(diǎn)之后，攻擊者得人工探查受害網(wǎng)絡(luò)，移動(dòng)文件，提升權(quán)限，獲取管理員憑證，以便遠(yuǎn)程入侵另一臺(tái)機(jī)器。

Malwarebytes2019年8月發(fā)布的報(bào)告顯示，2018年第四季度開(kāi)始，企業(yè)端的勒索軟件攻擊暴增，而面向個(gè)人的攻擊則呈下降趨勢(shì)。安全公司Malwarebytes指出：

勒索軟件這個(gè)一度休眠的危險(xiǎn)物種，已經(jīng)大范圍地恢復(fù)了生命力，攻擊活動(dòng)從大規(guī)模的消費(fèi)者活動(dòng)轉(zhuǎn)變?yōu)楦叨韧{的活動(dòng)，尤其是面向企業(yè)的針對(duì)性手工攻擊，該趨勢(shì)與永恒之藍(lán)漏洞利用有關(guān)。

由于永恒之藍(lán)（EternalBlue）漏洞的存在，如今勒索軟件攻擊一家企業(yè)的難度已經(jīng)極大降低，永恒之藍(lán)是2017年3月曝出的微軟服務(wù)器消息塊（SMB）協(xié)議漏洞，影響了所有版本的Windows。該漏洞也成了WannaCry、NotPetya和其他勒索軟件蠕蟲(chóng)通過(guò)公司網(wǎng)絡(luò)傳播的主要方法。

WannaCry和NotPetya的破壞性爆發(fā)凸顯了企業(yè)安全的重要性和脆弱性。過(guò)去，人們認(rèn)為這些擁有強(qiáng)大安全團(tuán)隊(duì)的公司黑客很難闖入，但是勒索軟件輕松就突破了傳統(tǒng)安全防線，攻擊規(guī)模和破壞力巨大，不是因?yàn)榕渲缅e(cuò)誤，而是因?yàn)闆](méi)有及時(shí)打補(bǔ)丁。

勒索軟件的“成功案例”掀起一股“掙錢效應(yīng)”，很多網(wǎng)絡(luò)犯罪分子意識(shí)到，攻擊企業(yè)更加有利可圖。

影響和損失難以評(píng)估

由于并非所有的私營(yíng)公司都會(huì)披露勒索軟件事件，因此就成本和普遍性而言，難以量化勒索軟件攻擊對(duì)商業(yè)領(lǐng)域的影響。

在2019年10月發(fā)布的警報(bào)中，F(xiàn)BI的互聯(lián)網(wǎng)犯罪投訴中心（IC3）警告說(shuō)：

自2018年初以來(lái)，“泛攻擊”的勒索軟件活動(dòng)發(fā)生頻率急劇下降，但勒索軟件攻擊造成的損失卻顯著增加。

IC3認(rèn)為：

即使攻擊的總體頻率保持一致，勒索軟件攻擊也變得更有針對(duì)性，更復(fù)雜且造成的損失更大。上市公司有時(shí)會(huì)在其證券交易委員會(huì)（SEC）的文件中發(fā)布有關(guān)勒索軟件攻擊的影響的信息，因?yàn)檫@是其向股東披露重大網(wǎng)絡(luò)攻擊的義務(wù)的一部分，尤其是當(dāng)公司需要向客戶和合作伙伴解釋嚴(yán)重業(yè)務(wù)中斷時(shí)。

例如，由于2017年NotPetya勒索軟件的襲擊，運(yùn)輸巨頭馬士基（Maersk）不得不在17個(gè)港口碼頭暫停運(yùn)營(yíng)，這導(dǎo)致大量貨船排隊(duì)等候貨物裝載和后勤噩夢(mèng)，需要數(shù)月的時(shí)間才能恢復(fù)。該事件使公司損失了超過(guò)2億美元，但同時(shí)也嚴(yán)重影響了客戶的業(yè)務(wù)。

當(dāng)勒索軟件襲擊市政機(jī)構(gòu)、醫(yī)院、學(xué)?；蚓觳块T等公共機(jī)構(gòu)時(shí)，其社會(huì)影響更大，而目前獲得的統(tǒng)計(jì)數(shù)字也令人擔(dān)憂。根據(jù)安全公司Emsisoft于2019年12月發(fā)布的勒索軟件攻擊損失報(bào)告：

2019年全年，勒索軟件在美國(guó)攻擊了113個(gè)政府機(jī)構(gòu)，市政當(dāng)局和州政府。波及764位醫(yī)療保健提供者以及89個(gè)大學(xué)、學(xué)院和學(xué)區(qū)，其中有多達(dá)1,233所學(xué)校。

