更新日期:2024 年 6 月 4 日
撰稿人:Matthew Kosinski
勒索软件是一种恶意软件,会锁定受害者的敏感数据或设备,并威胁受害者将其保持在锁定状态(或更糟糕的状态),并要求受害者向攻击者支付赎金。
最早的勒索软件攻击只是要求通过支付赎金换取重新访问受影响数据或使用受感染设备所需的加密密钥。通过定期或连续进行数据备份,组织可以限制此类勒索软件攻击的成本,且通常可以避免支付赎金的情况。
近年来,勒索软件攻击已经演变为包括双重勒索和三重勒索诡计,让受害者面临的风险大幅增加。即使对于严格维护数据备份或支付初始赎金要求的受害者也是如此。
双重勒索攻击增加了受害者面临数据失窃并泄露到网上的威胁。三重勒索攻击会增加使用被盗数据攻击受害者的客户或商业伙伴的威胁。
勒索软件是最常见的恶意软件形式之一,勒索软件攻击可能使受影响的组织损失数百万美元。
2023 年 IBM® X-Force Threat Intelligence Index 记录的所有网络攻击中,有 20% 涉及勒索软件。而且这些攻击行动迅速。当黑客获得网络访问权限后,部署勒索软件只需不到四天的时间。这样的速度让组织几乎没有时间检测和阻止潜在攻击。
勒索软件受害者和谈判者不愿意透露赎金金额,但威胁行为者往往要求支付七位数和八位数的赎金。赎金只是勒索软件感染总成本的一部分。根据 IBM 数据泄露成本报告,勒索软件泄露的平均成本为 513 万美元,其中不包括赎金。
也就是说,网络安全团队越来越擅长对抗勒索软件。X-Force Threat Intelligence Index 发现,勒索软件感染率在 2022 年至 2023 年间下降了 11.5%,这可能要归功于威胁检测和预防能力的提高。
提升您的知识水平,重塑您的事件响应计划,以加强组织对勒索软件的防御能力。
注册获取《数据泄露成本报告》
勒索软件有两种常见类型。最常见的类型称为加密型勒索软件或加密勒索软件,这类勒索软件通过加密来劫持受害者的数据。然后,攻击者向受害者索要赎金,以换取提供解密数据所需的加密密钥。
另一种不太常见的勒索软件称为非加密勒索软件或锁屏勒索软件,这类勒索软件通常通过阻止受害者访问操作系统来锁定受害者的整个设备。受影响设备不会像往常一样启动,而是显示一个提供赎金要求的屏幕。
这两种一般类型属于以下子类别:
泄漏软件(或称 Doxware)是指窃取或泄露敏感数据并威胁受害者要发布相关数据的勒索软件。虽然早期形式的泄漏软件(或称 Doxware)经常在不加密的情况下窃取数据,但当今的变体通常在加密/不加密的情况下均会窃取数据。
移动勒索软件包括影响移动设备的所有勒索软件。大多数移动勒索软件通过恶意应用程序或路过式下载传播,它通常是非加密勒索软件。黑客更喜欢使用屏幕锁来进行移动攻击,因为自动化云数据备份是许多移动设备的标准配置,可以很容易地进行反向加密攻击。
如果受害者不支付赎金,擦除式勒索软件或破坏性勒索软件可能会破坏数据。在某些情况下,即使受害者支付了赎金,勒索软件也会销毁数据。后一种类型的擦除式勒索软件通常是由国家/政府攻击主体或黑客行动主义者而非普通网络罪犯部署的。
煎熬安全软件顾名思义就是试图恐吓用户支付赎金的勒索软件。假冒安全软件可能会冒充执法机构发送消息,指控受害者犯罪并要求处以罚款。或者,它可能会伪装成合法的病毒感染警报,怂恿受害者购买伪装成防病毒软件的勒索软件。
有时,假冒安全软件是勒索软件,它会加密数据或锁定设备。在其他情况下,它是勒索软件感染媒介,不加密任何内容,只是强迫受害者下载勒索软件。
勒索软件攻击可以使用多种方法或媒介来感染网络或设备。其中一些最重要的勒索软件感染媒介包括:
网络罪犯经常利用现有漏洞向设备或网络插入恶意代码。
零日漏洞是安全社区未知或已识别但尚未修补的漏洞,构成了特殊的威胁。一些勒索软件团伙从其他黑客那里购买有关零日缺陷的信息,用来制定攻击计划。黑客还有效地利用已修补的漏洞作为攻击媒介,如以下讨论的 2017 年 WannaCry 攻击所示。
网络罪犯可以窃取授权用户的凭证,在暗网上购买凭证,或通过暴力攻击将其破解。然后,他们会使用这些凭证登录网络或计算机,并直接部署勒索软件。
远程桌面协议 (RDP) 是一种专有的 Microsoft 协议,允许用户远程访问计算机,它是勒索软件攻击者常用的凭据盗窃目标。
