勒索軟件的演變代表了過去三十年網(wǎng)絡(luò)安全領(lǐng)域最重要的轉(zhuǎn)變之一。

自20世紀(jì)90年代，作為一種相對粗糙的數(shù)字勒索形式起步以來，勒索軟件如今已經(jīng)演變成一種極為復(fù)雜、動(dòng)輒造成數(shù)十億美元損失的新型網(wǎng)絡(luò)威脅。

1989年，首個(gè)勒索軟件——AIDS特洛伊木馬出現(xiàn)，它要求受害者向巴拿馬的一個(gè)郵政信箱郵寄189美元，這也是最原始的勒索攻擊，隨著網(wǎng)絡(luò)攻擊技術(shù)的不斷發(fā)展，已經(jīng)演變?yōu)椴捎酶呒?jí)加密、雙重勒索策略、加密貨幣支付的一場精心策劃的網(wǎng)絡(luò)攻擊行動(dòng)。

這種演變不僅反映了技術(shù)的進(jìn)步，也反映了網(wǎng)絡(luò)犯罪本身的變化，機(jī)會(huì)主義者已經(jīng)讓位于以類似企業(yè)的效率運(yùn)作的專業(yè)犯罪組織。通過審視20世紀(jì)90年代至2024年的關(guān)鍵勒索軟件毒株和轉(zhuǎn)折點(diǎn)，我們可以驚喜分析，勒索攻擊是如何從根本上重塑了網(wǎng)絡(luò)安全實(shí)踐，并迫使組織重新思考數(shù)據(jù)保護(hù)方法。

勒索軟件的起源：AIDS特洛伊木馬

隨著1989年AIDS特洛伊木馬（常稱為PC Cyborg）的出現(xiàn)，勒索軟件首次在公眾面前亮相，這是世界上有記錄的第一個(gè)勒索軟件實(shí)例。該特洛伊木馬通過將2萬個(gè)受感染的軟盤，發(fā)送給在瑞典舉行的世界衛(wèi)生組織全球艾滋病會(huì)議的參與者進(jìn)行傳播。惡意軟件由約瑟夫·波普博士創(chuàng)建，并插入磁盤上的艾滋病問卷中。

起初，該軟件看似無害，但在重啟90次后，惡意軟件加密了文件名并要求支付贖金。為了恢復(fù)對其系統(tǒng)的訪問權(quán)限，受害者被告知向巴拿馬的一個(gè)郵政信箱存入189美元。盡管當(dāng)時(shí)的攻擊是新穎的，但按今天的標(biāo)準(zhǔn)來看卻很原始。

由于勒索軟件加密的是文件名而不是內(nèi)容，而且支付方式依賴于海外匯款單，受害者很難遵從要求。

盡管只有很少的受害者支付贖金，但由于其影響而非財(cái)務(wù)成功，這次攻擊引起了很多關(guān)注。在某些情況下，受害者因擦除和重建計(jì)算機(jī)而丟失了重要的研究數(shù)據(jù)。幸運(yùn)的是，有網(wǎng)絡(luò)安全專家創(chuàng)建了一個(gè)解密器，允許受害者在不支付贖金的情況下檢索文件。

盡管AIDS特洛伊木馬是一次開創(chuàng)性的網(wǎng)絡(luò)攻擊，但它仍然是一次孤立事件。在20世紀(jì)九十年代，勒索軟件并不常見，因?yàn)楫?dāng)時(shí)幾乎沒有數(shù)字支付選擇，也沒有廣泛互聯(lián)的網(wǎng)絡(luò)。這些對惡意軟件的發(fā)展至關(guān)重要，也為后來幾十年更先進(jìn)、更具破壞性的勒索軟件行動(dòng)奠定了基礎(chǔ)。