由于預(yù)算有限，IT基礎(chǔ)架構(gòu)過(guò)時(shí)，公共機(jī)構(gòu)的安全防御等級(jí)無(wú)法與大公司相比，更容易成為攻擊者的目標(biāo)。

不亞于APT的新威脅

勒索軟件是少有的、能同時(shí)攻擊財(cái)富500強(qiáng)企業(yè)和鄰居大爺大媽的網(wǎng)絡(luò)威脅。

因此，雖然最新的趨勢(shì)顯示公共機(jī)構(gòu)更容易成為攻擊目標(biāo)，但對(duì)于私營(yíng)公司而言，感染勒索軟件的風(fēng)險(xiǎn)并不會(huì)降低。在過(guò)去的幾年中，勒索軟件犯罪組織采用了復(fù)雜的技術(shù)，包括針對(duì)性的交付機(jī)制，以及采用高級(jí)持續(xù)威脅（APT）技術(shù)的“手動(dòng)攻擊”，例如SamSam。

SamSam是一個(gè)可追溯到2016年的勒索軟件程序，它以“高效率的手動(dòng)攻擊”部署而聞名，但是在過(guò)去的一年中，如Ryuk、RobinHood和Sodinokibi這些新的勒索軟件組織也采用了類似的策略。

此外，有跡象表明，勒索軟件正在演變成一種新型威脅，網(wǎng)絡(luò)犯罪分子不僅在加密數(shù)據(jù)，而且還在竊取數(shù)據(jù)并威脅要在互聯(lián)網(wǎng)上發(fā)布數(shù)據(jù)。這使組織面臨破壞性的公共數(shù)據(jù)泄露以及相關(guān)的法規(guī)、財(cái)務(wù)和聲譽(yù)影響。

2019年12月，一個(gè)名為Maze的黑客組織揚(yáng)言如果組織拒絕支付贖金將公布通過(guò)勒索軟件竊取的數(shù)據(jù)。受害者包括佛羅里達(dá)州彭薩科拉市，該市在12月7日遭到襲擊，其電話、市政熱線、電子郵件服務(wù)器和賬單支付系統(tǒng)遭到破壞。

其他黑客團(tuán)體已將數(shù)據(jù)泄漏用作勒索技術(shù)。2015年，針對(duì)消費(fèi)者的勒索軟件程序Chimera曾威脅要發(fā)布從受害者那里竊取的私人信息。但這只是一個(gè)虛假恐嚇，Chimera實(shí)際上并未從受感染的系統(tǒng)中竊取任何數(shù)據(jù)。

多年來(lái)，網(wǎng)絡(luò)罪犯揚(yáng)言公開(kāi)被盜信息的許多威脅被證明是虛假的，因?yàn)楦`取大量數(shù)據(jù)并不是一件容易的事情，黑客需要能夠接收和存儲(chǔ)數(shù)百TB數(shù)據(jù)的大規(guī)?；A(chǔ)架構(gòu)。但是，云基礎(chǔ)架構(gòu)的興起使這些攻擊變得更加可行，這種云架構(gòu)更容易維護(hù)，且存儲(chǔ)和數(shù)據(jù)流量成本更低。

在2019年12月下旬，Maze組織發(fā)布了他們聲稱被盜的部分?jǐn)?shù)據(jù)，以證明他們確實(shí)擁有從受害者那里竊取的潛在敏感信息。他們的第一個(gè)網(wǎng)站托管在愛(ài)爾蘭的ISP上，但該網(wǎng)站已被撤下，但是不久之后，他們又通過(guò)位于新加坡的另一個(gè)網(wǎng)站重新上線。

安全專家Kujawa認(rèn)為：

這是這種勒索軟件威脅出乎意料的演變?？梢钥隙ǖ氖?，它確實(shí)使罪犯更多地暴露了出來(lái)，但這也是一種施加壓力的有效方法。它利用了媒體的力量。

Kujawa認(rèn)為，勒索軟件團(tuán)伙可能會(huì)越來(lái)越多地采取這種策略，因?yàn)殡S著越來(lái)越多的組織學(xué)習(xí)如何處理勒索軟件并制定可靠的數(shù)據(jù)恢復(fù)計(jì)劃，犯罪分子可能會(huì)發(fā)現(xiàn)僅通過(guò)鎖定文件來(lái)從他們那里獲取金錢變得更加困難。

