什么是勒索病毒?
勒索病毒是一种极具传播性、破坏性的恶意软件,主要利用多种密码算法加密用户数据,恐吓、胁迫、勒索用户高额赎金。近期,勒索病毒攻击形势更加严峻,由于其加密信息难以恢复、攻击来源难以溯源,对现实世界威胁加剧,已成为教育领域广泛关注且亟需加强防范与应对的网络安全问题。以下是8种比较典型的勒索病毒。
1.REvil/Sodinokibi
REvil/Sodinokibi勒索病毒于2019年4月首次发现,主要针对Windows、Linux平台,属于数据窃取类勒索病毒,其传播方式主要包括钓鱼邮件、远程桌面入侵、漏洞利用等。该病毒家族套用、利用现有恶意工具作为攻击载体,同时传播勒索病毒、挖矿木马、窃密程序,并通过加密用户文件、窃取用户数据进行双重勒索。
2.DarkSide
Darkside勒索病毒2018年8月首次发现,主要针对Windows、Linux平台,属于数据窃取类勒索病毒,同时具有勒索病毒即服务功能。Darkside勒索病毒RSA1024和Salsa20算法加密文件,同时应用多线程技术,提升文件加密的速度。Darkside勒索病毒团伙通常采用“解密和泄密”的双重勒索策略,威胁攻击目标支付赎金。
3.Conti
Conti勒索病毒于2019年12月首次出现,主要针对Windows、Linux平台,属于数据窃取类勒索病毒,并在2020年7月作为个人的勒索病毒即服务(RaaS)开始运营,感染攻击目标删除卷影副本,并禁用修复、删除本地设备备份目录,采用并发线程技术对感染设备的文件快速加密。自2020年8月以来,该组织在暗网数据泄露网站,威胁攻击目标发布窃取到的数据。
4.DoppelPaymer
DoppelPaymer勒索病毒于2019年6月首次发现,主要针对Windows平台,属于数据窃取类勒索病毒,通过钓鱼邮件、远程桌面入侵等传播,采用RSA和AES进行加密,因与BitPaymer勒索病毒大部门代码相同,可能是BitPaymer的变种,同样由INDRIK SPIDER黑客组织运营。
5.Ryuk
Ryuk勒索病毒于2018年8月首次发现,主要针对Windows平台,属于数据窃取类勒索病毒,由黑客组织GRIM SPIDER幕后操作运营,利用Cobalt Strike和PowerShell Empire等工具,及通过钓鱼邮件、漏洞利用等方式传播,其主要攻击目标领域包括科技、医疗、能源、金融以及政府部门,攻击导致企业服务瘫痪、系统被迫下线等严重后果。
6.RansomLock
RansomLock勒索病毒于2013年1月首次发现,主要针对Windows凭条,属于锁屏类勒索病毒,通过公共互联网连接执行传播,通常将主机名、IP地址、屏幕分辨率等感染设备信息发送至攻击者命令和控制服务器,回传适合整个屏幕大小的图像文件,锁定感染设备屏幕,显示蓝屏死机错误的消息,同时屏幕显示消息——计算机存在健康风险,拨打电话解锁屏幕。
7.Lucy
Lucy勒索病毒于2018年9月首次出现,主要针对移动平台,通过社交媒体链接和即时消息APP传播,对感染安卓设备的文件进行加密,并显示勒索信息。勒索信息称美国联邦调查局(FBI)起诉受害者在设备上处理色情内容,并将用户详细信息上传到美国FBI网络犯罪部数据中心,要求受害者需要通过信用卡支付赎金。
8.Babuk Locker