黑客经常使用为其他攻击开发的恶意软件将勒索软件传送到设备。在整个 2021 年,威胁行为者使用最初设计用于窃取银行凭据的 Trickbot 木马来传播 Conti 勒索软件变体。
黑客可以在用户不知情的情况下利用网站将勒索软件传播到设备。漏洞工具包使用遭破坏的网站来扫描访问者的浏览器,查找可用于将勒索软件插入设备的 Web 应用程序漏洞。
恶意广告(黑客入侵的合法数字广告)也可以将勒索软件传播到设备,即使用户没有点击广告也是如此。
网络罪犯不一定需要开发自己的勒索软件来利用这些媒介。一些勒索软件开发者通过勒索软件即服务 (RaaS) 约定与网络罪犯共享其恶意软件代码。
网络罪犯或“同伙”使用代码进行攻击,并与开发者分享赎金。这是一种互惠互利的关系。同伙无需开发自己的恶意软件,即可通过勒索获利,而开发者则无需发起更多网络攻击即可增加利润。
勒索软件分销商可以通过暗网上的数字市场出售勒索软件。他们还可以直接通过在线论坛或类似途径招募关联公司。大型勒索软件组织已投入大量资金进行招募工作,以吸引关联公司。
勒索软件攻击通常会经历以下阶段。
根据 IBM Security® 勒索软件权威指南,勒索软件攻击最常见的媒介是网络钓鱼、漏洞利用和破坏远程访问协议(如 RDP)。
根据初始访问媒介,黑客可能会部署中间远程访问工具 (RAT) 或其他恶意软件,以帮助在目标系统中立足。
在第三阶段,攻击者的重点是了解他们当前可以访问的本地系统和域,以及获得其他系统和域的访问权限,这一过程称为横向移动。
在此阶段,勒索软件操作者将注意力转移到识别有价值的数据之上,并进行渗漏(窃取),通常通过是自己下载或导出副本。
虽然攻击者可能会渗漏他们可以访问的任何数据,但他们通常会关注特别有价值的数据(登录凭据、客户的个人信息、知识产权),这些数据可用于双重勒索。
加密勒索软件开始识别和加密文件。一些加密勒索软件还会禁用系统恢复功能,或者删除或加密受害者计算机或网络上的备份,以增加为获取解密密钥而支付赎金的压力。
非加密勒索软件会锁定设备屏幕、用弹出窗口侵入设备或以其他方式阻止受害者使用设备。
攻击者加密文件或禁用设备之后,勒索软件通常会向受害者发出感染警报。此警报通常会通过存放在计算机桌面上的 .txt 文件或通过弹窗通知发出。
勒索通知包含如何支付赎金的说明,通常以加密货币或类似的无法追踪的方式支付,以换取解密密钥或恢复标准操作。
迄今为止,网络安全研究人员已经发现了数千种不同的勒索软件变体或“家族”,即具有自己代码签名和功能的独特病毒。
有几种勒索软件病毒因其破坏程度、对勒索软件发展产生的影响或它们至今仍然构成的威胁而值得人们注意。
CryptoLocker
CryptoLocker 于 2013 年 9 月首次出现,被广泛认为开启了现代勒索软件时代。
CryptoLocker 通过僵尸网络(遭劫持的计算机网络)进行传播,是最早对用户文件进行强加密的勒索软件系列之一。在国际执法部门于 2014 年将其销毁之前,勒索软件谋取的赎金为约 300 万美元。
CryptoLocker 的成功催生了众多模仿者,并为 WannaCry、Ryuk 和 Petya 等变体的出现奠定了基础。
WannaCry
WannaCry 是第一个备受瞩目的加密蠕虫病毒,可以自行传播到网络上其他设备的勒索软件,攻击了 150 个国家或地区的 20 多万台计算机。受影响的计算机容易受到攻击,因为管理员未能及时修补 EternalBlue Microsoft Windows 漏洞。
除了加密敏感数据外,WannaCry 勒索软件还威胁受害者:如果 7 天内不支付赎金,就会擦除文件。它仍然是迄今为止最大的勒索软件攻击之一,估计损失高达 40 亿美元。
Petya 和 NotPetya
与其他加密勒索软件不同,Petya 会加密文件系统表而不是单个文件,导致受感染的计算机无法启动 Windows。
2017 年,经过大幅修改的版本 NotPetya 用于实施大规模网络攻击,主要针对的是乌克兰。NotPetya 是一个即使在支付赎金后也无法解锁系统的擦除式勒索软件。
Ryuk
