日前�,工業(yè)物聯(lián)網(wǎng)廠商研華科技正遭遇一場來自Conti勒索軟件團(tuán)伙襲擊���。
根據(jù)安全站點Bleeping Computer報道�����,其取得了勒索信件的副本顯示���,黑客提出了750個比特幣的贖金要求(約合8280萬人民幣),并且支付贖金后才會移除所有植入該公司網(wǎng)絡(luò)的木馬程序����,刪除所盜走的資料。
不過��,此次勒索似乎沒有成功���,因為黑客于11月26日公布了宣稱是從研華竊取的3GB文件和文件目錄清單文本檔���,這些資料占他們所偷走資料的2%。
研華針對此事回復(fù)稱�����,黑客攻擊少數(shù)服務(wù)器時,可能偷走了價值性不高與機密性不高的工作資料����。
類似的勒索軟件攻擊事件其實時常發(fā)生。如:
· 可穿戴設(shè)備制造商Garmin在遭受WastedLocker勒索軟件全面攻擊后��,關(guān)閉了其一些連接的服務(wù)和呼叫中心�����,導(dǎo)致了全球性中斷�����,其主要產(chǎn)品服務(wù)和網(wǎng)站均癱瘓����,攻擊者向Garmin索要高達(dá)1000萬美元贖金以恢復(fù)數(shù)據(jù)和業(yè)務(wù)�。
· 阿根廷電信運營商曾被REvil團(tuán)伙攻擊內(nèi)部網(wǎng)絡(luò),并且已加密多個重要文件��,要求阿根廷電信支付750萬美元贖金以解鎖被加密文件��。從黑客要求支付的頁面顯示,要求支付109345.35枚Monero代幣(約753萬美元)�����,并稱三天后總金額需要翻一番���。REvil團(tuán)伙主要擅長攻擊VPN服務(wù)器切入點���,今年五月份還對斯里蘭卡電信進(jìn)行攻擊。
· DoppelPaymer使用Citrlx ADC缺陷入侵了云服務(wù)提供商不列塔尼電信���,攻擊針對維修部的CVE-2019-19781漏洞的服務(wù)器����。
· Slldinokibi勒索軟件襲擊國際外幣兌換公司Travelex����,導(dǎo)致2020年第一個月的外匯交易完全混亂,據(jù)稱要求600萬美元的贖金�����。此后����,該勒索軟件又襲擊了紐約機場的管理服務(wù)器�����、加密了新澤西猶太教堂的網(wǎng)絡(luò)上的許多計算機
· 迷宮勒索軟件襲擊佐治亞州卡羅爾頓的電線電纜制造商Southwire����,之后發(fā)布了14GB的被盜文件�����。
Conti是啥���?
話題再回到本次勒索事件中的Conti本身���,其最早一次被發(fā)現(xiàn)的攻擊是在2019年12月底,在2020年6月的攻擊中再次被發(fā)現(xiàn)�����。Conti屬于新興的雙重勒索軟件陣營�����,在勒索軟件加密系統(tǒng)之前����,會先下載未加密的機密資料,用以在受害者拒絕支付贖金以換取解密密鑰時�����,作為進(jìn)一步的勒索籌碼�,已有部分案例顯示有受害者最終是為了保護(hù)資料而選擇支付贖金。
該勒索軟件與臭名昭著的Ryuk Ransomware共享代碼��,并在2020年7月后者活動減少后����,開始通過TrickBot木馬打開的反向外殼進(jìn)行分發(fā)。
Conti作為一家私有的勒索軟件即服務(wù)(RaaS)����,通過招募經(jīng)驗豐富的黑客來部署勒索軟件以換取大量的勒索份額,并于2020年8月開設(shè)了自己的數(shù)據(jù)泄露站點�����。
長達(dá)30年的勒索軟件發(fā)展史,新的勒索軟件市場泛濫
第一個勒索軟件可以追溯到1989年���,當(dāng)時有2萬張?zhí)柗Q包含"艾滋病信息介紹"的軟盤被分發(fā)給了國際衛(wèi)生組織國際艾滋病大會的與會者���。在受害者遭遇90次設(shè)備重啟后,該軟件會隱藏目錄并在受感染設(shè)備上加密文件����。贖金金額被定為189美元,受害者被要求必須向巴拿馬郵政信箱里存入所要求的金額���。
10多年之后����,也就是在2005年5月��,更多勒索軟件開始出現(xiàn)�,如GpCode、TROJ.RANSOM.A�、Archiveus�、Krotten等。隨著新的匿名支付方式(如比特幣)在到來����,勒索軟件也開始了采用了新的支付方式。
在過去的10多年中被檢測到的勒索軟件樣本總體可以分為兩類:
鎖定型勒索軟件:該類型勒索軟件會鎖定受感染設(shè)備�����,以阻止受害者的使用��。
