勒索软件的演变与未来

勒索软件攻击的影响

过去一年，美国东海岸大部分地区经历了毁灭性的燃料短缺。这与自然灾害或地缘政治危机不同，而是因为该地区主要燃料供应商成为勒索软件攻击的受害者。

殖民管道是一条从德克萨斯州休斯顿延伸到纽约市的动脉管道，是关键基础设施的定义，提供东海岸近一半的汽油和大量航空燃料。可能隶属于俄罗斯网络犯罪组织DarkSide的攻击者侵入了其计费系统，阻止任何新交易，直到运营商支付440万美元的赎金。

对安全行业来说，殖民管道事件是一个新趋势的令人不安的证据。勒索软件运营商不再满足于仅针对个人，每次赚取几十万美元。相反，他们将重点转向国家基础设施的敏感领域，包括能源、医疗保健和食品生产。情况并非总是如此。

勒索软件的简史

第一个已知的勒索软件样本可追溯到1989年的AIDS木马。由哈佛教育的进化生物学家Joseph Popp博士编写，该恶意软件通过软盘分发给世界卫生组织艾滋病会议的2万名与会者。

AIDS木马具有隐蔽性。一旦感染机器，它会潜伏等待，仅在90次启动周期后激活。此时，它开始加密目录和文件名，除非受害者“购买”许可证，否则不会逆转损害。这个过程涉及向巴拿马的一个邮政信箱发送189美元。

AIDS木马无疑是毁灭性的，但其背景与时代相符。Popp不是网络犯罪团伙的一部分，每年赚取数百万非法资金。他也不是国家支持的影子操作员。相反，他是一个古怪的人，就像当时的黑客和恶意软件开发者。在审判中，据报道Popp在鼻子上戴避孕套，胡子上戴卷发器。他的辩护基于他打算用恶意软件筹集的资金支持艾滋病研究。

对受害者来说幸运的是，AIDS木马造成的损害很容易逆转。分析后，发布了一个名为AIDSOUT的修复程序。由Virus Bulletin编辑顾问Jim Bates编写，该工具从系统中删除所有恶意软件痕迹，并解密文件名和目录扩展名。

最终，AIDS木马失败了，没有证明特别广泛或有利可图。随后的勒索软件变种则不同。

第一个真正的现代勒索软件程序可追溯到2005年5月发布的PGPCoder。与通过物理媒体分发的AIDS木马不同，这主要使用路过式下载作为攻击方法。受害者会访问受感染的网站，利用当时浏览器的固有缺陷，自动下载并安装恶意软件。

一旦在系统中扎根，PGPCoder加密所有具有特定扩展名的文件（包括但不限于.doc、.html、.jpg、.xls、.zip和.rar）。它还会在每个目录中留下赎金文档，指示受害者向数字货币账户支付100到200美元的费用。

由于PGPCoder早于匿名加密货币的出现，作者列出了E-Gold和Liberty Reserve的账户。这两种服务都因洗钱和财务合规问题被美国当局关闭。

与AIDS木马一样，后来证明可以修复PGPCoder造成的损害，因为它依赖对称加密来加密和解密文件。行业专家最终通过比较大量加密和解密文件学到了加密密钥。后来的变种，最 notably GPcode.ax，会 incorporate 积极的对抗措施来击败解密努力。

随着时间的推移，勒索软件作者采用了越来越复杂的方法。变种从对称加密转向非对称加密，进一步挫败了合法安全行业创建实用解密工具的努力。货币化策略也发生了变化，加密货币取代了其他更容易追踪的方法。

最著名的例子是2013年出现的臭名昭著的Cryptolocker恶意软件。该变种是第一个接受比特币的。尽管，可能由于当时加密货币生态系统的初期阶段，它也允许受害者通过Green Dot MoneyPak预付卡支付赎金。

有趣的是，近年来，比特币对犯罪分子的吸引力有所下降，部分原因是其固有且不可撤销的透明度。所有交易永久列在区块链分类账上，当局可以追踪资金到接收方。这导致勒索软件运营商 increasingly 偏爱 Monero，其设计模糊了交易的起源和目的地。

后来几年，威胁行为者还多样化其分发方法。他们不依赖路过式下载或含恶意软件的电子邮件，而是利用系统本身的内在安全漏洞。

2015年首次出现的SamSam勒索软件不依赖人为错误传播。相反，它使用常见Web和文件服务器中的已知漏洞以及暴力破解策略。由此，研究人员可以推断作者将恶意软件定位在企业和公共部门组织。

这些实体对任何形式的中断都非常敏感，通常无法在没有访问业务关键文件和文档的情况下运作。这反过来意味着勒索软件背后的行为者可以要求（并 often exact）更可观的金额。在2018年SamSam爆发后，亚特兰大市面临支付51,000美元解锁所有受感染计算机的艰难前景。该市的最终成本超过260万美元，包括服务中断和修复问题的费用。