Ryuk 首次出现于 2018 年,常见的是针对特定高价值目标的“大型勒索软件”攻击,其平均赎金要求超过 100 万美元。Ryuk 可以找到并禁用备份文件和系统恢复功能。2021 年出现了一种具有隐虫能力的新病毒。
DarkSide
DarkSide 是由一个疑似在俄罗斯境外运营的组织运行的勒索软件变体,它于 2021 年 5 月 7 日攻击了输油管道运营商 Colonial Pipeline,该变体被视为迄今为止针对美国关键基础设施的最严重网络攻击,因此,DarkSide 暂时关闭了为东海岸供应 45% 燃料的输油管道。
除了发起直接攻击外,DarkSide 组织还通过 RaaS 约定将其勒索软件授权给关联公司。
Locky
Locky 是一种加密勒索软件,具有独特的感染方法:它使用隐藏在电子邮件附件(Microsoft Word 文件)中的宏伪装成合法发票。当用户下载并打开 Microsoft Word 文档时,恶意宏会秘密地将勒索软件有效内容下载到用户的设备上。
REvil
REvil 也称为 Sodin 或 Sodinokibi,该团伙帮助普及了 RaaS 勒索软件分发方法。
REvil 以追寻大目标和双重勒索攻击而闻名,它是 2021 年针对 JBS USA and Kaseya Limited 发起攻击的幕后黑手。JBS 在黑客破坏了其整个美国牛肉加工业务后支付了 1100 万美元的赎金。Kaseya 的 1,000 多家软件客户受到了严重停机的影响。
俄罗斯联邦安全局报告称,其已于 2022 年初解散 REvil 并对其几名成员提出指控。
Conti
Conti 团伙于 2020 年首次被发现,他们实施了一项广泛的 RaaS 计划,定期向使用其勒索软件的黑客支付报酬。Conti 使用一种独特的双重勒索形式,即该团伙威胁如果受害者不付钱,他们就把受害者网络的访问权限卖给其他黑客。
Conti 在 2022 年该团伙的内部聊天记录泄露后解散,但许多前成员仍然活跃在网络犯罪世界中。根据 X-Force Threat Intelligence Index,Conti 曾与当今一些最普遍的勒索软件变体有关联,其中包括 BlackBasta、Royal 和 Zeon。
LockBit
根据 X-Force Threat Intelligence Index,LockBit 是 2023 年最常见的勒索软件变体之一,以其开发人员的高效行为方式而闻名。众所周知,LockBit 集团收购其他恶意软件病毒的方式与合法企业收购其他公司的方式大致相同。
尽管执法部门于 2024 年 2 月查封了 LockBit 的一些网站,且美国政府对该团伙的一名高层实施了制裁,但 LockBit 仍在继续攻击受害者。
赎金要求差异很大,许多受害者选择不公开他们支付的赎金金额,因此很难确定平均支付的赎金金额。尽管如此,大多数估计金额介于六位数至七位数之间。根据 IBM 的勒索软件权威指南,攻击者索要的赎金高达 8000 万美元。
重点是,近年来,支付赎金的受害者比例急剧下降。网络勒索事件响应公司 Coveware 的数据显示,2023 年只有 37% 的受害者支付了赎金,而 2020 年这一比例为 70%。1
专家指出,提升网络犯罪应对准备(包括增加对数据备份、事件响应计划以及威胁预防和检测技术的投资)是出现这一逆转背后的潜在推动因素。
执法部门指导
美国联邦执法机构一致劝阻勒索软件受害者支付赎金要求。根据国家网络调查联合特遣部队 (NCIJTF)(该联合部队由 20 个负责调查网络威胁的美国联邦机构组成)称:
“FBI 不鼓励向犯罪分子支付赎金。支付赎金可能会鼓励对手向其他组织发动攻击,鼓励其他犯罪分子参与勒索软件的分发和/或资助非法活动。支付赎金也不能保证受害者的文件能够恢复。”
执法机构建议勒索软件受害者在支付赎金之前向相应机构举报攻击行为,例如向 FBI 的互联网犯罪投诉中心 (IC3) 举报。
无论是否支付赎金,一些勒索软件攻击的受害者都有义务举报勒索软件感染事件。例如,HIPAA 合规部门通常要求卫生保健实体向美国卫生与公众服务部举报任何数据泄露事件,包括勒索软件攻击。
在某些情况下,支付赎金可能是非法行为。
美国外国资产控制办公室 (OFAC) 表示,向来自受美国经济制裁的国家或地区(例如朝鲜或伊朗)的攻击者支付赎金违反 OFAC 法规。违反者可能面临民事处罚、罚款或刑事指控。