勒索軟件演變的早期（2004-2007）

2004-2005年

2000年代初，勒索軟件歷史上的一個(gè)重要轉(zhuǎn)折點(diǎn)，GPCoder成為當(dāng)代勒索軟件爆發(fā)的先驅(qū)。GPCoder于2005年被發(fā)現(xiàn)，可加密重要的數(shù)據(jù)文件，包括數(shù)據(jù)庫、電子表格和文檔，其策略包括在被影響的目錄中放置勒索說明，要求通過西聯(lián)匯款或高級(jí)短信支付200美元，盡管當(dāng)時(shí)它尚未被正式歸類為勒索軟件。但是，這一勒索策略為后面即將到來的勒索軟件攻擊奠定了基礎(chǔ)。

2005-2006年

2005年，勒索軟件迎來了一次重大進(jìn)步，Archievus首次使用了RSA非對稱加密，因此迫使受害者必須支付贖金才能解密其數(shù)據(jù)。在其詳細(xì)的說明中，Archievus警告受害者不要依賴外部援助或系統(tǒng)備份，這一主題至今仍在勒索軟件電子郵件中存在。盡管技術(shù)上有所進(jìn)步，但此次勒索攻擊依舊有一個(gè)十分關(guān)鍵的缺陷：所有受害者的解密密碼是一樣的，這意味著只需要支付一份贖金，即可解密所有的文檔。

2007年：鎖定勒索軟件出現(xiàn)

2007年，鎖定勒索軟件變體首次出現(xiàn)，極大地改變了勒索軟件的情況。與基于加密的毒株不同，這些攻擊試圖通過關(guān)閉包括鍵盤、鼠標(biāo)等計(jì)算機(jī)必要的功能，完全將受害者排除在其設(shè)備之外。這些變體經(jīng)常針對俄羅斯用戶，并通過顯示成人圖像等激進(jìn)策略強(qiáng)迫受害者服從。早期勒索軟件開發(fā)者使用了多種貨幣化技術(shù)，如通過高級(jí)電話呼叫或短信消息要求支付。

加密貨幣和勒索軟件即服務(wù)（RaaS）

隨著網(wǎng)絡(luò)犯罪的發(fā)展，威脅行為者不斷變化以提高收入并避免被發(fā)現(xiàn)。Vundo勒索軟件在2009年首次出現(xiàn)，它會(huì)加密受害者的文件并要求支付贖金以解密。

2010年加密貨幣的出現(xiàn)進(jìn)一步改變了游戲規(guī)則，為犯罪分子提供了一種去中心化的、無法追蹤的支付方式。特別是比特幣，由于其允許即時(shí)跨境支付，成為勒索軟件的首選貨幣，使執(zhí)法部門更難以追蹤非法活動(dòng)。

2012年，勒索軟件即服務(wù)（RaaS）的引入，勒索軟件商業(yè)模式得到了巨大的發(fā)展。這種策略首先被Reveton勒索軟件使用，它假裝成執(zhí)法人員，威脅受害者支付贖金否則將面臨嚴(yán)重的法律后果。RaaS 不僅使勒索軟件更容易傳播，而且通過降低技術(shù)門檻，也讓低技術(shù)的黑客們更容易進(jìn)入市場。

恐嚇軟件是當(dāng)年的一種有利可圖的策略。與傳統(tǒng)的勒索軟件不同，恐嚇軟件使用心理操縱來要求金錢以避免所謂的懲罰，并顯示虛假的執(zhí)法警告。盡管與勒索軟件有類似的意圖，但恐嚇軟件是網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)中的一個(gè)獨(dú)特現(xiàn)象，因?yàn)樗蕾囉诨诳謶值钠垓_。

勒索軟件的上升期

2013年至2016年間，勒索軟件發(fā)生了重大變化，導(dǎo)致當(dāng)代勒索軟件作為一種反復(fù)出現(xiàn)的全球威脅而興起。在此期間，勒索軟件攻擊的范圍不斷擴(kuò)大，不僅針對Windows計(jì)算機(jī)，還針對其他操作系統(tǒng)和各種設(shè)備。

