趋势科技发布《勒索软件的过去、现在和未来》安全报告

发表于:2017-06-05 11:41:43 来源:  FreeBuf.COM 阅读数(0人)

概要


勒索是一种网络犯罪手段,而在这方面没有任何一款恶意软件比勒索软件做的更好。从2005、2006年以来,勒索软件一直没有停止过破坏的脚步。事实上,在过去的2016年,新出现的勒索病毒种类暴涨了近8倍,收取的赎金接近10亿美元。


所有这些勒索软件都具备加密各种文件类型的能力,不仅是电脑设备,甚至是全球各地的移动设备和服务器,以及个人和企业统统受到此威胁的严重影响。至今仍让人心有余悸的当属最近出现的勒索病毒“WannaCry”,它以其破坏性令全球色变,再次让人们见证了勒索软件的破坏力和影响力。


近日,趋势科技发布了一份名为《勒索病毒的过去、现在和未来》的安全报告,为我们了解勒索软件的历史和演变以及未来趋势提供了一份有意义的概览。


勒索软件:历史和演变


2005—2006年间,勒索软件首次出现于俄罗斯。其手段是将受害计算机的特定文件压缩并用密码保护起来,再将其中一个文件作为勒索信,要求受害者支付300美元的赎金才能换回自己文件。在威胁的早期阶段,.DOC, .XLS, .JPG, .ZIP, .PDF以及其他常用文件形式经常成为勒索软件的目标。后来,又出现了能够感染手机甚至计算机主引导记录(MBR)的变体,阻止系统加载运行。


2012年,勒索软件开始从俄罗斯蔓延到其他欧洲国家。这是因为“假冒病毒”(FAKEAV)被打击取缔所造成的,为此,犯罪分子不得不采取其他策略来威胁恐吓受害者从中牟利。


当时最流行的方式是,冒充Reveton执法人员威胁受害者称其存在网络犯罪行为,进而进行勒索。勒索软件运营商还会尝试使用不同的支付方式,包括Ukash、paysafecard和MoneyPak等,以避免被追踪到。


到了2013年底,我们所知道的由“CryptoLocker”这样的勒索软件变体所引发的“加密勒索软件”(crypto-ransomware)成为了现实。这种变体不仅会对受害者文件进行加密,如果受害者拒绝支付赎金时还会删除文件。想要拿回文件,受害者必须以“比特币”的形式支付不同数额的赎金,以换取解密密钥。


自从引入加密勒索软件以来,网络犯罪分子开始针对全球各地的个人和企业(无论规模大小)实施更为有效地勒索活动。



【图1:从FAKEAV变体到早期勒索软件再到如今的勒索软件的演变】


感染方式


勒索软件可以通过各种手段感染计算机等设备,包括垃圾邮件(恶意文件附件或嵌入式链接)、受到破坏或特制的恶意网站或网页以及渗透代码工具包(最著名的是Angler)。


行为和演变趋势


过去两年间,勒索软件的行为发生了巨大的变化。2015年,我们观察到,勒索软件运营者开始将其目标从个人转向了企业。这一点从曝光频繁的安全新闻中可见一斑。


此外,除了感染电脑和移动设备外,勒索软件也开始向共享设备和可移除设备蔓延。一些勒索软件家族还开始针对与税务相关和数据库相关文件,以确保运营商可以获取更大的利润。



【图2:勒索软件可以感染的设备】


而且勒索信的形式也丰富起来,开始使用各种形式的威胁手段,包括删除文件的倒计时装置,以及赎金随时间流逝而增加的提示等。一些类似Doxware的变体甚至威胁如果不支付就将用户数据曝光。这种方式可能会对医院和医疗保健行业造成额外的损失,因为如果医院和医疗保健行业泄漏患者病历,可能会被罚款或诉讼。


便于使用


对于勒索软件的恐惧心理也帮助网络犯罪分子榨取了更多的利润。勒索病毒即服务(RaaS)的商业模式为勒索软件开发者提供了另一条致富之路。即开发者为第三方提供勒索软件,后者支付一定费用或者将勒索所得的一部分返回来变现。现在这种勒索软件DIY套件在地下黑市/论坛中随处可见。这意味着,即使不懂技术的犯罪分子也可以使用勒索软件,部署网络勒索。


赎金需求


除了MIRCOP(其索要最高赎金48.48 比特币),勒索软件变体通常会索要0.5—5比特币(截至2016年)来换取解密密钥。我们都知道比特币的汇率一直在不断变化,2016年1月,1比特币价值431美元;而截至2017年3月21日的汇率,1比特币已经价值1076.44美元,翻了3倍。


虽然,大部分情况下比特币是赎金支付的首选方式,但也存在像TrueCrypter这样的勒索软件选择亚马逊礼品卡作为支付方式。


2016年:勒索软件“爆发年”


2016年勒索软件家族的数量出现了暴涨。2015年被发现的勒索软件家族只有29个,而2016年这一数量飙升到了247,上涨了752%。



【图3:2015年和2016年新增勒索软件家族数量】


此外,据统计,受害者支付的赎金已经接近10亿美元。这主要是因为一些大型企业或者组织因为缺乏数据备份而被迫支付高额赎金所致。


趋势科技研究发现,79%的感染是通过垃圾邮件进行的。此外,访问受破坏或特制的恶意网站或网页的感染占总数的20%。



【图4:2016年与勒索软件相关的垃圾邮件文件形式分布】


此外,我们也发现,勒索软件运营者为了获取更大的利润,开始选择加密企业、组织、教育机构、政府机关、医院以及医疗保健服务提供商的商业数据库等。



【图5:2016年加密商业相关文件的已知勒索软件家族数量】





【图6:2016年7月-12月公开的勒索软件事件】




【图7:2016年主要的勒索软件家族时间线】


未来攻击趋势


如果勒索软件在未来几年内发生变化,这并不奇怪。就潜力而言,它们可以演变成禁用整个基础设施的恶意软件(不仅对企业运作至关重要,对整个城市甚至国家亦如是),直到交付赎金才能实现运行。网络犯罪份子可能很快会发现打击工业控制系统(ICS)和其他关键基础设施的方法,瘫痪整个网络和生态系统。


此外,支付领域可能会成为网络犯罪分子更大的目标,正如2016年海湾地区高速交通系统网站被黑一案所示,服务提供商的支付厅(payment kiosks)正是勒索软件的攻击目标。


如何防范勒索软件攻击?


我们建议组织采取一些基本的预防措施,尽量减少此类威胁。以下是可以采取的步骤:


备份与还原:建议最好用2种格式做3份备份,其中一个备份应该跟网络隔离;

访问控制:防止敏感数据的自由存取;

定期打补丁:尽量减少漏洞利用;

不要支付赎金:支付只会鼓励进一步的攻击行为;

教育员工网络钓鱼知识:增强意识、提供最佳实践、进行模拟演练;

改进安全措施:行为监控以及其他附加技术;

目前,勒索软件仍然是一项顶级的流行性安全威胁。为了攻击大型企业和组织,勒索软件不断研究新型变体,企业机密文件和数据的安全风险与日俱增。结合了基于信任的行为分析和其他反勒索软件功能(如白名单和应用程序控制,行为分析,网络监控,漏洞屏蔽和高仿真机器学习)的跨代技术方式的安全解决方案可以更好地保护企业,同时最大限度地减少对其计算机内部资源的影响。


相关新闻

大家都在学

课程详情

信息安全基础

课程详情

网络安全漫谈

课程详情

Windows最新0day利用