佛罗里达州和北卡罗来纳州等一些美国州已规定州政府机构支付赎金为非法行为。
网络安全专家和联邦机构(如网络安全和基础设施安全局(CISA)和美国特勤局)建议各组织采取预防措施,以防御勒索软件威胁。此类措施包括:
- 维护敏感数据和系统映像的备份,最好是在硬盘驱动器或其他设备上,以便 IT 团队可以在发生勒索软件攻击时断开与网络的连接。
- 定期应用补丁,以帮助阻止利用软件和操作系统漏洞的勒索软件攻击。
- 网络安全工具,如反恶意软件、网络监控工具、端点检测和响应 (EDR) 平台以及安全信息和事件管理 (SIEM) 系统等,可以帮助安全团队实时拦截勒索软件。
- 员工网络安全培训,可帮助用户识别和避免网络钓鱼、社会工程和其他可能导致勒索软件感染的诡计。
- 实施访问控制策略,包括多重身份验证 、网络分段和类似措施,可以防止勒索软件访问敏感数据。身份和访问管理 (IAM) 控制还可以防止加密蠕虫传播到网络上的其他设备。
- 正式的事件响应计划使安全团队能够在更短的时间内拦截和修复漏洞。数据泄露成本报告发现,与没有正式计划和专门事件响应团队的组织相比,拥有正式计划和专门事件响应团队的组织识别数据泄露的速度快 54 天。检测时间的加快降低了修复成本,每次泄露平均可为组织节省 149 万美元。
虽然某些勒索软件变体的解密工具可以通过 No More Ransom2 等项目公开获得,但主动勒索软件感染的修复通常需要采取多方面的方法。
请参阅《IBM 勒索软件安全权威指南》,了解以美国国家标准与技术研究院 (NIST) 事件响应生命周期为模型的勒索软件事件响应计划示例。
1989 年:记录的第一个勒索软件攻击称为“AIDS Trojan”或“P.C.Cyborg”攻击,它是通过软盘传播的。此次攻击隐藏了受害者计算机上的文件目录,并要求支付 189 美元的赎金才能取消隐藏。由于此恶意软件加密的是文件名而不是文件本身,因此用户很容易在不支付赎金的情况下修复损坏。
1996 年:在分析 AIDS Trojan 时,计算机科学家 Adam L. Young 和 Moti Yung 警告称,未来的恶意软件可能会使用更复杂的密码术来劫持敏感数据。
2005 年:在 21 世纪初相对较少的勒索软件攻击之后,感染开始上升,主要集中在俄罗斯和东欧。出现第一个使用非对称加密的变体。随着新的勒索软件提供了更有效的勒索手段,更多的网络罪犯开始在全球范围内传播勒索软件。
2009 年:加密货币(尤其是比特币)的推出为网络罪犯提供了一种接收无法追踪的赎金的方式,从而促使勒索软件活动再次激增。
2013 年:勒索软件的现代时期始于 CryptoLocker,这款勒索软件开启了当前一波高度复杂的加密勒索软件攻击,其赎金以加密货币进行支付。
2015 年:Tox 勒索软件变体引入了勒索软件即服务 (RaaS) 模型。
2017 年:第一个广泛使用的自我复制加密蠕虫病毒 WannaCry 出现。
2018 年:Ryuk 通常通过勒索软件追寻大目标。
2019 年:双重勒索和三重勒索勒索软件攻击开始增加。自 2019 年以来,IBM® Security X-Force 事件响应团队响应的几乎每一起勒索软件事件都涉及双重勒索。
2022 年:线程劫持(网络罪犯将自己插入目标的合法在线对话以传播恶意软件)成为一种重要的勒索软件媒介。
2023 年:随着对勒索软件的防御能力的提高,许多勒索软件团伙开始扩大他们的武器库,并为他们的勒索软件应用新的勒索策略。特别是,像 LockBit 这样的团伙和 Conti 的一些残余势力开始使用信息窃取器恶意软件,使他们能够窃取敏感数据并将其劫持,而无需锁定受害者的系统。
阻止勒索软件中断业务连续性,并在攻击发生时快速恢复,以最大限度减少勒索软件威胁的影响。
下一代 FlashCore Module 4 (FCM4) 在发生网络攻击时提供弹性数据存储。使用机器学习模型持续监控从每个 I/O 收集的统计数据,以便在不到一分钟的时间内检测到勒索软件等异常情况。
主动保护组织的主存储和辅助存储系统免受勒索软件、人为错误、自然灾害、破坏、硬件故障和其他数据丢失风险的影响。