定义
勒索软件是一种恶意软件,通常通过加密来威胁发布或阻止对数据或计算机系统的访问,直到受害者向攻击者支付赎金。在许多情况下,赎金要求都有最后期限。如果受害者没有及时付款,数据就会永远消失,或者赎金会增加。
勒索软件攻击已经变得非常普遍。北美和欧洲的大公司都成为了受害者。网络犯罪分子攻击任何行业的任何消费者或企业。
包括美国联邦调查局 (FBI) 在内的多个政府机构建议不要支付赎金,以免鼓励勒索软件循环,“不再勒索项目”也是如此。此外,支付赎金的受害者中有一半可能会遭受重复的勒索软件攻击,特别是如果它没有从系统中清除的话。
勒索软件攻击的历史
勒索软件可以追溯到 1989 年,当时“艾滋病病毒”被用来向勒索软件接收者勒索资金。该攻击的付款被邮寄到巴拿马,此时解密密钥被发送回用户。
1996 年,哥伦比亚大学的 Moti Yung 和 Adam Young 推出了被称为“加密病毒勒索”的勒索软件。这个诞生于学术界的想法阐释了现代密码工具的进步、力量和创造。Young 和 Yung 在 1996 年 IEEE 安全和隐私会议上提出了首次加密病毒学攻击。他们的病毒包含攻击者的公钥并加密了受害者的文件。然后,恶意软件提示受害者向攻击者发送非对称密文,以解密并返回解密密钥(需付费)。
多年来,攻击者越来越有创意,要求支付几乎无法追踪的费用,这有助于网络犯罪分子保持匿名。例如,臭名昭著的移动勒索软件 Fusob 要求受害者使用 Apple iTunes 礼品卡而不是美元等标准货币进行支付。
随着比特币等加密货币的增长,勒索软件攻击开始流行起来。加密货币是一种数字货币,它使用加密技术来验证和保护交易并控制新单位的创建。除了比特币之外,攻击者还提示受害者使用其他流行的加密货币,例如以太坊、莱特币和瑞波币。
勒索软件攻击了几乎所有垂直领域的组织,其中最著名的病毒之一是对长老会纪念医院的攻击。这次攻击感染了实验室、药房和急诊室,凸显了勒索软件的潜在损害和风险。
随着时间的推移,社会工程攻击者变得更具创新性。英国《卫报》报道了一种情况,新的勒索软件受害者被要求让另外两名用户安装该链接并支付赎金来解密他们的文件。
勒索软件的类型
勒索软件的日益流行带来了日益复杂的勒索软件攻击。
- 恐吓软件:这种常见类型的勒索软件通过显示虚假警告消息来欺骗用户,声称已在受害者的计算机上检测到恶意软件。这些攻击通常伪装成防病毒解决方案,要求付费才能删除不存在的恶意软件。
- 屏幕锁:这些程序旨在将受害者锁定在计算机之外,阻止他们访问任何文件或数据。通常会显示一条消息,要求付款才能解锁。
- 加密勒索软件:也称为“加密勒索软件”,这种常见的勒索软件会对受害者的文件进行加密,并要求付款以换取解密密钥。
- DDoS 勒索:分布式拒绝服务勒索威胁会对受害者的网站或网络发起 DDoS 攻击,除非支付赎金。
- 移动勒索软件:顾名思义,移动勒索软件针对智能手机和平板电脑等设备,并要求付费才能解锁设备或解密数据。
- Doxware:虽然不太常见,但这种复杂类型的勒索软件可能会发布受害者计算机上的敏感、明确或机密信息,除非支付赎金。
- 勒索软件即服务 (RaaS):网络犯罪分子向其他黑客或网络攻击者提供勒索软件程序,这些黑客或网络攻击者使用此类程序来瞄准受害者。
这些只是一些最常见的勒索软件类型。随着网络犯罪分子适应网络安全策略,他们转向利用新的创新方法来利用漏洞和破坏计算机系统。
勒索软件示例
通过了解下面的主要勒索软件攻击,组织将获得其策略、漏洞和特征的坚实基础。虽然勒索软件代码、目标和功能不断变化,但攻击创新通常是渐进的。
- WannaCry:利用强大的 Microsoft 漏洞创建了一种全球性的勒索软件蠕虫,该蠕虫感染了超过 250,000 个系统,然后启动了终止开关以阻止其传播。Proofpoint 参与识别用于查找终止开关的样本并解构勒索软件。了解有关Proofpoint 参与阻止 WannaCry 的更多信息。
- CryptoLocker:这是当前一代早期的勒索软件,需要加密货币(比特币)进行支付,并对用户的硬盘驱动器和连接的网络驱动器进行加密。CryptoLocker通过一封带有声称是 FedEx 和 UPS 跟踪通知的附件的电子邮件进行传播。2014 年为此发布了解密工具。但各种报告表明 CryptoLocker 勒索了超过 2700 万美元。
