大家好，我是零日情報(bào)局。

網(wǎng)絡(luò)攻擊千千萬(wàn)，勒索病毒占一半。今天我們就來(lái)盤一盤，2019年那些令人窒息的勒索病毒攻擊。

[[280030]]

今年3月份，全球最大鋁制品生產(chǎn)商之一的Norsk Hydro遭遇勒索軟件攻擊，公司被迫關(guān)閉多條自動(dòng)化生產(chǎn)線，震蕩全球鋁制品交易市場(chǎng);

5月，國(guó)內(nèi)某網(wǎng)約車平臺(tái)遭黑客勒索軟件定向打擊，服務(wù)器核心數(shù)據(jù)慘遭加密，攻擊者索要巨額比特幣贖金，無(wú)奈之下向公安機(jī)關(guān)報(bào)警求助;

同在5月，美國(guó)佛羅里達(dá)州里維埃拉遭到勒索軟件攻擊，各項(xiàng)市政工作停擺幾周，市政緊急會(huì)議決定支付60萬(wàn)美元的贖金。無(wú)獨(dú)有偶，就在該市作出這個(gè)決定的短短一周內(nèi)，佛羅里達(dá)另一個(gè)遭襲城市湖城也迫于無(wú)奈，向黑客支付價(jià)值近50萬(wàn)美元的比特幣贖金。

6月，全球最大飛機(jī)零件供應(yīng)商ASCO遭遇勒索病毒攻擊，生產(chǎn)環(huán)境系統(tǒng)癱瘓，大約1000名工人停工，四國(guó)工廠被迫停產(chǎn);

10月初，全球最大的助聽器制造商Demant，遭勒索軟件入侵，直接經(jīng)濟(jì)損失高達(dá)9500萬(wàn)美元;

10月中，全球知名航運(yùn)和電子商務(wù)巨頭Pitney Bowes遭受勒索軟件攻擊，攻擊者加密公司系統(tǒng)數(shù)據(jù)，破壞其在線服務(wù)系統(tǒng)，超九成財(cái)富全球500強(qiáng)合作企業(yè)受波及;

10月16日，法國(guó)最大商業(yè)電視臺(tái)M6 Group慘遭勒索軟件洗劫，公司電話、電子郵件、辦公及管理工具全部中斷，集體被迫“罷工”;

要命的是，距離2019年結(jié)束還有兩個(gè)多月，但勒索病毒的攻勢(shì)可能還未觸頂。

迫于勒索病毒疫情形勢(shì)，10月9號(hào)，總部設(shè)在荷蘭海牙的歐洲刑警組織與國(guó)際刑警組織發(fā)布的《2019互聯(lián)網(wǎng)有組織犯罪威脅評(píng)估》特別指出，勒索軟件仍是網(wǎng)絡(luò)安全最大威脅，全球各界需加強(qiáng)合作，聯(lián)合打擊網(wǎng)絡(luò)犯罪。

我們總結(jié)的五大勒索病毒家族

2019開年至今，異?；钴S的勒索軟件高達(dá)近百種，我們總結(jié)出其中幾種最為兇猛。

1. GandCrab勒索病毒

在很多人看來(lái)，GandCrab勒索病毒絕對(duì)是2019年最傳奇的角色。2018年GandCrab首次出現(xiàn)，之后經(jīng)過(guò)5次版本迭代，波及羅納尼亞、巴西、印度等數(shù)十國(guó)家地區(qū)，全球累計(jì)超過(guò)150萬(wàn)用戶受到感染。還被國(guó)內(nèi)安全團(tuán)隊(duì)稱為“俠盜病毒”，因?yàn)樗麄兒笃诘陌姹局斜荛_了戰(zhàn)火中的敘利亞地區(qū)。

今年6月，GandCrab勒索軟件團(tuán)隊(duì)一條官方消息刷爆了互聯(lián)網(wǎng)。他們高調(diào)宣布，僅一年半的時(shí)間里，團(tuán)隊(duì)已賺進(jìn)超過(guò)20億美金，人均年入賬1.5億美金，所以決定停止更新這個(gè)惡意程序，從此風(fēng)光隱退。

(GandCrab勒索病毒團(tuán)隊(duì)官方聲明，宣告錢賺夠了，準(zhǔn)備撤退，留下廣大群眾原地懵逼)

2. Sodinokibi勒索病毒

隨著GandCrab退出，它的繼任者Sodinokibi勒索病毒接力登場(chǎng)。Sodinokibi又稱REvil勒索病毒，與GandCrab有著明顯的代碼重疊，因此很多人推測(cè)，GandCrab的部分成員不愿收手，另起爐灶而運(yùn)營(yíng)的Sodinokibi。

Sodinokibi的部分變種會(huì)將受害者屏幕變成深藍(lán)色，并且以2500-5000美金不等的贖金全球撒網(wǎng)，在不到半年時(shí)間，該勒索病毒已非法獲利數(shù)百萬(wàn)美元。