2013年推出的CryptoLocker勒索軟件，是勒索軟件史上一個(gè)重要的里程碑，它展示了基于加密的勒索攻擊具有無與倫比的破壞力。CryptoLocker通過僵尸網(wǎng)絡(luò)和網(wǎng)絡(luò)釣魚電子郵件傳播，使用公鑰-私鑰加密鎖定受害者的文件，并要求在短時(shí)間內(nèi)支付贖金，最初的價(jià)格是300美元的比特幣或MoneyPak。

隨著CryptoLocker的出現(xiàn)，勒索軟件發(fā)生了翻天覆地的變化。在實(shí)施方面，它成為了后續(xù)勒索軟件變體的模型。到2015年底，聯(lián)邦調(diào)查局估計(jì)受害者已支付超過2700萬美元。如此龐大的收益導(dǎo)致勒索軟件的創(chuàng)作激增，在隨后的幾年里出現(xiàn)了許多變體。

CryptoLocker的出現(xiàn)還促進(jìn)了網(wǎng)絡(luò)安全公司與執(zhí)法部門之間日益增長的合作。2014年，一項(xiàng)包括私人企業(yè)和組織（如美國計(jì)算機(jī)緊急響應(yīng)小組和歐洲刑警組織）在內(nèi)的多國行動(dòng)，拆除了支持CryptoLocker的基礎(chǔ)設(shè)施。其運(yùn)營商、俄羅斯國民葉夫根尼·米哈伊洛維奇·博加切夫被起訴，雖未成功捕獲，但拆除行動(dòng)大大減少了CryptoLocker的影響。

CryptoLocker還進(jìn)一步展示了勒索軟件行為者的多才多藝和頑強(qiáng)，以及成功打擊網(wǎng)絡(luò)犯罪所需國際合作的重要性。即使最初的毒株被消除，它帶來的基本策略仍然影響著今天的勒索軟件活動(dòng)。

到2016年，隨著Locky和Petya等主要毒株在規(guī)模和復(fù)雜性方面的顯著優(yōu)勢，勒索軟件已成為一種強(qiáng)大的網(wǎng)絡(luò)威脅。Locky在當(dāng)年首次亮相時(shí)，立即因其積極的傳播策略（包括廣泛的網(wǎng)絡(luò)釣魚活動(dòng)）而聞名。

Petya帶來了勒索軟件功能的一次飛躍。與之前主要加密單個(gè)文件的前身不同，Petya針對主引導(dǎo)記錄（MBR）和主文件表（MFT）。該勒索軟件表明，通過阻止受害者訪問整個(gè)系統(tǒng)，可以更成功地使組織無法運(yùn)作，并要求支付更高的贖金以恢復(fù)訪問權(quán)限。

其他勒索軟件，包括Cerber、TeslaCrypt和Jigsaw在內(nèi)，也在這一時(shí)期蔓延，這使2016年被稱為“勒索軟件之年”。這些變體利用網(wǎng)絡(luò)釣魚策略、漏洞利用和惡意廣告中的漏洞，大批量地感染計(jì)算機(jī)。所有這些行動(dòng)共同推動(dòng)了勒索軟件經(jīng)濟(jì)體量增加，勒索支付總額首次超過了10億美元大關(guān)。

政府行為者登場：Petya和WannaCry

2017年的安全事件是勒索軟件發(fā)展，及其對網(wǎng)絡(luò)安全和地緣政治更廣泛影響的另一個(gè)重要轉(zhuǎn)折點(diǎn)。WannaCry和Petya這兩個(gè)著名的實(shí)例展示了勒索軟件的破壞性潛力，同時(shí)也帶來了包括國家支持的倡議在內(nèi)的網(wǎng)絡(luò)操作的復(fù)雜性。