- NotPetya: NotPetya 被认为是最具破坏性的勒索软件攻击之一,它利用了同名的Petya策略,例如感染和加密基于 Microsoft Windows 的系统的主引导记录。NotPetya 针对与 WannaCry 相同的漏洞,快速传播比特币支付需求以撤消更改。有些人将其归类为擦除器,因为 NotPetya 无法撤消其对主引导记录的更改,并使目标系统无法恢复。
- Bad Rabbit:Bad Rabbit被认为是 NotPetya 的近亲,使用类似的代码和漏洞进行传播,是一种明显的勒索软件,似乎针对俄罗斯和乌克兰媒体公司。与 NotPetya 不同的是,如果支付了赎金,Bad Rabbit 确实允许解密。大多数案例表明,它是通过虚假的 Flash 播放器更新传播的,该更新通过路过式攻击影响用户。
- REvil: REvil 是由一群出于经济动机的攻击者编写的。它会在加密之前泄露数据,以勒索目标受害者,如果他们选择不发送赎金,则必须付费。此次攻击源于用于修补 Windows 和 Mac 基础设施的 IT 管理软件遭到破坏。攻击者破坏了用于将 REvil 勒索软件注入企业系统的 Kaseya 软件。
- Ryuk: Ryuk 是一种手动分发的勒索软件应用程序,主要用于鱼叉式网络钓鱼。通过侦察仔细选择目标。电子邮件会发送给选定的受害者,然后受感染系统上托管的所有文件都会被加密。
勒索软件统计
尽管勒索软件攻击的数量多年来一直在波动,但这些类型的网络攻击仍然是对组织最常见且代价最高的攻击之一。勒索软件攻击统计数据令人震惊,呼吁组织采取行动加强网络安全措施和安全意识培训。
- 根据 Sophos 的《2022 年勒索软件状况》报告,2021 年勒索软件攻击影响了 66% 的组织,与 2020 年相比同比大幅增长 78%。
- Proofpoint 的 2023 年网络钓鱼状况报告发现,64% 的受访组织表示他们在 2022 年受到勒索软件的影响,其中超过三分之二的组织报告了多起事件。反过来,专家推测去年的实际事故数量和相关损失远高于报道的数量。
- 医疗保健行业仍然是勒索软件的最大目标,赎金支付率为 85%。然而,根据 BlackFog 的 2022 年勒索软件报告,教育机构的勒索软件攻击增幅最大(2021 年为 28%)。
- 根据 Google 的 VirusTotal 服务,Windows 系统代表了绝大多数受影响的系统,占勒索软件恶意软件攻击的 95%。
- 据 Cybersecurity Ventures 称,到 2031 年,勒索软件攻击预计每年会给受害者造成超过 2650 亿美元的损失。
勒索软件趋势
根据最新统计数据,勒索软件趋势不断发展。一些值得注意的最引人注目的趋势包括:
- 全球化威胁增加
- 更有针对性和复杂的攻击
- 多级勒索技术的增长
- 勒索软件泄露的频率更高
- 随着安全态势的加强,赎金价格趋于稳定
政府干预是另一个可能改变勒索软件攻击处理方式的主要趋势。Gartner 预测,到 2025 年,全球 30% 的政府可能会颁布勒索软件支付立法。
勒索软件付款的平均折扣似乎也在增加。根据最新的勒索软件趋势,受害者的赎金支付可享受 20% 至 25% 的折扣,有些人的折扣甚至高达 60%。
勒索软件如何运作
勒索软件是一种恶意软件,旨在向受害者勒索金钱,受害者被阻止或阻止访问其系统上的数据。最流行的两种勒索软件是“加密器”和“屏幕锁”。顾名思义,加密器对系统上的数据进行加密,如果没有解密密钥,内容将毫无用处。另一方面,屏幕储物柜只是通过“锁定”屏幕阻止对系统的访问,断言系统已加密。
图 1:勒索软件如何试图诱骗受害者安装它
受害者通常会在锁定屏幕(加密器和屏幕储物柜都很常见)上收到通知,要求他们购买加密货币(例如比特币)来支付赎金。支付赎金后,客户会收到解密密钥并可以尝试解密文件。无法保证解密,因为多个来源报告称在支付赎金后解密取得了不同程度的成功。有时受害者永远不会收到钥匙。即使支付了赎金并发布了数据,某些攻击也会在计算机系统上安装恶意软件。
虽然加密勒索软件最初专注于个人计算机,但现在越来越多地针对企业用户,因为企业通常比个人支付更多费用来解锁关键系统并恢复日常运营。
企业勒索软件感染或病毒通常始于恶意电子邮件。毫无戒心的用户打开附件或单击恶意或受感染的 URL。
此时,勒索软件代理将被安装并加密受害者电脑上的关键文件和任何附加的文件共享。加密数据后,勒索软件会在受感染的设备上显示一条消息,解释发生了什么以及如何向攻击者付款。如果受害者付款,勒索软件承诺他们将获得解锁数据的代码。
谁面临风险?