[[280031]]

3. GlobeImposter勒索病毒

談起2019的勒索病毒，就必須要提到GlobeImposter。該勒索病毒又稱“十二生肖”病毒，因?yàn)樗ト胗?jì)算機(jī)內(nèi)部后，會(huì)以“十二生肖英文名+4444”的文件后綴，對(duì)文件進(jìn)行加密。而GlobeImposter自2017年5月首發(fā)至今，已經(jīng)歷八個(gè)版本迭代，并且后綴也從“十二生肖”，變身希臘“十二主神”。

GlobeImposter病毒主要通過(guò)rdp遠(yuǎn)程桌面弱口令進(jìn)行攻擊，去年山東10市不動(dòng)產(chǎn)系統(tǒng)遭到它的攻擊，今年國(guó)內(nèi)又有多家企業(yè)、醫(yī)院等機(jī)構(gòu)中招。

(GlobeImposter勒索病毒：文件后綴為希臘十二主神 + 666)

4. Stop勒索病毒

Stop勒索病毒，也被稱作djvu勒索病毒，是2019年最為活躍的病毒家族之一。相比于動(dòng)輒百萬(wàn)、千萬(wàn)美金的勒索軟件，Stop走薄利多銷的斂財(cái)路線，解密贖金需要980美元，并且72小時(shí)聯(lián)系軟件作者還可享五折優(yōu)惠。該病毒主要利用木馬站點(diǎn)，通過(guò)偽裝成軟件破解工具或捆綁在激活軟件進(jìn)行傳播，用戶中招率奇高。

5. Phobos勒索病毒

總的來(lái)說(shuō)，Phobos是一款非常棘手的勒索病毒，它采用RDP暴力破解+人工投放雙重方式傳播，并且可以輕松加密受害者PC上的每個(gè)文件，把它們?nèi)孔兂蔁o(wú)法打開的.phobos。

Phobos病毒可能與Dharma病毒(又名CrySis)屬于同一組織，并且該病毒在運(yùn)行過(guò)程中會(huì)進(jìn)行自復(fù)制，和在注冊(cè)表添加自啟動(dòng)項(xiàng)，如果沒有把系統(tǒng)殘留的病毒體清理干凈，很可能會(huì)遭遇二次加密。

(Phobos病毒的勒索信息)

總體來(lái)看，勒索軟件種類激增、版本迭代， 但表現(xiàn)形式大體都逃不過(guò)數(shù)據(jù)加密、系統(tǒng)鎖定、數(shù)據(jù)泄漏、詐騙恐嚇等幾大類，但從勒索軟件黑產(chǎn)來(lái)看，卻足以讓人全球震驚，也無(wú)怪乎國(guó)際刑警組織會(huì)站出來(lái)發(fā)聲。

我們所發(fā)現(xiàn)的一些攻擊趨勢(shì)

為了從勒索病毒的浪潮中拯救別人，我們還發(fā)現(xiàn)了2019年勒索病毒攻擊的一些變化。

第一，從To C用戶轉(zhuǎn)向To B政企，贖金大幅漲價(jià)。

現(xiàn)在的勒索病毒，從廣泛而淺層的普通用戶，明顯轉(zhuǎn)向了中大型政企機(jī)構(gòu)、行業(yè)組織。有安全報(bào)告表明，自2018年6月以來(lái)，全球針對(duì)To B的勒索攻擊增加了363%。正如我們開篇提到的，全球最大的鋁制品生產(chǎn)商、全球最大的助聽器制造商、全球最大的飛機(jī)零件供應(yīng)商等“全球最大系列”相繼遭到攻擊，這一切都是為了獲取巨大的經(jīng)濟(jì)收益。除此以外，贖金也在瘋漲。當(dāng)年席卷全球的WannaCry，其解密贖金也只是區(qū)區(qū)300美金;

但如今——Sodinokibi勒索病毒，贖金在3個(gè)比特幣(大約3萬(wàn)美元)起步;Ryuk勒索病毒， 11個(gè)比特幣(大約12萬(wàn)美元)起步;至于MegaCortex勒索病毒，最高贖金更高達(dá)600個(gè)比特幣，相當(dāng)于一次叫價(jià)580萬(wàn)美元;而且，或許是受到GandCrab家族一年半內(nèi)賺了20億美金的鼓舞，MageCortex勒索病毒還特別在勒索信息中留下奮斗格言：“我們正在為賺錢而努力，這項(xiàng)犯罪活動(dòng)的核心是獲得贖金以后，以最原始形式歸還您的寶貴數(shù)據(jù)。”

總之，看著這屆黑客的勒索留言，能明確的感受到他們對(duì)于割韭菜的渴望。

[[280033]]