新的攻擊方法

勒索軟件的主要分發(fā)渠道和方法仍然是魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)和不安全的遠(yuǎn)程桌面協(xié)議（RDP）連接。但值得注意的是，勒索軟件攻擊者還可以通過(guò)與其他惡意軟件或者攻擊者“業(yè)務(wù)合作”來(lái)訪問(wèn)那些感染了其他惡意軟件的系統(tǒng)。勒索軟件攻擊者可以從地下網(wǎng)絡(luò)黑市（暗網(wǎng)市場(chǎng)）購(gòu)買被黑客入侵的計(jì)算機(jī)和服務(wù)器的訪問(wèn)權(quán)，而僵尸網(wǎng)絡(luò)也提供付費(fèi)“投放”業(yè)務(wù)。例如， Emotet垃圾郵件僵尸網(wǎng)絡(luò)，TrickBot憑據(jù)竊取木馬和Ryuk勒索軟件之間的“協(xié)作共生”關(guān)系是眾所周知的。

托管安全服務(wù)提供商Secureworks的安全研究員Chris Yule在11月的DefCamp會(huì)議上的演講中說(shuō)：

Ryuk勒索軟件事件的最初危害幾乎總是通過(guò)主流惡意軟件引起的。我們看到Emotet導(dǎo)致了TrickBot感染，隨著時(shí)間的流逝，我們看到其中一些TrickBot感染導(dǎo)致了Ryuk的傳播。

根據(jù)Yule的說(shuō)法，Trickbot正在進(jìn)行自動(dòng)憑證盜竊的正常活動(dòng)，但是一旦Ryuk運(yùn)營(yíng)商接手，一切都會(huì)改變。該活動(dòng)變得更加“手動(dòng)化”，涉及使用系統(tǒng)管理工具、網(wǎng)絡(luò)掃描、使用PowerShell Empire之類的公共攻擊框架來(lái)禁用端點(diǎn)惡意軟件檢測(cè)等等。攻擊者需要花時(shí)間學(xué)習(xí)環(huán)境、確定域控制器和其他重要目標(biāo)，并為大規(guī)模勒索軟件的襲擊做好準(zhǔn)備，同時(shí)努力保持未被檢測(cè)到，這其實(shí)是APT組織的一種常見(jiàn)策略。

好消息是，在最初的Emotet感染與Ryuk部署之間，公司通?？梢栽诤荛L(zhǎng)一段時(shí)間窗口內(nèi)檢測(cè)并處理感染。在Yule給出的案例中，該期限為48天。

壞消息是，如果沒(méi)有更先進(jìn)的網(wǎng)絡(luò)和系統(tǒng)監(jiān)視工具，基于常規(guī)的安全策略來(lái)檢測(cè)這種類型的手動(dòng)黑客攻擊和橫向移動(dòng)并不容易。這意味著，尚未具備APT防御能力的組織可能會(huì)更容易遭受勒索軟件和其他復(fù)雜的網(wǎng)絡(luò)犯罪攻擊的打擊。

某些勒索軟件組織在過(guò)去的一年中采用的另一個(gè)有趣的感染媒介是托管服務(wù)提供商（MSP），這些提供商憑借其提供的服務(wù)而有權(quán)訪問(wèn)其許多企業(yè)的網(wǎng)絡(luò)和系統(tǒng)。這帶來(lái)了一個(gè)問(wèn)題，因?yàn)橹行⌒徒M織將其網(wǎng)絡(luò)和安全管理外包給專業(yè)的供應(yīng)商，因此，對(duì)于中小型企業(yè)來(lái)說(shuō)，需要采取措施評(píng)估和限制受信任的第三方企業(yè)或工具，防止此類內(nèi)部威脅造成嚴(yán)重?fù)p失（編者按：試想一下微盟刪庫(kù)事件的主角是一個(gè)勒索軟件黑客組織而不是一個(gè)情緒不穩(wěn)的運(yùn)維人員）。

此外，使用Web漏洞利用工具包來(lái)針對(duì)企業(yè)和部署勒索軟件（尤其是RIG漏洞利用工具包）的現(xiàn)象再次流行。這些是通過(guò)受攻擊的網(wǎng)站發(fā)起的水坑攻擊，攻擊者知道這些攻擊與某些業(yè)務(wù)部門有關(guān)，或者有可能被其目標(biāo)員工訪問(wèn)。

難以破解的勒索軟件加密

安全公司一直試圖在勒索軟件程序的文件加密實(shí)現(xiàn)中發(fā)現(xiàn)漏洞，以幫助受害者在不支付贖金就能恢復(fù)被加密的文件。這些解密工具通常是免費(fèi)發(fā)布的，可以在歐洲刑警組織維護(hù)的這個(gè)網(wǎng)站NoMoreRansom.org上獲得。

但是，勒索軟件組織使用的勒索軟件程序在技術(shù)上進(jìn)步很快，攻擊者從過(guò)去的錯(cuò)誤或其他勒索軟件開(kāi)發(fā)人員的錯(cuò)誤中吸取了教訓(xùn)，并糾正了實(shí)施錯(cuò)誤。