任何连接到互联网的设备都有可能成为下一个勒索软件受害者。勒索软件会扫描本地设备和任何连接网络的存储,这意味着易受攻击的设备会使本地网络成为潜在的受害者。如果本地网络是一家企业,勒索软件可能会对重要文档和系统文件进行加密,从而导致服务和生产力停止。
如果设备连接到互联网,则应使用最新的软件安全补丁进行更新,并且应安装用于检测和阻止勒索软件的反恶意软件。不再维护的过时操作系统(例如 Windows XP)面临的风险要高得多。
勒索软件对业务的影响
成为勒索软件受害者的企业可能会损失数千美元的生产力和数据丢失。有权访问数据的攻击者通过威胁释放数据并揭露数据泄露事件来勒索受害者支付赎金。支付速度不够快的组织可能会遇到额外的副作用,例如品牌损害和诉讼。
由于勒索软件会影响生产力,因此第一步就是遏制。遏制后,组织可以从备份中恢复或支付赎金。执法部门参与调查,但追踪勒索软件作者需要研究时间,这会延迟恢复。根本原因分析可以识别漏洞,但任何恢复延迟都会影响生产力和业务收入。
勒索软件为何蔓延?
随着越来越多的人在家工作,威胁行为者越来越多地使用网络钓鱼。网络钓鱼是勒索软件感染的主要起点。网络钓鱼电子邮件针对员工,包括低权限和高权限用户。电子邮件价格便宜且易于使用,使攻击者可以方便地传播勒索软件。
文档通常通过电子邮件传递,因此用户认为打开电子邮件附件中的文件没什么意义。恶意宏运行,将勒索软件下载到本地设备,然后传递其有效负载。通过电子邮件传播勒索软件很容易,这就是它成为常见恶意软件攻击的原因。
恶意软件工具包的出现也导致了广泛的勒索软件攻击。这些漏洞利用工具包会扫描设备中的软件漏洞,并部署其他恶意软件以进一步感染设备,从而按需生成恶意软件样本。恶意软件即服务趋势推动了这些工具包的流行。
谁是恶意角色?
复杂的攻击可能会使用勒索软件,作者也构建了自己的版本。变体使用现有勒索软件版本的代码库,并改变足够的功能来改变有效负载和攻击方法。勒索软件作者可以自定义其恶意软件以执行任何操作并使用首选加密密码。
攻击者并不总是作者。一些勒索软件作者将其软件出售给其他人或出租使用。勒索软件可以作为恶意软件即服务 (MaaS) 进行租赁,客户可以通过仪表板进行身份验证并启动自己的活动。因此,攻击者并不总是程序员和恶意软件专家。他们也是向作者付费以出租勒索软件的个人。
为什么你不应该支付勒索软件费用
勒索软件加密文件后,会向用户显示一个屏幕,宣布文件已加密以及勒索金额。通常,受害者会在特定期限内支付赎金或增加赎金。攻击者还威胁要揭露企业并公开宣布他们是勒索软件的受害者。
支付赎金的最大风险是永远不会收到解密数据的密钥。大多数专家建议不要支付赎金,以阻止攻击者永久获得金钱利益,但许多组织别无选择。勒索软件作者需要加密货币付款,因此资金转移无法逆转。
响应攻击的步骤
勒索软件的有效负载是立即的。该恶意软件向用户显示一条消息,其中包含付款说明以及有关文件发生情况的信息。管理员必须迅速做出反应,因为勒索软件可能会传播到扫描其他网络位置以查找关键文件。您可以采取一些基本步骤来正确应对勒索软件,但请注意,根本原因分析、清理和调查通常需要专家干预。
- 确定哪些系统受到影响。您必须隔离系统,以便它们不会影响环境的其他部分。此步骤是遏制措施的一部分,旨在最大限度地减少对环境的损害。
- 如有必要,请断开系统并关闭电源。勒索软件在网络上迅速传播,因此必须通过禁用网络访问或关闭系统来断开所有系统的连接。
- 优先恢复系统。这可以确保最关键的部分首先恢复正常。通常,优先级基于生产力和收入影响。
