“小兔子乖乖,把门开开。”
然而现实中,网络世界里的“大灰狼”根本不用如此礼貌地“敲门”。就在你打开电脑的那一刻,发现所有文件都被加密了;或者除了勒索软件外,所有程序都阻止电脑启动;“客气”一点的,可能是公司IT管理人员电子信箱里的一封“索财”邮件,告诉你公司数据库已经被复制,如果没在截止日期前缴纳足额赎金,这些数据就会在暗网上被拍卖。不论是屏幕上狗皮膏药一样糊着的跳动消息,还是电邮里蹩脚的英文,总之都是要你支付赎金,才能解锁电脑或文件。
当勒索来“敲门”,其实就意味着,勒索病毒早已用APT的攻击手法潜伏在了企业的数字网络中。
APT,英文AdvancedPersistentThreat的缩写,即“高级持续性威胁”,APT攻击既有隐秘性,又有针对特定目标的特点。勒索团伙APT化带来的威胁正呈几何倍数增长。据全球知名威胁情报机构RiskIQ数据统计,每1分钟就有6家公司或机构遭受勒索攻击,全年超万家公司或机构被勒索,每分钟因网络安全导致的损失高达万美元,折合成人民币,全年损失超过6万亿元。
近10年,全球每秒产生21个病毒,全球恶意软件快速增长23倍。勒索病毒已经成为网络安全第一焦点。数字世界里,安全大网能不能更细密?攻势越来越猛烈的现代勒索又该如何应对?
病毒进化
年,一些中国的年轻人正在恢复高考的消息中筹划着自己的未来,同一年,大洋彼岸的美国作家ThomasJ.在其科幻小说《P-1的青春》中构思了一种能够自我复制的计算机程序,并称之为ComputerVirus,“计算机病毒”这个名称就此诞生。
5年后的年,美国著名黑客、“计算机病毒之父”FredCohen(弗雷德·科恩)还在南加州大学在读研究生,他在UNIX系统下编写了第一个会自动复制并在计算机间进行传染,从而引起系统死机的病毒。基于此,翌年,他在博士论文中给出了“电脑病毒”的第一个学术定义,这也是今天公认的标准。
其实,自年第一台电子计算机ENIAC出现后的第三年,冯·诺依曼就提出了计算机程序能够在内存中自我复制的计算机病毒理论。
AppleII病毒、特洛伊木马病毒、IBMPC病毒、x86COM病毒、感染硬盘的病毒、勒索病毒,众多“第一例”在上世纪80年代末相继出现,病毒的潘多拉魔盒被打开。
年,JosephPopp创建第一个勒索软件AIDS木马,通过软盘散发的形式索要美元;32年后的年,美国最大燃油管道运营企业ColonialPipeline遭勒索软件DarkSide攻击,并且支付了价值万美元的比特币作为赎金,而公司陷入数据泄露和多重勒索,不得不为此关闭6天。
勒索目标已经从广撒网的蠕虫式复制传播,变成了针对目标量身打造勒索,而衡量的指标十分明确——是否有能力付钱,通常大型政企就成了他们瞄准的目标。支付赎金就恢复数据的勒索也“不讲武德”起来,双重勒索甚至三重勒索开始出现。
随着技术的进步,勒索技术也在“相机而动”。据亚信安全的观察,从去年下半年开始,大多数勒索病毒已经开始采用跨平台语言编写了,勒索组织将注意力从Windows操作系统转向Linux和ESXi虚拟机平台。Linux派系众多,大型数据中心正是基于Linux系统或者Linux系统分支的,可想而知,数据中心一旦遭遇勒索,破坏力将会更大。
亡羊补牢
今年,美国政府宣布要悬赏万美元追缉勒索软件组织Conti的5名主要成员。美国国务院表示,Conti已经针对美国和国际关键基础设施实施了多次勒索软件操作,包括执法机构、紧急医疗服务和调度中心。年,美国仅有记录的就有家企业向Conti支付了超过1.7亿美元赎金(等价虚拟货币)。据威胁情报公司Cyberint估算,Conti在短短两年内共赚取了约价值27亿美元的加密货币,而这一黑客组织在全球大约有名成员,除了负责集团运营和与附属公司合作的大boss,主要成员还包括技术负责人、人事负责人和谈判专家,员工则是涵盖了码农、测试人员、免杀开发、Ops运维人员、逆向工程师和攻击团队,甚至还有客服、商务BD、市场新媒体和催收等多个工种。
对此,亚信安全的安全专家表示,现在勒索病毒的作战方式早已从单个黑客或者两三个人为主的勒索小团伙,变成了勒索即服务RaaS(Ransomware-as-a-Service)模式运营,并且有明确分工的大型勒索团伙。
Conti能有印钞机般的赚钱速度,一个重要原因就是它采取的是双重勒索攻击。区别于传统的先加密数据、再勒索赎金的攻击方式,双重勒索会在加密目标数据之前,先将部分机密数据进行下载。也就是说,双重勒索的攻击方利用预先下载的数据,以“不支付赎金,就公开数据”作为被勒索一方的威胁。
由于大多数企业会对数据进行备份,数据一旦被勒索软件加密只需要杀毒,并恢复备份即可,一般只损失部分当天数据。很多企业面临勒索病毒攻击时候会优先考虑损失部分数据而恢复备份的方式,但对于双重攻击勒索病毒来讲,只恢复备份是不够的。数据恢复后过不了多久,攻击方还会发起二次勒索,甚至三次勒索,通常每次勒索的价码也会越来越高。
整个勒索防护当过程当中,恢复数据固然重要,但并不会从源头上解决被勒索的问题,更重要是如何在事前能够保护这些数据不被外泄。
亚信安全上个月刚刚处理过一个勒索事件,通过溯源发现,勒索病毒是在勒索发生前的12小时才被制造出来,而早在这之前的6个月,这家企业的账号就已经失窃了。其实在6个月的过程中,是可以清晰地看到整个勒索事件演变中的一些线索和蛛丝马迹的。对此,亚信安全专家建议,勒索一旦发生,应该第一时间启动溯源,尽快找到那个被攻入的漏洞点。
亡羊补牢,犹未为晚。
未雨绸缪
防火墙、IPS、防病毒软件,防止病毒勒索搞好这安全防护“老三样”还远远不够。随着IT技术的变迁,黑客也
转载请注明:http://www.aideyishus.com/lkzp/3212.html