勒索軟件是什么？

勒索軟件又稱勒索病毒，勒索軟件的本質(zhì)是惡意軟件。攻擊者利用勒索軟件獲取用戶系統(tǒng)或文件的控制權(quán)限，阻止用戶訪問這些系統(tǒng)或文件。受害者必須支付贖金，才有可能換取解密密鑰，恢復(fù)被程序加密的系統(tǒng)或文件。很多時候，即便支付贖金，也并不能恢復(fù)控制權(quán)。這是一種很成功的商業(yè)模式，就像在物理世界中，我們把錢放在保險箱中，小偷并沒有撬開保險箱將錢直接拿走，而是在保險箱的外面又套了一個保險箱，如果我們沒有小偷新套上的保險箱的開鎖密碼，我們依然拿不到保險箱中的錢。

事實上，勒索軟件并不是一種新的威脅，網(wǎng)絡(luò)罪犯已經(jīng)利用它執(zhí)行惡意操作超過30年。第一次有記錄的惡意軟件網(wǎng)絡(luò)攻擊可以追溯到1989年，哈佛艾滋病研究者Joseph Popp博士通過軟盤發(fā)布了針對艾滋病研究人員的惡意軟件。

幸運的是，早期的勒索攻擊比較初級，使用非常基礎(chǔ)的數(shù)據(jù)加密技術(shù)。然而從2000年中期開始，網(wǎng)絡(luò)罪犯開始使用非對稱加密進(jìn)行加密——這標(biāo)志著現(xiàn)代勒索軟件的開始。

盡管勒索軟件已經(jīng)活躍30年，但也就在最近10年最為瘋狂，攻擊規(guī)模和頻率以驚人的速度增長，存在較多勒索軟件成為重要威脅的里程碑事件。

勒索軟件重要里程碑事件

什么驅(qū)動了當(dāng)前勒索攻擊的格局？

在過去的10年間，勒索軟件的格局發(fā)生了很大變化，主要由如下三個因素驅(qū)動：

01 勒索軟件即服務(wù)（RaaS）

As-a-Service模式已經(jīng)成為網(wǎng)絡(luò)犯罪領(lǐng)域的常客十多年之久，勒索軟件開發(fā)者可以像合法軟件服務(wù)公司一樣開發(fā)一款產(chǎn)品并基于固定價格或勒索收益的分成授權(quán)給攻擊團(tuán)伙。攻擊團(tuán)伙很多時候獨立于勒索軟件開發(fā)者和運營商，專職作為攻擊方角色對受害目標(biāo)實施攻擊，這樣攻擊團(tuán)伙有更多的時間和精力來布局運作，從而實現(xiàn)更加精準(zhǔn)、有效的攻擊。在這種勒索軟件商業(yè)合作生態(tài)中，各角色獨立地在高度專業(yè)化的集群中運行，專注于自己所負(fù)責(zé)的模塊，以達(dá)到高效產(chǎn)出的目的。

勒索攻擊合作生態(tài)結(jié)構(gòu)圖

02 敲詐勒索

直到前幾年，最常見的防御勒索攻擊的方法還是確保組織有固定的、安全的關(guān)鍵數(shù)據(jù)的離線備份。如果勒索攻擊成功，任何加密的數(shù)據(jù)都可以使用備份數(shù)據(jù)恢復(fù)，從而降低對數(shù)據(jù)丟失的影響。但2019年的Maze勒索軟件團(tuán)體加入了二級勒索戰(zhàn)術(shù)劇本，不僅僅加密對一個組織中有重大影響的數(shù)據(jù)，而且竊取這些數(shù)據(jù)或組織敏感信息，并威脅說如果不支付贖金就公開這些數(shù)據(jù)。對于那些拒絕支付贖金的組織，勒索軟件組織會在暗網(wǎng)上發(fā)布博客，任何訪問該網(wǎng)站的人都可以下載。這種通過增加額外動機(jī)改變了一個組織可能決定如何應(yīng)對一個勒索軟件攻擊的策略，即為敲詐勒索。