第二，從垃圾郵件到利用漏洞傳播。

雖然勒索病毒有垃圾郵件、RDP口令爆破、網(wǎng)頁(yè)掛馬等多種傳播途徑，但萬(wàn)物皆有漏洞，那可能就是勒索病毒進(jìn)來(lái)的地方。

例如Sodinokibi勒索病毒就集成了多個(gè)漏洞進(jìn)行傳播，包括Windows內(nèi)核提權(quán)漏洞(CVE-2018-8453)、Confluence漏洞(CVE-2019-3396)、UAF漏洞(CVE-2018-4878)、Weblogic反序列化漏洞(CVE-2019-2725)等;又例如，BitPaymer勒索軟件就利用了Apple的0day漏洞;GETCRYPT勒索病毒則利用RIGEK漏洞工具包;別忘了，還有連續(xù)利用IE+Flash雙重漏洞，假冒Chrome瀏覽彈窗傳播的勒索病毒Spora勒索病毒?？傊?，勒索病毒利用漏洞打出組合拳，不僅中招率驟升，威脅層級(jí)也遠(yuǎn)超以往，從這個(gè)角度來(lái)講，勒索病毒對(duì)殺軟的攔截查殺技術(shù)，提出了更具挑戰(zhàn)的要求。

[[280034]]

(勒索病毒利用Apple的0day漏洞傳播)

第三，打著勒索的幌子，實(shí)為獲取情報(bào)或破壞數(shù)據(jù)。

今年有個(gè)案例就與竊取情報(bào)有關(guān)，9月份 MalwareHunterTeam披露了一次不同尋常的勒索病毒事件。它在感染目標(biāo)中不斷搜尋敏感信息，包括軍事機(jī)密、銀行信息、欺詐/刑事調(diào)查文件，行動(dòng)舉止完全不像為了圖財(cái)。更可疑的是，該“勒索病毒”還會(huì)查找Emma、Olivia、Noah、Logan 和 James 等美國(guó)社會(huì)保障部列出的2018年最常見的嬰兒名字。

(該冒牌“勒索病毒”搜索關(guān)鍵詞)

除了竊取情報(bào)，還有其他更奇怪的攻擊案例，有些“勒索病毒”會(huì)對(duì)文件玩了命似的多次加密，甚至對(duì)文件進(jìn)行無(wú)法修復(fù)的破壞，完全斷了收贖金的后路。而據(jù)分析，這很可能是APT黑客組織，在實(shí)施滲透、竊取國(guó)家企業(yè)機(jī)密數(shù)據(jù)之后，而進(jìn)一步投遞的破壞性勒索病毒。為的是以勒索病毒作掩護(hù)，毀壞數(shù)據(jù)，消除入侵痕跡，掩蓋真實(shí)攻擊意圖。

第四，手動(dòng)投毒在變多。

手動(dòng)投毒的好處是精準(zhǔn)定位，黑客可以瞄準(zhǔn)高價(jià)值定制服務(wù)器和系統(tǒng)。

[[280035]]

(黑客組織正在手動(dòng)植入病毒)

所以手動(dòng)植入病毒在增多，像Ryuk勒索病毒的感染和傳播過(guò)程都是由攻擊者手動(dòng)執(zhí)行的;而Globelmposter勒索病毒也不具備主動(dòng)傳播性，是由黑客滲透進(jìn)入內(nèi)網(wǎng)后，在目標(biāo)主機(jī)上人工植入;

還有MegaCortex病毒也是攻擊者設(shè)法獲得管理憑據(jù)作為“手動(dòng)闖入”的一部分。除了精準(zhǔn)定位目標(biāo)之外，這種方式還有其他好處：延長(zhǎng)“駐留時(shí)間”，即從初始感染到安裝勒索軟件之間的一段時(shí)間。

在這種操作下，攻擊者有時(shí)間對(duì)被感染網(wǎng)絡(luò)進(jìn)行分析，從而確定網(wǎng)絡(luò)中最關(guān)鍵的系統(tǒng)，并獲取感染這些系統(tǒng)的密碼，隨后才釋放勒索軟件，從而最大限度地造成損害。

更多零日反思

遞增、擴(kuò)散、高發(fā)的網(wǎng)絡(luò)安全威脅，讓我們開始思索：

• 高級(jí)持續(xù)性威脅呈常態(tài)化發(fā)展趨勢(shì)的當(dāng)下，“互聯(lián)網(wǎng)更安全了”也許只是一種錯(cuò)覺，兇猛且異?；钴S的勒索病毒，撕碎了人們沉醉的安全假象。
• 在網(wǎng)絡(luò)這個(gè)從未有過(guò)絕對(duì)安全的世界，相對(duì)的安全也變得越發(fā)可貴。
• 網(wǎng)絡(luò)安全最終是一直延續(xù)螺旋上升的“攻防”戰(zhàn)，還是裂變出全新的終極模式，沒有人可以給出確切的答案，我們唯有在攻防中不斷探索，才能遇見安全的未來(lái)。