Babuk Locker是2021年1月发现的勒索病毒,其勒索病毒攻击团伙持续对Babuk Locker进行版本更新,并增加针对勒索专门设计的数据提取功能,用于窃取高价值目标重要数据信息。
勒索病毒主要类型
1.文件加密类勒索病毒
该类勒索病毒以RSA、AES等多种加密算法对用户文件进行加密,并以此索要赎金,一旦感染,极难恢复文件。该类勒索病毒以WannaCry为代表,自2017年全球大规模爆发以来,其通过加密算法加密文件,并利用暗网通信回传解密密钥、要求支付加密货币赎金等隐蔽真实身份的勒索病毒攻击模式引起攻击者的广泛模仿,文件加密类已经成为当前勒索病毒的主要类型。
2.数据窃取类勒索病毒
该类勒索病毒与文件加密类勒索病毒类似,通常采用多种加密算法加密用户数据,一旦感染,同样极难进行数据恢复,但在勒索环节,攻击者通过甄别和窃取用户重要数据,以公开重要数据胁迫用户支付勒索赎金。据统计,截至2021年5月,疑似Conti勒索病毒已经攻击并感染全球政府部门、重点企业等300余家单位,窃取并公开大量数据。
3.系统加密类勒索病毒
该类勒索病毒同样通过各类加密算法对系统磁盘主引导记录、卷引导记录等进行加密,阻止用户访问磁盘,影响用户设备的正常启动和使用,并向用户勒索赎金,甚至对全部磁盘数据进行加密,一旦感染,同样难以进行数据恢复。例如,2016年首次发现的Petya 勒索病毒,对攻击对象全部数据进行加密的同时,以病毒内嵌的主引导记录代码覆盖磁盘扇区,直接导致设备无法正常启动。
4.屏幕锁定类勒索病毒
该类勒索病毒对用户设备屏幕进行锁定,通常以全屏形式呈现涵盖勒索信息的图像,导致用户无法登录和使用设备,或伪装成系统出现蓝屏错误等,进而勒索赎金,但该类勒索病毒未对用户数据进行加密,具备数据恢复的可能。例如,WinLock勒索病毒通过禁用Windows系统关键组件,锁定用户设备屏幕,要求用户通过短信付费的方式支付勒索赎金。
勒索病毒典型传播方式
1.利用安全漏洞传播
攻击者利用弱口令、远程代码执行等网络产品安全漏洞,攻击入侵用户内部网络,获取管理员权限,进而主动传播勒索病毒。目前,攻击者通常利用已公开且已发布补丁的漏洞,通过扫描发现未及时修补漏洞的设备,利用漏洞攻击入侵并部署勒索病毒,实施勒索行为。
2.利用钓鱼邮件传播
攻击者将勒索病毒内嵌至钓鱼邮件的文档、图片等附件中,或将勒索病毒恶意链接写入钓鱼邮件正文中,通过网络钓鱼攻击传播勒索病毒。一旦用户打开邮件附件,或点击恶意链接,勒索病毒将自动加载、安装和运行,实现实施勒索病毒攻击的目的。
3.利用网站挂马传播
攻击者通过网络攻击网站,以在网站植入恶意代码的方式挂马,或通过主动搭建包含恶意代码的网站,诱导用户访问网站并触发恶意代码,劫持用户当前访问页至勒索病毒下载链接并执行,进而向用户设备植入勒索病毒。
4.利用移动介质传播
攻击者通过隐藏U盘、移动硬盘等移动介质原有文件,创建与移动存储介质盘符、图标等相同的快捷方式,一旦用户点击,自动运行勒索病毒,或运行专门用于收集和回传设备信息的木马程序,便于未来实施针对性的勒索病毒攻击行为。
5.利用软件供应链传播
攻击者利用软件供应商与软件用户间的信任关系,通过攻击入侵软件供应商相关服务器设备,利用软件供应链分发、更新等机制,在合法软件正常传播、升级等过程中,对合法软件进行劫持或篡改,规避用户网络安全防护机制,传播勒索病毒。
6.利用远程桌面入侵传播