03 加密貨幣

這是勒索軟件最大的驅(qū)動因素，早期勒索軟件中，勒索是通過不明的支付方式提出的，這些方式一般需要受害者購買一種實體支付卡，這就人為設(shè)定了贖金上限，由于支付方式的挑戰(zhàn)，十年前因勒索軟件攻擊而支付的費用在100美元左右。比特幣誕生于2008年，但直到2013年網(wǎng)絡(luò)犯罪分子才開始使用加密貨幣作為支付贖金的唯一方法，加密貨幣相比之前的支付方式有三大優(yōu)勢，其一是相對匿名的支付，可以幫助網(wǎng)絡(luò)罪犯保護(hù)他們的身份，其二是加密支付速度快，最重要的是通過加密貨幣支付的金額遠(yuǎn)高于其他支付方法。這些因素再疊加上過去這幾年中加密貨幣價格的暴漲，已經(jīng)導(dǎo)致了更高的贖金和更大的利潤，因此勒索軟件攻擊的平均支付金額已經(jīng)從五年前的幾百美元暴漲到現(xiàn)在的幾萬美元，如今，一些款項達(dá)到了數(shù)百萬美元。

勒索攻擊是如何發(fā)生的？

一般來講，勒索攻擊的攻擊鏈條分成四個步驟：攻擊入侵、病毒投放&執(zhí)行、加密勒索、橫向移動。

勒索攻擊鏈條

01 攻擊入侵

攻擊入侵是勒索攻擊的第一步，用來打破可信邊界，一般攻擊者會通過上圖中的6種方式來實現(xiàn)。其中，RDP暴力破解因成本低且可以直接獲取主機(jī)權(quán)限的優(yōu)勢，是中小企業(yè)的主要入侵方式；釣魚郵件攻擊又可以分成廣撒網(wǎng)的方式傳播釣魚郵件或定向釣魚郵件，誘導(dǎo)受害者打開勒索郵件附件或點擊其郵件正文中的鏈接地址，是中大型企業(yè)中較為常見的入侵方式。針對這些入侵攻擊方式，防御方需提前識別企業(yè)暴露的攻擊面，提前消除隱患。

02 病毒投放&執(zhí)行

勒索攻擊成功進(jìn)入內(nèi)網(wǎng)后，攻擊者開始在目標(biāo)主機(jī)上提權(quán)，獲取可持續(xù)權(quán)限，并進(jìn)行防御逃避等。在這個階段防御方應(yīng)該在病毒投放階段和執(zhí)行早期階段高精度檢出威脅并快速阻斷，保證核心數(shù)據(jù)的零損失。

03 加密勒索

攻擊者對目標(biāo)機(jī)器上的關(guān)鍵數(shù)據(jù)進(jìn)行加密，釋放勒索信，勒索彈窗、鎖屏提示等，有些家族還進(jìn)行雙重勒索，在加密前將關(guān)鍵數(shù)據(jù)外傳到攻擊者服務(wù)器，以提高勒索成功率。在這個階段一定要盡早檢測出勒索威脅，快速阻斷減少數(shù)據(jù)損害，對受害者主機(jī)斷網(wǎng)或快速隔離，防止橫向擴(kuò)散到其他主機(jī)。

04 橫向移動

為擴(kuò)大勒索戰(zhàn)果，攻擊者往往會利用文件共享、操作系統(tǒng)漏洞、暴力破解等方式進(jìn)行橫向移動。在這個階段一定要盡快圈定橫向移動范圍，并盡快對主機(jī)斷網(wǎng)或隔離。

通過勒索攻擊鏈條發(fā)現(xiàn)，攻擊者也會考慮攻擊的投入產(chǎn)出比。因此，應(yīng)對勒索性價比最高的一條舉措就是盡早斷開普通/廉價的入口打破攻擊者的ROI，不斷的增加攻擊者的攻擊成本和難度。

審核編輯：劉清