一些勒索軟件程序的代碼已在線泄漏，可以復(fù)制和改進(jìn)。操作系統(tǒng)還提供了加密API，并且有經(jīng)過(guò)嚴(yán)格審查的開(kāi)源加密框架和庫(kù)。所有這些意味著，最流行的勒索軟件程序也是最危險(xiǎn)的，因?yàn)樗鼈兪褂脧?qiáng)大的加密算法并且沒(méi)有解決方案。

對(duì)于組織而言，制定備份計(jì)劃和定期測(cè)試的數(shù)據(jù)恢復(fù)計(jì)劃至關(guān)重要，采用異地備份或離線存儲(chǔ)，以防止攻擊者將其刪除或加密。

勒索軟件防御

常規(guī)的勒索軟件防御措施大致有以下幾點(diǎn)：

1、安全加固

首先，組織應(yīng)該通過(guò)執(zhí)行內(nèi)部和外部滲透測(cè)試并確定暴露于互聯(lián)網(wǎng)的任何潛在易受攻擊的系統(tǒng)、服務(wù)器和網(wǎng)絡(luò)遠(yuǎn)程連接（例如VPN或RDP）。啟用高熵密碼（消滅弱密碼）和雙因素身份驗(yàn)證（2FA）。

在網(wǎng)絡(luò)內(nèi)部，公司應(yīng)確保端點(diǎn)和服務(wù)器的操作系統(tǒng)和所運(yùn)行軟件的補(bǔ)丁程序是最新的。應(yīng)根據(jù)最小特權(quán)原則對(duì)網(wǎng)絡(luò)進(jìn)行分段，以使一個(gè)部門中的工作站受到損害不會(huì)輕易導(dǎo)致整個(gè)網(wǎng)絡(luò)被接管。在Windows網(wǎng)絡(luò)上，應(yīng)仔細(xì)監(jiān)視域控制器是否存在異常訪問(wèn)。

2、供應(yīng)鏈安全

依賴MSP或受管安全服務(wù)提供商（MSSP）的組織應(yīng)確保監(jiān)視和記錄了來(lái)自這些第三方的連接，并且啟用了雙因素認(rèn)證。提供給第三方的網(wǎng)絡(luò)和系統(tǒng)訪問(wèn)權(quán)限應(yīng)僅限于執(zhí)行其工作所需的內(nèi)容（最小化權(quán)限策略）。

3、資產(chǎn)發(fā)現(xiàn)

企業(yè)應(yīng)當(dāng)盡快建立對(duì)業(yè)務(wù)運(yùn)營(yíng)至關(guān)重要的數(shù)據(jù)資產(chǎn)的完整清單，存儲(chǔ)資產(chǎn)清單的系統(tǒng)應(yīng)嚴(yán)格控制。

4、端點(diǎn)防護(hù)

由于許多勒索軟件感染都是從受感染的工作站開(kāi)始的，因此使用端點(diǎn)反惡意軟件非常重要。從瀏覽器中刪除不需要的插件和擴(kuò)展，保持軟件為最新，并確保員工帳戶具有有限的特權(quán)也是如此。

5、意識(shí)培訓(xùn)

培訓(xùn)員工如何發(fā)現(xiàn)網(wǎng)絡(luò)釣魚(yú)電子郵件，以及如何詢問(wèn)要求他們打開(kāi)文件或單擊鏈接的不請(qǐng)自來(lái)的郵件。創(chuàng)建一個(gè)由安全團(tuán)隊(duì)監(jiān)控的特殊電子郵件地址，員工可以在其中轉(zhuǎn)發(fā)他們認(rèn)為可疑的電子郵件。

6、事件響應(yīng)

最后，起草事件響應(yīng)計(jì)劃，并確保每個(gè)相關(guān)人員都知道自己的角色，以及一旦發(fā)生侵害時(shí)需要采取的措施，包括與您的安全供應(yīng)商或MSSP以及執(zhí)法部門如何進(jìn)行溝通。不要輕視常規(guī)惡意軟件感染，徹底調(diào)查它們，因?yàn)樗鼈兛赡懿⑶医?jīng)常是更嚴(yán)重威脅的勒索軟件的入侵媒介。

7、最佳實(shí)踐框架

2020年2月，美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院（NIST）發(fā)布了有關(guān)處理勒索軟件最佳實(shí)踐的兩項(xiàng)實(shí)踐準(zhǔn)則草案。準(zhǔn)則草案名為“數(shù)據(jù)完整性：識(shí)別和保護(hù)資產(chǎn)免遭勒索軟件和其他破壞性事件”和“數(shù)據(jù)完整性：檢測(cè)和響應(yīng)勒索軟件和其他破壞性事件”。該草案預(yù)計(jì)在2020年下半年發(fā)布將最終指南。