攻击者通常利用弱口令、暴力破解等方式获取攻击目标服务器远程登录用户名和密码,进而通过远程桌面协议登录服务器并植入勒索病毒。同时,攻击者一旦成功登录服务器,获得服务器控制权限,可以服务器为攻击跳板,在用户内部网络进一步传播勒索病毒。
典型勒索病毒攻击流程
聚焦勒索病毒攻击链,其典型攻击流程主要包括探测侦查、攻击入侵、病毒植入、实施勒索4个阶段。
1.探测侦察阶段
(1)收集基础信息。攻击者通过主动扫描、网络钓鱼以及在暗网黑市购买等方式,收集攻击目标的网络信息、身份信息、主机信息、组织信息等,为实施针对性、定向化的勒索病毒攻击打下基础。
(2)发现攻击入口。攻击者通过漏洞扫描、网络嗅探等方式,发现攻击目标网络和系统存在的安全隐患,形成网络攻击的突破口。此外,参照勒索病毒典型传播方式,攻击者同样可利用网站挂马、钓鱼邮件等方式传播勒索病毒。
2.攻击入侵阶段
(1)部署攻击资源。根据发现的远程桌面弱口令、在网信息系统漏洞等网络攻击突破口,部署相应的网络攻击资源,如MetaSploit、CobaltStrike、RDP Over Tor等网络攻击工具。
(2)获取访问权限。采用合适的网络攻击工具,通过软件供应链攻击、远程桌面入侵等方式,获取攻击目标网络和系统的访问权限,并通过使用特权账户、修改域策略设置等方式提升自身权限,攻击入侵组织内部网络。
3.病毒植入阶段
(1)植入勒索病毒。攻击者通过恶意脚本、动态链接库 DLL 等部署勒索病毒,并劫持系统执行流程、修改注册表、混淆文件信息等方式规避安全软件检测功能,确保勒索病毒成功植入并发挥作用。
(2)扩大感染范围。攻击者在已经入侵内部网络的情况下,通过实施内部鱼叉式网络钓鱼、利用文件共享协议等方式在攻击目标内部网络横向移动,或利用勒索病毒本身类蠕虫的功能,进一步扩大勒索病毒感染范围和攻击影响。
4.实施勒索阶段
(1)加密窃取数据。攻击者通过运行勒索病毒,加密图像 、视频、音频、文本等文件以及关键系统文件、磁盘引导记录等,同时根据攻击目标类型,回传发现的敏感、重要的文件和数据,便于对攻击目标进行勒索。
(2)加载勒索信息。攻击者通过加载勒索信息,胁迫攻击目标支付勒索赎金。通常勒索信息包括通过暗网论坛与攻击者的联系方式、以加密货币支付赎金的钱包地址、支付赎金获取解密工具的方式等。
勒索病毒安全防护要点
1.事前夯实风险防范基础
(1) 全面摸清资产家底
全面梳理本单位资产情况,建立完善、定期更新本单位资产台账,明确资产归属责任主体,摸清资产底数。
定期开展安全基线排查和风险评估,全面掌握资产风险点位、安全措施等现状,强化资产安全防护。
(2) 收敛互联网暴露面
及时下线停用系统,按照最小化原则,减少资产在互联网上暴露,特别是避免重要业务系统、数据库等核心信息系统在互联网上暴露。
关闭不必要的端口和服务,如远程访问服务3389端口和22端口,降低外来网络攻击风险。
(3) 开展风险隐患排查
定期开展漏洞隐患排查,针对采用的网络产品,及时进行版本升级,第一时间修补漏洞,采用漏洞扫描设备和产品的,对漏洞扫描设备进行集中管理,建立完整、持续的漏洞发现和管理手段,定期开展巡检,将供应链厂商产品,驻场人员等纳入网络安全管理范畴,定期开展供应链安全风险隐患排查。
(4) 严格访问控制
根据业务需要细致划分隔离区、内网区、接入区等网络域,限制网络域间的访问,并通过防火墙限制恶意地址连接、远程访问数据库等。