同样，我们可以指出2017年的WannaCry和NotPetya勒索软件爆发，它们利用了微软SMBv1实现中名为Eternal Blue的漏洞。该漏洞最初由美国国家安全局发现，但未披露，阻止了微软修复问题。Eternal Blue是2017年中期Shadow Brokers黑客组织泄露的众多漏洞之一。

在这两种情况下，恶意软件的预期接收者不是个人用户，而是大型机构。WannaCry影响了英国NHS、西班牙Telefonica以及日产和雷诺运营的汽车生产设施使用的计算机。它还包含翻译成超过20种语言的赎金记录，包括英语、俄语、西班牙语、土耳其语和韩语。随后的记录分析表明它是由说中文的人编写的，许多翻译由Google翻译服务执行。

与此同时，NotPetya主要影响乌克兰的大型公共和私营部门机构，尽管在其他国家记录了较小的爆发，包括英国、美国和德国。受害者包括基辅鲍里斯波尔国际机场、乌克兰铁路和乌克兰国家储蓄银行。

不断变化的勒索软件商业模式

第一代勒索软件不关心感染哪些计算机。它不区分可能倾向于简单cut their losses并重新安装Windows的个人用户，以及可能被胁迫支付赎金的较大企业和政府实体。

早期变种，如上述CryptoLocker和PGPcoder变种，会在执行时立即加密。这种方法 admittedly 有其优势。通过关注数量，找到愿意支付赎金的受害者的几率增加。然而，它确实排除了考虑受害者支付方式以及任何加密数据的相对价值的机会。

第二代采取了不同的方法。变种武器化了组织内使用的软件中的漏洞，并包括允许它们在网络中横向移动的措施。感染不会仅限于一个工作站。在2017年蔓延到英国医院的WannaCry案例中，它影响了医生和护士使用的管理计算机以及医疗设备中的嵌入式系统。

这种方法旨在最大化中断量，表面上是为了激励受害者迅速支付赎金。它还允许威胁行为者要求比个人可行的更大金额。这由最近的支付证明，包括美国旅行服务公司CWT Global向Ragnar Locker恶意软件操作员支付了450万美元的比特币。殖民管道支付了类似的金额，440万美元，尽管执法部门最终从接收钱包中收回了这些资金。

最后，我们到达最新一代，勒索软件运营商采用几乎类似于快餐连锁店（如麦当劳）的特许经营模式。

最著名的例子是REvil。其商业模式依赖于招募操作员代表其分发勒索软件，母公司收取所有收入的一部分。这种方法允许恶意行为者迅速扩展其努力，导致更多组织成为目标，并 increasing 品牌 recognition。

这种演变与另一个令人不安的趋势同时发生，勒索软件团伙武器化入侵期间捕获的数据。一种旨在增加受害者支付赎金可能性的方法是泄露机密数据。REvil group 因此臭名昭著，并 routinely 在其“Happy Blog”上发布被盗专有信息。

今年4月，该团伙针对广达电脑，一家专注于消费电子和PC的大型台湾ODM公司。该公司的客户名单包括知名科技巨头，如苹果和惠普。在广达和苹果拒绝支付该团伙后，它通过发布尚未发布的MacBook蓝图作为回应。

重要的是要注意，REvil还威胁要对高价值个人使用这种策略，包括歌手Lady Gaga和Madonna以及前美国总统Donald Trump。尽管该团伙没有对Trump和Madonna实施威胁，但它确实泄露了属于Lady Gaga的2.4 GB法律文件。

尽管组织可能害怕其专有信息公开，但他们可能更害怕公共关系反弹。这种敏感性 increasingly 被恶意行为者武器化，最 notably 由MAZE勒索软件组，该组在其“点名羞辱”页面上发布未能支付的实体的详细信息。在另一个例子中，一个勒索软件组感染了整形外科中心的系统，并随后威胁在未付款的情况下透露其患者的姓名。

勒索软件组还可能选择使用被盗数据作为商品而不是谈判筹码。恶意行为者已在暗网拍卖网站上列出被盗数据，从转储中收获凭证单独出售，并武器化其收获以委托针对组织外部合作伙伴的鱼叉式网络钓鱼攻击。

进化，而非革命

如果被迫用一个词总结勒索软件分发和 targeting 的进化转变，那就是“专业化”。第一批变种 decidedly 临时，分发不精确，依赖用户错误。受害者必须访问受感染的网站或愿意打开恶意电子邮件附件。解密费用是固定和普遍的，使用的加密方法不复杂且容易逆转。

现在，这是一门生意。消费者不是目标，而是公共和私人实体。勒索软件团伙使用 increasingly 异国情调的方法来交付其有效载荷，甚至使用从美国情报机构核心泄露的漏洞。赎金更大，尽管有证据表明几乎 transactional 关系，一些团伙愿意与受害者讨价还价以达成 mutually agreeable 价格。