在感染了150多個(gè)國家的數(shù)十萬臺(tái)系統(tǒng)后，WannaCry迅速引起了國際關(guān)注。WannaCry利用美國國家安全局（NSA）泄露的，微軟服務(wù)器消息塊（SMB）協(xié)議中的EternalBlue漏洞，以蠕蟲形式自行傳播。慶幸的是安全研究員Marcus Hutchins發(fā)現(xiàn)了一個(gè)終止其傳播的關(guān)鍵因素，盡管WannaCry 影響遍及全球，但該發(fā)現(xiàn)有效阻止了攻擊的傳播并減輕了影響。但由于沒有有效的解密密鑰，用戶依舊無法恢復(fù)數(shù)據(jù)。至2017年年底，部分國家將WannaCry蠕蟲病毒歸咎于朝鮮，突顯了其作為國家支持的勒索軟件網(wǎng)絡(luò)攻擊前兆的重要性。

在很短的時(shí)間內(nèi)，Petya以截然不同的目標(biāo)，但在操作上卻十分類似。盡管它偽裝成勒索軟件，但其實(shí)更像是一種擦除器，即使用戶支付了贖金也無法恢復(fù)數(shù)據(jù)。除了其他漏洞外，該攻擊還利用了EternalBlue漏洞。

它通過入侵烏克蘭一款流行的會(huì)計(jì)程序M.E.Doc的更新進(jìn)行傳播。最初該攻擊只是針對烏克蘭基礎(chǔ)設(shè)施，例如金融、能源和政府部門，但在不久之后，Petya迅速擴(kuò)展到烏克蘭之外，并干擾了許多企業(yè)的國際業(yè)務(wù)。

在2018年，Petya攻擊被歸咎于俄羅斯國家行為者，而這種攻擊以金融勒索為幌子，實(shí)際上卻是將惡意軟件用作地緣政治的工具。

這些事件突顯了網(wǎng)絡(luò)安全的重要發(fā)展。它們展示了出于情報(bào)目的創(chuàng)建的漏洞，如何被轉(zhuǎn)化為武器并在全球范圍內(nèi)使用。此外，網(wǎng)絡(luò)攻擊技術(shù)成為國際沖突和戰(zhàn)略的關(guān)鍵要素的時(shí)代已經(jīng)到來，國家支持與常規(guī)網(wǎng)絡(luò)犯罪之間的界限變得模糊。Petya凸顯了勒索軟件在地緣政治影響方面的潛力，改變了各國和企業(yè)隨后幾年對網(wǎng)絡(luò)安全的看法，而WannaCry則使勒索軟件成為一個(gè)廣為人知的問題。

勒索軟件運(yùn)營商瞄準(zhǔn)大玩家

到2018年，勒索軟件行動(dòng)已從無差別攻擊發(fā)展為更有針對性的高價(jià)值實(shí)體，包括交通網(wǎng)絡(luò)、醫(yī)療服務(wù)提供商、州地方政府以及工業(yè)公司。這種變化有時(shí)被稱為“大狩獵戰(zhàn)術(shù)”，標(biāo)志著一種戰(zhàn)略轉(zhuǎn)變，攻擊者瞄準(zhǔn)擁有重要資源和關(guān)鍵運(yùn)營的組織，以獲得更高的收入。

因此，這類目標(biāo)在遭受勒索攻擊后，常面臨極為嚴(yán)重的后果，包括財(cái)務(wù)壓力、聲譽(yù)損害、業(yè)務(wù)中斷等。

大約在同一時(shí)間，不同的數(shù)據(jù)竊取技術(shù)被納入勒索軟件策略，使其變的更加復(fù)雜。例如GrandCrab RaaS勒索病毒結(jié)合了文件加密和數(shù)據(jù)勒索能力，就是其中的典型案例。在加密受害者的系統(tǒng)之前，攻擊者使用這些工具提取憑據(jù)、私人文件、屏幕截圖和其他重要數(shù)據(jù)，增加了威脅性和勒索贖金的成功率。