按照权限最小化原则开放必要的访问权限,及时更新访问控制规则。
采用动态口令等两种或两种以上进行身份鉴别,用户口令长度应不低于8位并定期更新。
(5) 备份重要数据
根据系统、文件和数据的重要程度分类分级进行数据存储和备份,主动加密存储和定期备份包括不同业务系统、存储位置等多源异构数据在内的重要敏感数据,并及时更新备份数据。
对存储重要敏感数据的硬件设备采取全盘加密,加密存储数据的扇区等措施,防范因勒索攻击引发的数据泄露事件。
(6) 强化安全监测
在网络侧,部署流量监测、阻断等类型网络安全防护手段,加强针对勒索病毒通联行为的实时监测、封堵处置。
在终端侧,安装具有主动防御功能的安全软件,不随意退出安全软件、关闭防护功能等,并设立和定期更新应用软件白名单。
(7) 提升安全意识
以培训、演练等形式提升勒索攻击风险防范意识。
如:不点击来源不明的邮件附件;打开邮件附件前进行安全查杀;不从不明网站下载软件;不轻易运行脚本文件和可执行程序;不混用工作和私人外接设备;在工作设备与移动存储设备外接时,关闭移动存储设备自动播放功能并定期进行安全查杀。
(8) 制定应急预案
制定涵盖勒索攻击在内的网络安全突发事件应急预案,明确牵头部门、职责分工、应急流程和关键举措,一旦发生勒索攻击事件,立即启动预案,第一时间开展应急处置工作。
综合采取实战攻防、沙盘推演等形式,开展以勒索攻击应急处置为核心的网络安全演练,提升实战化攻击防御能力。
2.事中做好攻击应急响应
(1) 隔离感染设备
确认遭受勒索攻击后,立即采取断网、断电的方式隔离勒索病毒感染设备,关闭设备无线网络、蓝牙连接等,禁用网卡并拔掉感染设备全部外部存储设备。立即修改感染设备的登录密码、同一局域网下的其他设备密码、最高级系统管理员账号登录密码等。
(2) 排查感染范围
在已隔离感染设备的情况下,对勒索攻击影响业务系统、生产系统及备份数据等情况进行排查,根据感染设备异常访问、非法外联等情况,排查数据泄露情况,确认勒索攻击影响。
对于感染情况不明的设备,提前进行磁盘备份,在隔离网内现场或线上排查,避免启动设备时因残留勒索病毒再次感染。
(3) 研判攻击事件
通过感染的勒索病毒涉及的勒索信息、加密文件、可疑样本、弹窗信息等对勒索病毒进行分析,提取勒索病毒通信特征、样本文件和传播途径等重要信息,并通过本地网络日志信息、勒索病毒样本文件等研判勒索攻击入侵渠道。第一时间向地方通信主管部门报告勒索攻击事件。
(4) 及时开展处置
充分调动本单位内部网络安全力量处置勒索攻击事件,将勒索病毒主控端恶意域名、恶意IP地址等加入本单位网络通信黑名单,阻断通联行为。
利用勒索病毒解密工具、已公开的加密密钥、数据加密缺陷等尝试破解勒索病毒,恢复加密数据。
必要时,积极联系具备应对勒索攻击专业能力的网络安全企业、机构等寻求协助。
3.事后开展网络安全加固
(1) 利用备份数据恢复数据
根据遭受勒索攻击影响相关设备数据备份的情况,综合衡量恢复数据的时间成本和重要程度等因素,确认数据恢复范围、顺序及备份数据版本,利用备份数据进行数据恢复。
(2) 排查修补网络安全风险
深入排查和整改勒索攻击利用的网络安全防护薄强环节,重点排查弱口令、账户权限、口令更新和共用等问题,及时更新系统、软件、硬件等版本并修补漏洞。
(3) 更新网络安全管理措施