此外，像许多企业一样，许多勒索软件团伙有不可否认的增长野心，通过采用特许经营商业模式证明，通常称为勒索软件即服务（RaaS）。

这种趋势是自然进化的一部分。随着团伙变得更有经验，他们会调整其战术和方法。二十多年来，他们学会了哪些目标最有可能支付，以及什么数据值得窃取。

2021年的威胁行为者不是像Joseph Popp博士那样的个人，受理想主义观念或个人贪婪水平驱动。他们是无情的、扩张主义的团伙，由数字黑社会的 hardened 老兵组成。现在，他们展示了哈佛MBA毕业生的商业头脑，表现出与任何硅谷初创公司CEO相同的可扩展性和指数增长热情。

勒索软件是症状，不是原因

勒索软件本身不是问题。它仅仅是一个工具。理解这是成为攻击受害者和将任何潜在攻击者拒之门外之间的区别。

而且，与任何问题一样，找到解决方案的最佳方法是查看根本原因。只有通过理解对手如何获得网络内的特权并在这样做时保持未被检测，您才能开始构建强大的防御姿态。

组织的最佳起点是他们自己的事件日志中。事件和事件的历史分析可以揭示问题更可能发生的地方。在大多数情况下，这些将归结为少数关键攻击向量。

这一现实由100份威胁情报报告的分析说明，这些报告说明了攻击者对基于社交的战术的 disproportionate 偏好。鱼叉式网络钓鱼占记录事件的45%。域名欺骗、DNS劫持和物理攻击占另外6%。

通过防止最常被利用的攻击向量，如社会工程、弱密码或未修补的面向公众的软件，组织可以更好地防御不仅勒索软件，还有广泛的网络攻击。

解决生态系统的所有部分将使组织能够经受住新颖攻击和使用经过试验和测试技术的攻击。对于每个使用纯粹技术手段分发的SamSam，无数其他依赖基本社会工程和网络钓鱼战术。

根据定义，这需要查看网络中使用的监控和入侵检测技术，并识别它们可能不足或完全缺失的领域。

此外，它要求组织认识到恶意行为者、犯罪分子和国家支持的实体在分发勒索软件时使用的多样化方法。在实践中，这意味着查看低挂和高挂的果实。

在基本层面上，组织必须实践良好的安全卫生，确保所有系统运行操作系统及所有相关应用程序和库的最新版本。更新必须以快速和定期的节奏执行，限制攻击者利用的机会时间。

进一步扩展，将威胁情报、威胁检测和预警技术纳入任何姿态至关重要。使用IDS系统可以在攻击的最早时刻停止它， potentially 限制造成的损害。蜜罐可以作为恶意操作员对网络潜在兴趣的指标。

如果组织成为成功勒索软件攻击的受害者，拥有连续性计划可以减少任何停机时间。任何策略应包括所有虚拟机和在线备份的常规加密， paired with 定期离线备份。网络安全保险可以减轻财务影响，一些提供商甚至愿意在适当的情况下支付赎金。

最后，必须认识到现代企业勒索软件感染的高度公开性，攻击者愿意公开羞辱其受害者，以及泄露机密或专有信息。

作为任何准备的一部分，IT领导者应考虑组织将如何处理公共关系方面，考虑与媒体和客户的互动。该策略应包括组织是否打算支付任何赎金，以及如何向利益相关者告知业务连续性和恢复努力。

如果组织创造沉默的真空，该真空将不可避免地充满破坏性的猜测和影射，具有持久后果。

勒索软件预防

许多关于勒索软件的讨论集中在对组织的直接后果上。如果更广泛的公众成为附带损害，如殖民管道和JBS Foods事件的情况，这一点尤其正确。在这些场景中，影响仅通过查看从加油站蜿蜒的长队或空超市货架就 evident。

更有帮助的是查看勒索软件攻击背后的操作员以及是什么使他们如此成功。今天的勒索软件团伙经验丰富、胆大妄为，最重要的是雄心勃勃。打击这将需要整体组织安全方法。拥有强大的边界是不够的。

任何姿态应包括灾难预防和灾难恢复计划，同时认识到人的因素。我们有 several 资源可用，更深入地涵盖勒索软件，包括人质救援手册和关于核勒索软件3.0的按需网络研讨会以及关于勒索软件的大师班。我强烈鼓励在阅读此博客后查看这些资源，以了解勒索软件可能对您的组织带来的真正影响。

而且，因为勒索软件攻击几乎总是公开的，领导者应花时间考虑通信策略。知道他们将如何与利益相关者沟通——从客户和外部合作伙伴到媒体——可能会限制随后的混乱和愤怒量。

免费勒索软件模拟器工具

威胁行为者 constantly 推出新变种以逃避检测。当员工陷入社会工程攻击时，您的网络是否有效阻止所有它们？

KnowBe4的“RanSim”让您快速查看现有网络保护的有效性。RanSim将模拟24种勒索软件感染场景和1种加密挖掘感染场景，并显示工作站是否易受攻击。

工作原理：

• 100%无害的真实勒索软件和加密挖掘感染模拟
• 不使用任何您自己的文件
• 测试25种感染场景类型
• 只需下载安装并运行它
• 几分钟内出结果！

[获取RanSim]