該類型的勒索軟件主要在2008年至2011年期間被使用�����,目前已被大多數(shù)網(wǎng)絡(luò)犯罪分子所拋棄�。因為即便不支付贖金,消除感染也是非常簡單的��。事實上��,這種勒索軟件有一個很明顯的弱點�,它只會顯示一個拒絕訪問設(shè)備的窗口�����,但這種鎖定很容易就能夠被繞過��。
加密型勒索軟件:該類型勒索軟件直接作用于受害者的文件并拒絕受害者使用系統(tǒng),將文件���、目錄和硬盤進(jìn)行加密���,讓受害者無法訪問被加密文件中所包含的信息。此后��,勒索軟件也多用這種加密方式�。
勒索軟件的構(gòu)建需要特定的先進(jìn)技能,巨大利益推動了新服務(wù)的興起����,使得網(wǎng)絡(luò)犯罪分析無需具體任何知識也可構(gòu)建勒索軟件。最終也發(fā)展出了所謂的勒索軟件即服務(wù)(Ransomware as a Service��,RaaS)����,RaaS商業(yè)模式的興起使得攻擊者無需任何技術(shù)專業(yè)知識,就可以毫不費力地發(fā)起網(wǎng)絡(luò)敲詐活動���,這也是導(dǎo)致新的勒索軟件市場泛濫的原因。
現(xiàn)實世界嚴(yán)峻的挑戰(zhàn)不斷���,網(wǎng)絡(luò)安全領(lǐng)域也堪憂
2020年���,全世界很多領(lǐng)域面臨著各種事件的沖擊,而網(wǎng)絡(luò)安全領(lǐng)域同樣不容樂觀�����,勒索軟件的勢頭也在這一年里一度上升�����,并出現(xiàn)了新的敲詐勒索模式����。盡管勒索病毒感染事件約占惡意軟件總事件的3%左右,但相比其他惡意軟件破壞力更大�����,一旦遭遇勒索�,企業(yè)將面臨業(yè)務(wù)中斷��、高額贖金的風(fēng)險����。
一份來自深信服千里目安全實驗室的報告稱�����,2020年2月開始�,勒索軟件從之前的低潮開始恢復(fù)活力�,攻擊勢頭上升,盡管處在COVID-19大流行期間�����,但針對政府���、學(xué)校和醫(yī)療衛(wèi)生行業(yè)的攻擊并沒有減弱�。
不僅如此��,報告還指出�,犯罪團(tuán)伙逐漸在形成規(guī)模化的商業(yè)運作�����,形成新的勒索軟件合作生態(tài)��。
勒索軟件合作生態(tài)結(jié)構(gòu)圖
以往攻擊團(tuán)伙和勒索軟件制作團(tuán)隊往往是同一個,而在如今高度專業(yè)化的合作生態(tài)系統(tǒng)中�,攻擊團(tuán)伙很多時候是獨立于勒索軟件開發(fā)者和運營商,以相對獨立的角色存在�����,每個角色各司其職���,專注于自己所負(fù)責(zé)的模塊,他們之間除了業(yè)務(wù)聯(lián)系外幾乎沒有其他交集�����。他們專注于借助僵尸網(wǎng)絡(luò)部署勒索軟件��,給受害者造成的損失面更廣��。這種新的勒索軟件合作生態(tài)使得勒索威脅的危害上升了一個新的高度�。
物聯(lián)網(wǎng)產(chǎn)品迅速增長將使網(wǎng)絡(luò)攻擊的變化無法預(yù)測
雖然物聯(lián)網(wǎng)的普及推動了技術(shù)的進(jìn)步,但同時也幫助黑客擴大了其攻擊范圍��,上至使用物聯(lián)網(wǎng)設(shè)備的工業(yè)控制系統(tǒng)�����,下至家用聯(lián)網(wǎng)攝像頭,都可能成為黑客攻擊的目標(biāo)���,針對物聯(lián)網(wǎng)設(shè)備的勒索軟件將比傳統(tǒng)的勒索軟件更具破壞性。
據(jù)了解�����,在傳統(tǒng)的勒索攻擊中���,黑客會加密受害者設(shè)備上的文件���,以勒索贖金。而在針對物聯(lián)網(wǎng)設(shè)備的勒索軟件攻擊中���,黑客不僅可加密設(shè)備上儲存的文件�,還可完全接管設(shè)備或其內(nèi)部網(wǎng)絡(luò)���。同時����,接管設(shè)備后���,黑客可以造成諸如聯(lián)網(wǎng)車輛被操控���、電源被切斷�、敏感信息被泄露�����,乃至生產(chǎn)線停止運行等破壞性后果���。因此���,黑客可對受害者獅子大開口�,索要極為高昂的"保護(hù)費"。
不過�,由于物聯(lián)網(wǎng)行業(yè)碎片化應(yīng)用特色,一時間黑客也難以發(fā)起大規(guī)模攻擊����。但是,隨著物聯(lián)網(wǎng)的普及�,黑客仍可能在未來發(fā)起大規(guī)模攻擊。因此�,相關(guān)廠家應(yīng)及時進(jìn)行遠(yuǎn)程固件更新��、確保更新渠道的安全以及加入可靠的身份驗證等措施仍然不可忽視��。
