勒索軟件是什么？

勒索軟件又稱勒索病毒，勒索軟件的本質(zhì)是惡意軟件。攻擊者利用勒索軟件獲取用戶系統(tǒng)或文件的控制權(quán)限，阻止用戶訪問(wèn)這些系統(tǒng)或文件。受害者必須支付贖金，才有可能換取解密密鑰，恢復(fù)被程序加密的系統(tǒng)或文件。很多時(shí)候，即便支付贖金，也并不能恢復(fù)控制權(quán)。這是一種很成功的商業(yè)模式，就像在物理世界中，我們把錢(qián)放在保險(xiǎn)箱中，小偷并沒(méi)有撬開(kāi)保險(xiǎn)箱將錢(qián)直接拿走，而是在保險(xiǎn)箱的外面又套了一個(gè)保險(xiǎn)箱，如果我們沒(méi)有小偷新套上的保險(xiǎn)箱的開(kāi)鎖密碼，我們依然拿不到保險(xiǎn)箱中的錢(qián)。

事實(shí)上，勒索軟件并不是一種新的威脅，網(wǎng)絡(luò)罪犯已經(jīng)利用它執(zhí)行惡意操作超過(guò)30年。第一次有記錄的惡意軟件網(wǎng)絡(luò)攻擊可以追溯到1989年，哈佛艾滋病研究者Joseph Popp博士通過(guò)軟盤(pán)發(fā)布了針對(duì)艾滋病研究人員的惡意軟件。

幸運(yùn)的是，早期的勒索攻擊比較初級(jí)，使用非常基礎(chǔ)的數(shù)據(jù)加密技術(shù)。然而從2000年中期開(kāi)始，網(wǎng)絡(luò)罪犯開(kāi)始使用非對(duì)稱加密進(jìn)行加密——這標(biāo)志著現(xiàn)代勒索軟件的開(kāi)始。

盡管勒索軟件已經(jīng)活躍30年，但也就在最近10年最為瘋狂，攻擊規(guī)模和頻率以驚人的速度增長(zhǎng)，存在較多勒索軟件成為重要威脅的里程碑事件。

勒索軟件重要里程碑事件

什么驅(qū)動(dòng)了當(dāng)前勒索攻擊的格局？

在過(guò)去的10年間，勒索軟件的格局發(fā)生了很大變化，主要由如下三個(gè)因素驅(qū)動(dòng)：

01 勒索軟件即服務(wù)（RaaS）

As-a-Service模式已經(jīng)成為網(wǎng)絡(luò)犯罪領(lǐng)域的常客十多年之久，勒索軟件開(kāi)發(fā)者可以像合法軟件服務(wù)公司一樣開(kāi)發(fā)一款產(chǎn)品并基于固定價(jià)格或勒索收益的分成授權(quán)給攻擊團(tuán)伙。攻擊團(tuán)伙很多時(shí)候獨(dú)立于勒索軟件開(kāi)發(fā)者和運(yùn)營(yíng)商，專(zhuān)職作為攻擊方角色對(duì)受害目標(biāo)實(shí)施攻擊，這樣攻擊團(tuán)伙有更多的時(shí)間和精力來(lái)布局運(yùn)作，從而實(shí)現(xiàn)更加精準(zhǔn)、有效的攻擊。在這種勒索軟件商業(yè)合作生態(tài)中，各角色獨(dú)立地在高度專(zhuān)業(yè)化的集群中運(yùn)行，專(zhuān)注于自己所負(fù)責(zé)的模塊，以達(dá)到高效產(chǎn)出的目的。

勒索攻擊合作生態(tài)結(jié)構(gòu)圖

02 敲詐勒索

直到前幾年，最常見(jiàn)的防御勒索攻擊的方法還是確保組織有固定的、安全的關(guān)鍵數(shù)據(jù)的離線備份。如果勒索攻擊成功，任何加密的數(shù)據(jù)都可以使用備份數(shù)據(jù)恢復(fù)，從而降低對(duì)數(shù)據(jù)丟失的影響。但2019年的Maze勒索軟件團(tuán)體加入了二級(jí)勒索戰(zhàn)術(shù)劇本，不僅僅加密對(duì)一個(gè)組織中有重大影響的數(shù)據(jù)，而且竊取這些數(shù)據(jù)或組織敏感信息，并威脅說(shuō)如果不支付贖金就公開(kāi)這些數(shù)據(jù)。對(duì)于那些拒絕支付贖金的組織，勒索軟件組織會(huì)在暗網(wǎng)上發(fā)布博客，任何訪問(wèn)該網(wǎng)站的人都可以下載。這種通過(guò)增加額外動(dòng)機(jī)改變了一個(gè)組織可能決定如何應(yīng)對(duì)一個(gè)勒索軟件攻擊的策略，即為敲詐勒索。