雙重勒索技術(shù)的出現(xiàn)

Maze是首個(gè)開始使用雙重勒索的勒索軟件。除了加密受害者的文件外，該策略還包括竊取私人信息并威脅公開發(fā)布，直到受害者支付進(jìn)一步的贖金。即使有強(qiáng)大恢復(fù)系統(tǒng)的企業(yè)，也面臨其被盜數(shù)據(jù)被公開的風(fēng)險(xiǎn)，這一創(chuàng)新使擁有備份的企業(yè)也感到很棘手，從而提高勒索成功率。

很快，這種勒索策略被其他勒索組織利用，增加了受害者遵守勒索要求的壓力。

在2019年至2020年期間，作為這一發(fā)展的一部分，特定的泄露網(wǎng)站開始出現(xiàn)在暗網(wǎng)上。這些平臺(tái)通過充當(dāng)被盜數(shù)據(jù)的開放存儲(chǔ)庫，增加了對受害者的財(cái)務(wù)和聲譽(yù)損害。盡管泄露網(wǎng)站也通過披露憑據(jù)和私人數(shù)據(jù)，進(jìn)一步刺激了勒索攻擊的發(fā)展，但它們也為網(wǎng)絡(luò)安全研究人員提供了有用的線索，使他們能夠追蹤勒索軟件活動(dòng)并針對其背后的組織。

雙重或三重勒索？

到2020年，隨著“三重勒索”策略的引入，勒索軟件進(jìn)一步發(fā)展。通過增加額外的壓力，例如針對其數(shù)據(jù)被盜的人，威脅進(jìn)行第二次攻擊，分布式拒絕服務(wù)（DDoS）攻擊等，這種策略擴(kuò)展了雙重勒索。與此同時(shí)，針對工業(yè)控制系統(tǒng)（ICS）和運(yùn)營技術(shù)（OT）的勒索軟件開始出現(xiàn)，例如EKANS（Snake）惡意軟件，也標(biāo)志著勒索攻擊開始轉(zhuǎn)向針對關(guān)鍵基礎(chǔ)設(shè)施。

LockBit和RaaS的增加

到2020年，RaaS勒索軟件發(fā)生了顯著變化，LockBit勒索組織成為其中的佼佼者。為了讓不同專業(yè)水平的攻擊者都能租用先進(jìn)的工具和基礎(chǔ)設(shè)施，LockBit 開始采用“大眾化”的運(yùn)營策略，讓低技術(shù)的攻擊者可以展現(xiàn)高攻擊能力。

RaaS生態(tài)系統(tǒng)的穩(wěn)健性保證了即使在執(zhí)法部門取得勝利（如關(guān)閉LockBit網(wǎng)站）的情況下，也能快速恢復(fù)并進(jìn)行持續(xù)攻擊。由于這些平臺(tái)進(jìn)一步拓展了靈活性，附屬機(jī)構(gòu)能夠在不受干擾的情況下引入新的勒索軟件病毒。

同時(shí)，Conti勒索軟件優(yōu)先考慮數(shù)據(jù)竊取而非加密，重新定義了勒索策略。自2020年以來，他們經(jīng)常使用網(wǎng)絡(luò)入侵、敏感數(shù)據(jù)盜竊和公開曝光的恐懼來迫使支付。這種方法之所以有效，是因?yàn)槠髽I(yè)不得不應(yīng)對增加的財(cái)務(wù)需求以及聲譽(yù)、監(jiān)管問題。

2021年對Colonial Pipeline的攻擊展示了勒索軟件嚴(yán)重的現(xiàn)實(shí)世界后果。在一條重要的能源管道暫停六天后，出現(xiàn)了廣泛的汽油短缺，突顯了關(guān)鍵基礎(chǔ)設(shè)施的脆弱性。贖金支付揭示了公司在壓力下必須做出的艱難選擇，權(quán)衡給予攻擊者更多信心的可能性與恢復(fù)運(yùn)營的需求。