根据勒索攻击事件暴露出网络安全的问题,针对性修订完善网络安全管理工作制度,对遭受的勒索攻击事件进行复盘分析,并更新网络安全突发事件应急预案。
(4) 补齐网络安全技术能力
综合勒索攻击事件情况,深入查找本单位网络安全技术能力短板弱项,补齐补强覆盖网络安全威胁风险预警、监测处置、指挥调度等技术能力,强化勒索攻击防范应对。
4.做好保障服务支撑
(1) 强化勒索攻击全网监测预警
综合运用基础电信网络监测处置技术手段,强化勒索病毒感染、通联等恶意行为实时监测,及时预警重大勒索攻击风险。
根据勒索病毒特征,加强针对勒索病毒主控端恶意域名、恶意IP地址等的全网封堵,及时阻断勒索病毒传播。
(2) 加强勒索攻击威胁信息共享
依托网络安全威胁信息共享工作机制,汇聚勒索病毒样本特征、攻击情报等信息,进一步加强勒索攻击威胁信息共享,指导强化勒索攻击防范应对工作,加快提升勒索攻击防御合力。
典型勒索病毒攻击事件
1.起亚美国遭 DoppelPaymer 勒索病毒攻击,导致长时间 IT 系统中断
2021年2月,起亚汽车美国公司(KMA)遭 DoppelPaymer 勒索病毒攻击,要求起亚在两到三周内支付 2000 万美元的比特币赎金(约合人民币1.29亿元),一旦延期支付,赎金将达到约 3000 万美元(约合1.93亿元)。攻击者在其数据泄露网站称,已经窃取起亚美国大量数据,起亚美国若未与之谈判,将在两到三周内公布数据。此次,勒索病毒攻击导致起亚美国长时间 IT 系统中断,影响其应用程序、电话服务、支付系统等。
2.宏碁遭 REvil 勒索病毒攻击,攻击团伙索要高额赎金
2021 年 3 月,中国台湾计算机制造商宏碁(Acer)遭 REvil 勒索病毒攻击。REvil 勒索病毒团伙在其数据泄露网站公布遭窃取文件的图片作为证据,包括财务电子表格、银行余额和银行通信等,索要赎金 5000 万美元(约合人民币3.25亿元),经谈判如提前支付赎金,勒索病毒团伙可提供20%的赎金折扣,提供解密工具、漏洞报告,并删除窃取到的文件。
3.美最大成品油管道运营商科洛尼尔遭暗面组织勒索病毒攻击,严重影响美东海岸成品油供应
2021 年 5 月,美国最大成品油管道运营商科洛尼尔(Colonial Pipeline)公司遭暗面(arkside)勒索病毒攻击,导致美国东部沿海主要城市输送油气的管道系统被迫下线,成品油供应中断。科洛尼尔支付约500万美元(约合人民币3200万元)的加密货币勒索赎金,获得暗面组织提供的勒索病毒解密工具,但由于该工具恢复数据速度缓慢,科洛尼尔已采用备份数据进行系统恢复。
4.北约“北极星”计划云平台供应商遭受勒索病毒攻击,攻击者索要高额赎金
2021年6月,勒索病毒攻击者入侵西班牙企业 Everis 及其位于南美洲的子公司,北约“北极星”计划云平台相关代码、文档等敏感信息可能遭到窃取。攻击者称有能力植入后门,攻击出于政治动机,威胁将数据发送到俄罗斯情报部门,以此勒索超 10 亿欧元(约合人民币 76 亿元)的赎金。
5.西班牙电信运营商 MasMovil Ibercom 遭 REvil 勒索病毒攻击,数据遭到窃取
2021年7月,西班牙电信运营商 MasMovil Ibercom 遭 REvil 勒索病毒攻击,且 REvil 勒索攻击团伙在其专门的数据泄露网站中表示,已窃取该企业大量敏感信息,并公开备份文件、经销商名单等部分数据截图作为已成功实施网络攻击的证据。
【关闭】