什么是勒索软件?
勒索软件也叫勒索软件,勒索软件的本质是恶意软件。攻击者使用勒索软件来控制用户并防止用户访问这些系统或文件。受害者必须支付赎金,这样才有可能交换解密密钥,恢复被程序加密的系统或文件。很多情况下,即使交了赎金,也无法恢复控制。这是一个非常成功的商业模式。就像在现实世界中,我们把钱放在保险箱里。小偷没有撬开保险柜直接拿钱,而是在保险柜外面设置了另一个保险柜。如果我们不如果没有小偷新设置的保险箱解锁密码,我们仍然可以我拿不到保险箱里的钱。
事实上,勒索软件并不是一个新的威胁。30多年来,网络罪犯一直使用它来执行恶意操作。第一次有记录的恶意软件网络攻击可以追溯到1989年,哈佛大学艾滋病研究人员约瑟夫波普博士通过软盘发布了针对艾滋病研究人员的恶意软件。
幸运的是,早期的勒索软件攻击相对初级,使用非常基本的数据加密技术。然而,从2000年中期开始,网络犯罪分子开始使用非对称加密对3354进行加密,这标志着现代勒索软件的开始。
勒索软件虽然活跃了30年,但最近10年是最疯狂的。攻击的规模和频率以惊人的速度增长,并且有许多里程碑式的事件表明勒索软件已经成为重要的威胁。
勒索软件的重要里程碑
是什么驱动了当前的勒索攻击模式?
在过去的10年中,勒索病毒的模式发生了很大的变化,主要受以下三个因素的驱动:
01勒索软件即服务(RaaS)
十多年来,服务模式一直是网络犯罪领域的常客。勒索软件开发者可以像合法的软件服务公司一样开发一种产品,并授权它根据固定价格或勒索收益的分成来攻击团伙。攻击团伙往往独立于勒索软件开发者和运营者,以攻击者的身份攻击受害者,让攻击团伙有更多的时间和精力去布局和操作,从而实现更精准有效的攻击。在这个勒索软件商业合作生态中,每个角色在高度专业化的集群中独立运行,专注于自己负责的模块,以达到高效输出的目的。
讹诈合作的生态结构图
02敲诈
直到几年前,针对勒索软件攻击的最常见防御措施是确保组织对关键数据进行固定和安全的离线备份。如果勒索病毒攻击成功,可以使用备份数据恢复任何加密数据,从而减少对数据丢失的影响。但2019年的迷宫勒索病毒集团加入了二级勒索病毒战术脚本,不仅对一个组织有重大影响的数据进行加密,还窃取该组织的数据或敏感信息,并威胁如果不支付赎金就将数据公开。对于那些拒绝支付赎金的组织,勒索软件组织会在暗网上发布博客,任何访问该网站的人都可以下载。通过添加额外的动机,它改变了组织可能决定如何应对勒索软件攻击(即勒索)的策略。
03加密货币
这是勒索软件的最大推手。早期的勒索软件,通过未知的支付方式提出勒索。这些方法通常要求受害者购买实物支付卡,人为设定赎金上限。由于支付方式的挑战,十年前勒索软件攻击的支付大约是100美元。比特币诞生于2008年,但不是直到2013年,网络罪犯才开始使用加密货币作为支付赎金的唯一方式。与以往的支付方式相比,加密货币有三大优势。一种是相对匿名的支付,可以帮助网络犯罪分子保护身份。另一个是加密货币速度快,最重要的是通过加密货币支付的金额远高于其他支付方式。这些因素加上过去几年加密货币价格的飙升,导致了更高的赎金和更大的利润。因此,勒索病毒攻击的平均支付金额从五年前的几百美元飙升到现在的几万美元,而现在,有些支付已经达到了几百万美元。
勒索是怎么发生的?
一般来说,勒索攻击的链条分为四步:攻击入侵、病毒传递执行、加密勒索、横向移动。
勒索攻击链
01攻击入侵攻击入侵是勒索攻击的第一步,用来打破可信边界。一般来说,攻击者会以上图所示的六种方式进行攻击。其中,RDP暴力破解因其成本低、可直接获取主机权限而成为中小企业的主要入侵方式。钓鱼攻击还可以通过撒网的方式传播钓鱼邮件或有针对性的钓鱼邮件,诱导受害者打开勒索邮件的附件或点击邮件正文中的链接地址,这是中大型企业常见的入侵方式。针对这些入侵攻击,防御方需要提前识别企业暴露的攻击面,提前消除隐患。02病毒传递和执行
勒索攻击成功进入内网后,攻击者开始在目标主机上提升权限,获得可持续的权限,进行防御和规避。在这一阶段,防御方要高精度地检测威胁,在病毒发起阶段和执行初期快速阻断,确保核心数据零丢失。
03加密勒索
攻击者对目标机上的关键数据进行加密,发布勒索信、勒索弹窗和锁屏提示等。有些家庭还进行双重勒索,并将关键数据发送给攻击者服务器加密前,从而提高勒索的成功率。在这个阶段,我们必须尽早发现勒索威胁,迅速阻止它以减少数据损坏,断开或隔离受害者并防止它水平传播到其他主机。
04横向移动
为了扩大敲诈的结果,攻击者往往利用文件共享、操作系统漏洞、暴力破解等方式进行横向移动。在这个阶段,我们必须尽快划定横向移动范围,尽快断开或隔离宿主。
通过勒索攻击链,发现攻击者也会考虑攻击的投入产出比。所以应对敲诈最划算的措施就是尽快断开常用/便宜的入口,以打破攻击者的ROI,不断增加攻击者的成本和难度的攻击。
审计刘清
标签:软件攻击者攻击