- 消除网络威胁。攻击者可能会使用后门,因此必须由值得信赖的专家来消除。专家需要访问日志来执行根本原因分析,以识别漏洞和所有受影响的系统。
- 请专业人员检查环境是否存在潜在的安全升级。勒索软件受害者成为第二次攻击的目标是很常见的。未检测到的漏洞可以再次被利用。
新的勒索软件威胁
作者不断地将代码更改为新的变体以避免被发现。管理员和反恶意软件开发人员必须跟上这些新方法,以便在威胁通过网络传播之前快速检测到威胁。以下是一些新的威胁:
- DLL 端加载。恶意软件试图通过使用看似合法函数的 DLL 和服务来避免检测。
- Web 服务器作为目标。共享托管环境中的恶意软件可能会影响服务器上托管的所有站点。勒索软件(例如 Ryuk)以托管网站为目标,主要使用网络钓鱼电子邮件。
- 鱼叉式网络钓鱼优于标准网络钓鱼。攻击者不是向数千个目标发送恶意软件,而是对潜在目标进行侦察,以获取高权限网络访问权限。
- 勒索软件即服务 (RaaS) 允许用户在没有任何网络安全知识的情况下发起攻击。RaaS 的引入导致勒索软件攻击增加。
使用勒索软件的威胁增加的主要原因是远程工作。这场大流行带来了一种新的全球工作方式。在家工作的员工更容易受到威胁。家庭用户没有必要的企业级网络安全来防范复杂的攻击,而且其中许多用户将个人设备与工作设备混合在一起。由于勒索软件会扫描网络中是否存在易受攻击的设备,因此感染恶意软件的个人计算机也可能会感染网络连接的商用机器。
勒索软件预防和检测
预防勒索软件攻击通常涉及设置和测试备份以及在安全工具中应用勒索软件防护。电子邮件保护网关等安全工具是第一道防线,而端点是第二道防线。入侵检测系统 (IDS) 可以检测勒索软件命令和控制,以针对调用控制服务器的勒索软件系统发出警报。虽然用户培训至关重要,但这只是防范勒索软件的多层防御之一。它通常在通过电子邮件网络钓鱼发送勒索软件后发挥作用。
如果其他勒索软件预防性防御失败,后备措施是储存比特币。当直接损害可能影响受影响组织的客户或用户时,这种情况更为普遍。医院和酒店业尤其面临勒索软件的风险,因为患者的生活可能会受到影响,或者人们可能被锁在或锁在设施外。
之前/之后
如何防止勒索软件攻击
- 保护电子邮件免受勒索软件的侵害:电子邮件网络钓鱼和垃圾邮件是勒索软件攻击的主要传播方式。具有针对性攻击保护的安全电子邮件网关对于检测和阻止传播勒索软件的恶意电子邮件至关重要。这些解决方案可防止发送到用户计算机的电子邮件中的恶意附件、恶意文档和 URL。
- 保护移动设备免受勒索软件的侵害:与移动设备管理 (MDM) 工具结合使用时,移动攻击防护产品可以分析用户设备上的应用程序,并立即向用户和 IT 人员发出可能危害环境的任何应用程序的警报。
- 保护网络冲浪免受勒索软件的侵害:安全网络网关可以扫描用户的网络冲浪流量,以识别可能导致勒索软件的恶意网络广告。
- 监控服务器和网络并备份关键系统:监控工具可以及时检测异常文件访问活动、病毒、网络 C&C 流量和 CPU 负载,以阻止勒索软件激活。保留关键系统的完整映像副本可以降低机器崩溃或加密导致关键操作瓶颈的风险。
如何删除勒索软件
致电联邦和地方执法部门:就像有人会致电联邦机构处理绑架事件一样,组织也必须联系同一机构来处理勒索软件问题。他们的取证技术人员可以确保系统不会以其他方式受到损害,收集信息以更好地保护组织的未来,并尝试找到攻击者。
勒索软件恢复
- 了解反勒索软件资源: No More Ransom 门户和 Bleeping Computer 提供针对选定勒索软件攻击的提示、建议,甚至解密器。
- 恢复数据:如果组织遵循最佳实践并保留系统备份,则可以恢复系统并恢复正常运营。