「软件」每周一喂丨新时期五大勒索软件的“前世今生”


勒索软件是劫持数据以索求赎金的一类恶意软件 , 面世已颇有些年头 。 第一起勒索软件攻击发生在1991年 , 当时一位生物学家通过平邮将载有首个勒索软件PC Cyborg的软盘寄给其他研究艾滋病的科学家 。
21世纪第二个十年里 , 一种新的勒索软件趋势浮现:网络罪犯首选加密货币作为赎金支付方式 。 加密货币本就专为不可追踪的匿名支付而设计 , 对勒索者的吸引力显而易见 。 比特币是最为著名的加密货币 , 绝大多数勒索软件攻击者都要求以比特币支付赎金 。 不过 , 比特币的广为流传也使其价值波动性增大 , 有些攻击者已开始转向其他的加密货币 。
到了2018年 , 勒索软件热潮似乎开始消退 , 另一种非法攫取比特币的方式逐渐冒头:加密货币劫持 。 这种方法甚至无需受害者知晓比特币钱包是什么 , 就能利用受害者电脑挖掘比特币 。 利用垃圾邮件分发者和DDoS攻击者沿用多年的脚本模式 , 这些加密货币劫持者能在用户毫不知情的情况下偷偷获取计算机系统的控制权 。 受害用户电脑被黑后即变身比特币挖矿机 , 在后台默默生产加密货币 , 吃掉空闲计算周期 , 悄悄耗费受害者大量计算资源与电力 。 2018年里 , 勒索软件攻击逐渐下降 , 而加密货币劫持攻击则激增450% 。
「软件」每周一喂丨新时期五大勒索软件的“前世今生”
本文插图
过去两年来 , 由于加密币市场的巨幅波动 , 原本执着于挖矿的勒索软件调转枪口卷土重来 , 其攻击技术和危害性也有极大提升 , 本文就介绍了新时期安全业界最为头疼的五大勒索软件 。
SamSam
SamSam勒索软件攻击始于2015年末 , 但其真正激增出现在后面几年 , 科罗拉多运输部、亚特兰大市和多家医疗保健机构都沦为了SamSam的受害者 。 该勒索软件攻击完美展现了攻击者组织技能的重要性 , 充分证明组织协同能力对网络攻击者而言堪比代码编程技艺 。 不同于一些其他勒索软件的做法 , SamSam并非无差别地探查某些具体漏洞 , 而是以勒索软件即服务的方式运营:控制者小心探测预选目标的弱点 , 利用的漏洞涵盖IIS、FTP、RDP等多种服务与协议 。 一旦进入系统内部 , 攻击者便相当敬业地提升权限 , 确保开始加密文件时攻击具有足够的破坏力 。
Ryuk
Ryuk是2018和2019年间盛行的另一大勒索软件 , 其目标受害者是精心挑选出来的难以承受宕机后果的组织机构 , 包括日报社和北卡罗来纳州正努力从飓风佛罗伦萨的余波中恢复的一家水厂 。 《洛杉矶时报》详细报道了自家系统遭感染后发生的一切 。 Ryuk一个特别狡诈的功能是可以禁用被感染电脑上的Windows系统还原(Windows System Restore)选项 , 令受害者更难以在不支付赎金的情况下找回被加密的数据 。 鉴于攻击者针对的是高价值受害者 , 赎金目标也转为高企;圣诞季的一波攻击表明了他们为达成目标毫不介意毁掉圣诞节 。
PureLocker
2019年11月 , IBM和Intezer共同发表了一篇文章 , 讲述新型勒索软件变种PureLocker的运行机制 。 该勒索软件可在Windows或Linux机器上执行 , 是新一波针对性恶意软件的绝佳代表 。 PureLocker并不通过广泛的网络钓鱼攻击进驻受害主机 , 而是与几个著名网络犯罪团伙所用的more_eggs后门软件有关 。 换句话说 , PureLocker安装在已被攻击者入侵并探查清楚的机器上 , 且会在运行前先检查自身所处环境 , 而不是盲目加密数据 。
Zeppelin
Zeppelin是Vega/VegasLocker勒索软件家族的进阶版 , 继承并发展了这一肆虐俄罗斯和东欧会计企业的勒索软件即服务产品 。 Zeppelin创新了几个技术花招 , 其可配置功能尤为突出 , 但真正让它在Vega家族鹤立鸡群的 , 是其针对性攻击的本质 。 Vega的传播某种程度上而言有点漫无目的 , 且主要活跃在俄语世界 , Zeppelin则特别设计为不在俄罗斯、乌克兰、白俄罗斯和哈萨克斯坦的电脑上运行 。 Zeppelin的部署方式也很多 , 包括可执行文件(EXE)、动态链接库(DLL)和PowerShell加载器 , 但有些攻击甚至能通过被黑托管安全服务供应商部署 , 这就令人不寒而栗了 。