新的犯罪業(yè)務(wù)：初始訪問經(jīng)紀(jì)人

到2020年代初，網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)觀察到勒索軟件運(yùn)營策略和框架的重大進(jìn)步。初始訪問經(jīng)紀(jì)人（IABs）的出現(xiàn)并作為關(guān)鍵參與者，使RaaS的擴(kuò)張成為可能。IABs通過出售對被黑網(wǎng)絡(luò)的訪問權(quán)限，簡化了成熟的勒索軟件團(tuán)伙的運(yùn)營，并為新手攻擊者降低了門檻。這種合作迅速改變了勒索軟件格局，使威脅行為者能夠?qū)Ｗ⒂诟行У匕l(fā)起和控制其攻擊。

到2023年，雙重勒索甚至三重勒索變得更加普遍。除了數(shù)據(jù)加密和公開披露威脅外，攻擊者還普遍采用分布式拒絕服務(wù)（DDoS）攻擊甚至監(jiān)管利用，例如向證券交易委員會(huì)（SEC）報(bào)告違規(guī)行為以對受害者施加壓力。由于這些多方面的策略，勒索軟件攻擊變得更加復(fù)雜，迫使防御方應(yīng)對變得越來越有創(chuàng)意和足智多謀的對手。

勒索軟件的運(yùn)營模式也發(fā)生了變化。威脅組織改變其身份并實(shí)施更有效的支付方式，以逃避處罰。許多人采用類似企業(yè)的方法來處理其有害活動(dòng)，通過實(shí)施類似客戶支持的程序（如自助服務(wù)臺(tái)），以提高受害者合規(guī)性。這些模式突顯了勒索軟件運(yùn)營的組織成熟度和技術(shù)復(fù)雜性的持續(xù)上升。

未來展望

由于全球執(zhí)法部門和復(fù)雜的網(wǎng)絡(luò)安全防護(hù)措施的壓力加大，勒索軟件演變所采用的策略發(fā)生了顯著變化。最近的事件表明了一種更積極、更靈活的策略來克服這些障礙。

到2023年底，著名的勒索軟件組織已經(jīng)改變了他們的策略以保持盈利并對受害者施加壓力。這涉及到利用監(jiān)管框架、利用公開披露和實(shí)施新的談判技巧。例如，關(guān)注保險(xiǎn)公司或利用第三方披露等策略顯示出減少對直接勒索支付的依賴并最大化影響的趨勢。

此外，在2023年的后幾個(gè)月，明顯強(qiáng)調(diào)多階段勒索策略。在黑客攻擊之后，像Royal和Akira這樣的團(tuán)體加強(qiáng)了對受害者的攻擊，以獲得對其更多的控制權(quán)。類似地，AlphV表現(xiàn)出將威脅擴(kuò)散到主要目標(biāo)之外，表明勒索軟件生態(tài)系統(tǒng)朝著更具創(chuàng)意和擴(kuò)展性的勒索形式的大趨勢。

勒索軟件技術(shù)的發(fā)展強(qiáng)調(diào)了企業(yè)保持警惕防范違規(guī)行為，以及在首次入侵后數(shù)年出現(xiàn)的復(fù)雜和持久威脅做好準(zhǔn)備的重要性。

在未來，由AI驅(qū)動(dòng)的自動(dòng)化和偵察推動(dòng)的超針對性、多層次勒索嘗試將在勒索軟件中變得更加普遍。威脅行為者將逐步利用操作技術(shù)系統(tǒng)和物聯(lián)網(wǎng)中的新漏洞，特別是在供應(yīng)鏈和關(guān)鍵基礎(chǔ)設(shè)施中，這將對整個(gè)行業(yè)產(chǎn)生多米諾骨牌效應(yīng)。

參考來源：https://socradar.io/the-evolution-of-ransomware-from-simple-encryption-to-double-extortion-tactics/