03 加密貨幣

這是勒索軟件最大的驅(qū)動(dòng)因素，早期勒索軟件中，勒索是通過(guò)不明的支付方式提出的，這些方式一般需要受害者購(gòu)買(mǎi)一種實(shí)體支付卡，這就人為設(shè)定了贖金上限，由于支付方式的挑戰(zhàn)，十年前因勒索軟件攻擊而支付的費(fèi)用在100美元左右。比特幣誕生于2008年，但直到2013年網(wǎng)絡(luò)犯罪分子才開(kāi)始使用加密貨幣作為支付贖金的唯一方法，加密貨幣相比之前的支付方式有三大優(yōu)勢(shì)，其一是相對(duì)匿名的支付，可以幫助網(wǎng)絡(luò)罪犯保護(hù)他們的身份，其二是加密支付速度快，最重要的是通過(guò)加密貨幣支付的金額遠(yuǎn)高于其他支付方法。這些因素再疊加上過(guò)去這幾年中加密貨幣價(jià)格的暴漲，已經(jīng)導(dǎo)致了更高的贖金和更大的利潤(rùn)，因此勒索軟件攻擊的平均支付金額已經(jīng)從五年前的幾百美元暴漲到現(xiàn)在的幾萬(wàn)美元，如今，一些款項(xiàng)達(dá)到了數(shù)百萬(wàn)美元。

勒索攻擊是如何發(fā)生的？

一般來(lái)講，勒索攻擊的攻擊鏈條分成四個(gè)步驟：攻擊入侵、病毒投放&執(zhí)行、加密勒索、橫向移動(dòng)。

勒索攻擊鏈條

01 攻擊入侵

攻擊入侵是勒索攻擊的第一步，用來(lái)打破可信邊界，一般攻擊者會(huì)通過(guò)上圖中的6種方式來(lái)實(shí)現(xiàn)。其中，RDP暴力破解因成本低且可以直接獲取主機(jī)權(quán)限的優(yōu)勢(shì)，是中小企業(yè)的主要入侵方式；釣魚(yú)郵件攻擊又可以分成廣撒網(wǎng)的方式傳播釣魚(yú)郵件或定向釣魚(yú)郵件，誘導(dǎo)受害者打開(kāi)勒索郵件附件或點(diǎn)擊其郵件正文中的鏈接地址，是中大型企業(yè)中較為常見(jiàn)的入侵方式。針對(duì)這些入侵攻擊方式，防御方需提前識(shí)別企業(yè)暴露的攻擊面，提前消除隱患。

02 病毒投放&執(zhí)行

勒索攻擊成功進(jìn)入內(nèi)網(wǎng)后，攻擊者開(kāi)始在目標(biāo)主機(jī)上提權(quán)，獲取可持續(xù)權(quán)限，并進(jìn)行防御逃避等。在這個(gè)階段防御方應(yīng)該在病毒投放階段和執(zhí)行早期階段高精度檢出威脅并快速阻斷，保證核心數(shù)據(jù)的零損失。

03 加密勒索

攻擊者對(duì)目標(biāo)機(jī)器上的關(guān)鍵數(shù)據(jù)進(jìn)行加密，釋放勒索信，勒索彈窗、鎖屏提示等，有些家族還進(jìn)行雙重勒索，在加密前將關(guān)鍵數(shù)據(jù)外傳到攻擊者服務(wù)器，以提高勒索成功率。在這個(gè)階段一定要盡早檢測(cè)出勒索威脅，快速阻斷減少數(shù)據(jù)損害，對(duì)受害者主機(jī)斷網(wǎng)或快速隔離，防止橫向擴(kuò)散到其他主機(jī)。

04 橫向移動(dòng)

為擴(kuò)大勒索戰(zhàn)果，攻擊者往往會(huì)利用文件共享、操作系統(tǒng)漏洞、暴力破解等方式進(jìn)行橫向移動(dòng)。在這個(gè)階段一定要盡快圈定橫向移動(dòng)范圍，并盡快對(duì)主機(jī)斷網(wǎng)或隔離。

通過(guò)勒索攻擊鏈條發(fā)現(xiàn)，攻擊者也會(huì)考慮攻擊的投入產(chǎn)出比。因此，應(yīng)對(duì)勒索性價(jià)比最高的一條舉措就是盡早斷開(kāi)普通/廉價(jià)的入口打破攻擊者的ROI，不斷的增加攻擊者的攻擊成本和難度。

審核編輯：劉清