隨著云和大數(shù)據(jù)時(shí)代的到來，再加上今年全球疫情對經(jīng)濟(jì)的影響，各行各業(yè)紛紛投入數(shù)字化轉(zhuǎn)型，全球的互聯(lián)網(wǎng)上擁有了海量的信息財(cái)富，致使2020年的勒索病毒攻擊比以往都來得更猛了些。

　　近日，PCI安全標(biāo)準(zhǔn)委員會（PCI SSC）和ATM行業(yè)協(xié)會（ATMIA）發(fā)布了聯(lián)合公告，警告針對ATM機(jī)（提款）威脅日益嚴(yán)峻，需要引起全球金融機(jī)構(gòu)的緊急密切關(guān)注。ATM自動柜員機(jī)提款攻擊是精心設(shè)計(jì)的攻擊，在這種攻擊中，犯罪分子會破壞銀行或支付卡處理器，并操縱欺詐檢測控件并更改客戶賬戶，在短時(shí)間內(nèi)從眾多自動提款機(jī)中提取資金且沒有金額限制。犯罪分子經(jīng)常通過篡改余額和取款限額的手法“把ATM當(dāng)成提款機(jī)”，將ATM機(jī)里的現(xiàn)金洗劫一空。另有勒索軟件襲擊了醫(yī)療軟件公司eResearchTechnology（ERT），該公司為全球制藥公司提供進(jìn)行臨床試驗(yàn)（包括COVID-19疫苗試驗(yàn)）的工具，因而對包括施貴寶、阿斯利康、輝瑞和強(qiáng)生等公司進(jìn)行的多個(gè)新冠研究項(xiàng)目造成潛在影響。據(jù)報(bào)道，由于研究人員被迫改用筆和紙來跟蹤患者數(shù)據(jù)，過去兩周對ERT公司的網(wǎng)絡(luò)攻擊使這些試驗(yàn)的速度減慢了。

　　勒索病毒強(qiáng)勢來襲 新變種層出不窮

　　亞信安全監(jiān)測發(fā)現(xiàn)，GlobeImposter、WannaRen、Sodinokibi勒索病毒在鎖住目標(biāo)主機(jī)的系統(tǒng)或是文件，以勒索贖金的同時(shí)，躲避安全軟件的封鎖，其全新的變種都已頻繁出現(xiàn)。

　　以 GlobeImposter勒索病毒為例，該勒索病毒首次出現(xiàn)于 2017 年，并在接下來的三年中演化了數(shù)個(gè)版本，催生了“十二主神”、“十二生肖”系列等多個(gè)知名變種。今年上半年，GlobeImposter 勒索病毒攜 C4H 強(qiáng)勢來襲，黑客在入侵企業(yè)內(nèi)網(wǎng)之后，會利用RDP/SMB暴力破解以及多種方法以求獲取登錄憑證，以在內(nèi)網(wǎng)橫向滲透傳播。一旦攻擊成功，該病毒會加密系統(tǒng)中的文件，添加擴(kuò)展名。C4H，繼而在電腦屏幕中提示勒索信息。

　　由于比特幣等數(shù)字貨幣的價(jià)格在今年上半年再度上漲，挖礦病毒也開始活躍起來。其中，利用“新冠病毒”郵件傳播的LemonDuck挖礦病毒尤為值得關(guān)注，該病毒會偽裝成“新冠病毒”相關(guān)郵件，給受感染主機(jī)的聯(lián)系人發(fā)送電子郵件，利用好奇心誘導(dǎo)收件人點(diǎn)擊攜帶了挖礦病毒的郵件附件。此外，臭名昭著的“黑球”攻擊也在上半年持續(xù)，該病毒同樣會偽裝成為“新冠病毒”相關(guān)郵件，在感染之后會首先試圖結(jié)束殺毒軟件進(jìn)程，繼而執(zhí)行挖礦程序。

（圖片來源于網(wǎng)絡(luò)）

　　勒索病毒傳播至今，360互聯(lián)網(wǎng)安全中心已累計(jì)接受到上萬勒索病毒感染求助。勒索病毒的蔓延，給企業(yè)和個(gè)人都帶來了嚴(yán)重的安全威脅。360安全大腦針對勒索病毒進(jìn)行了全方位的監(jiān)控與防御。

　　感染數(shù)據(jù)分析

　　分析某月勒索病毒家族占比：GlobeImposter家族占比23.62%居首位；其次是占比21.79%的phobos；Crysis家族以占比15.37%位居第三。Avaddon勒索病毒于6月4日開始傳播，很快便已經(jīng)進(jìn)入了本月的勒索病毒家族Top 10榜單中。

（圖片來源于網(wǎng)絡(luò)）

　　綜合近年來世界各地發(fā)生的勒索事件以及以上病毒變種信息，勒索病毒主要有如下的發(fā)展趨勢：

　　對企業(yè)進(jìn)行精準(zhǔn)打擊，攻擊頻繁并且不擇手段

　　勒索病毒攻擊格外針對云服務(wù)器運(yùn)用商提供商以及相關(guān)坐云上數(shù)據(jù)保護(hù)的公司。他們對云上的數(shù)據(jù)進(jìn)行加密勒索，攻擊者逐漸采用復(fù)雜的針對性交付技術(shù)和機(jī)制，發(fā)起針對性極強(qiáng)的大型狩獵活動。

　　勒索病毒的攻擊不擇手段，從一開始單純索要贖金到不給贖金就公開機(jī)密數(shù)據(jù)。已知主流的幾款勒索病毒都已開始通過公布企業(yè)數(shù)據(jù)逼迫企業(yè)支付贖金，同時(shí)各種新型的竊密木馬會隨著勒索病毒一起下發(fā)，竊取企業(yè)數(shù)據(jù)。

　　勒索團(tuán)隊(duì)全球化，不再局限某單一國家成員且逐漸產(chǎn)業(yè)化發(fā)展

　　勒索病毒就是“低成本，高收入”的典型，開發(fā)門檻低且收益巨大，導(dǎo)致了勒索及服務(wù)RaaS產(chǎn)業(yè)的誕生。而為了確保利益最大化，各種新老黑客組織逐漸開始相互合作。國外一些主流的勒索病毒運(yùn)營團(tuán)隊(duì)19年年底就開始在國內(nèi)尋找勒索病毒分銷運(yùn)營商，通過暗網(wǎng)與國外運(yùn)營商進(jìn)行合作，進(jìn)行勒索病毒的分發(fā)傳播，牟取暴利。

　　技術(shù)不斷升級迭代，平臺多元化，場景多樣化

　　經(jīng)過長期的演變，勒索病毒技術(shù)上不斷進(jìn)化，勒索的平臺開始多元化，勒索場景多樣化。攻擊者在加密流程的細(xì)節(jié)上進(jìn)行優(yōu)化。從早期的單線程文件加密，升級到針對每個(gè)磁盤分區(qū)進(jìn)行多線程加密；從單一的x86可執(zhí)行病毒版本到增加x64可執(zhí)行版本；利用高危漏洞進(jìn)行內(nèi)核提權(quán)，或使用壓縮打包的方式進(jìn)行提權(quán)來加密更多文件等等。

　　目前勒索病毒常見于Windows系統(tǒng)，大部分Linux平臺勒索病毒大多數(shù)使用GO語言進(jìn)行開發(fā)，考慮到Linux以及MAC OS系統(tǒng)的屬性，不排除后續(xù)蔓延到其他系統(tǒng)的可能。勒索場景從最簡單粗暴的垃圾郵件，到利用漏洞傳播、水坑攻擊乃至軟件供應(yīng)鏈傳播，攻擊方式的多樣化也進(jìn)一步證明了勒索產(chǎn)業(yè)的日漸強(qiáng)大。

　　從當(dāng)前勒索病毒事件的發(fā)生趨勢來看，基本沒有什么手段可以完全做到防御勒索病毒，“道高一尺魔高一丈”，企業(yè)和個(gè)人都要注意信息數(shù)據(jù)的保護(hù)，并且及時(shí)備份，即做好災(zāi)備建設(shè)。