2020上半年十大典型勒索软件大盘点

　　勒索软件近年来一直是黑客组织牟取暴利的绝佳手段，也是发展最快的网络安全威胁之一。之前Wannacry、NotPeya全球肆掠、攻城掠地的景象，尚未完全消除。如今勒索软件攻击目标多元化、攻击手段复杂化、解密数据难度大、危害影响难估量等，被称为安全业界最头疼的软件，也成为政府、企业、个人最为关注的安全风险之一，它几乎成为与APT齐名的攻击类型。破财消灾，几乎成了多数被勒索者不得已而为之的选择。根据COVEWARE公司的报告，2020年一季度，企业平均赎金支付增加至111,605美元，比2019年第四季度增长了33%。目前勒索软件主要的攻击传播方式仍然以RDP（远程桌面服务）和钓鱼邮件为主。因为其变现方式更为粗暴直接，正被越来越多的网络“灰黑”产采用。品尝过“勒索”带来的巨大且轻而易举的利益后，勒索软件的演变与发展更加迅猛异常。

　　天地和兴总结梳理的上半年工业企业10起典型攻击事件中，有7起是勒索攻击。2月，勒索攻击殃及美国天然气管道公司，CISA未透露勒索软件名称。勒索软件Nefilim攻击澳大利亚Toll集团；3月，勒索软件Ryuk攻击钢铁制造商EVRAZ公司及其北美分支机构，包括加拿大和美国的钢铁生产厂；4月，Ragnar Locker勒索软件袭击了葡萄牙跨国能源公司EDP（Energias de Portugal），并且索要1580个比特币赎金（折合约1090万美元/990万欧元）；5月，勒索软件Nefilim袭击了台湾石油、汽油和天然气公司CPC公司及其竞争对手台塑石化公司（FPCC）。另有未透露名称的勒索软件攻击了瑞士铁路机车制造商Stadler；6月，勒索软件EKANS/Snake攻击了本田汽车制造商。

　　天地和兴工业网络安全研究院对所监测到的众多勒索软件攻击事件进行梳理，注意到勒索攻击的目标正向石油、天燃气、能源、制造等关键基础设施行业发展。本文筛选10个典型的、比较活跃的勒索软件，通过简要分析其攻击的目标、路径、手段及主要特征，以此警示关键信息基础设施利益相关方，警钟常鸣，防患未然。

　　典型勒索软件

　　1、勒索软件Maze

　　Maze勒索软件是ChaCha的一个变种，最早出现于2019年5月。最初，Maze是使用如Fallout EK和Spelevo EK之类的漏洞利用工具包通过网站进行传播，该工具包利用Flash Player漏洞。后续Maze勒索软件增加了利用Windows VBScript Engine远程代码执行漏洞等能力。

　　Maze（迷宫）通过大量混淆代码来对抗静态分析，使用ChaCha20和RSA两种算法加密文件，被加密的文档在未得到密钥时暂无法解密。加密完成后对文件添加随机扩展后缀，并留下名为DECRYPT-FILES.html的勒索说明文档，并修改桌面壁纸。值得一提的是，该病毒声称，解密赎金额度取决于被感染电脑的重要程度，包括个人电脑、办公电脑、服务器，这意味着高价值目标受攻击后解密付出的代价也会相应的更高。

　　2、勒索软件Ryuk

　　Ryuk勒索病毒最早于2018年8月被首次发现，它是由俄罗斯黑客团伙GrimSpider幕后操作运营。GrimSpider是一个网络犯罪集团，使用Ryuk勒索软件对大型企业及组织进行针对性攻击。Ryuk勒索软件主要是通过网络攻击手段利用其他恶意软件如Emotet或TrickBot等银行木马进行传播，因为TrickBot银行木马传播渠道的运营者是俄罗斯黑客团伙WIZARD SPIDER，GRIM SPIDER是俄罗斯黑客团伙WIZARD SPIDER的部门之一。Emotet和TrickBot银行木马主要用于盗取受害者银行网站登录凭据，同时充当下载器功能，提供下载其它勒索病毒服务。这款勒索病在国外比较流行，主要针对一些大型企业进行定向攻击勒索。Ryuk特别狡诈的一个功能是可以禁用被感染电脑上的Windows系统还原Windows System Restore选项，令受害者更难以在不支付赎金的情况下找回被加密的数据。鉴于攻击者针对的是高价值受害者，赎金目标也转为大型企业。

　　安全分析师认为，Ryuk源代码很大程度上出自朝鲜Lazarus黑客团伙的Hermes恶意软件。但这并不表明Ryuk攻击本身是朝鲜发起的，迈克菲认为其代码基础由俄语区供应商提供，因为该勒索软件不会在系统语言设置为俄语、白俄罗斯语和乌克兰语的计算机上执行。

　　3、勒索软件Sodinokibi/ REvil

　　Sodinokibi勒索病毒（也称REvil），2019年5月24日首次在意大利被发现。在意大利被发现使用RDP攻击的方式进行传播感染，这款病毒被称为GandCrab勒索病毒的接班人，在短短几个月的时间内，已经在全球大范围传播，这款勒索病毒与GandCrab勒索软件存在很多关联，Sodinokibi勒索病毒是一种勒索即服务（RAAS）的模式进行分发和营销的，并采用了一些免杀技术避免安全软件检测。主要通过Oracle WebLogic漏洞、Flash UAF漏洞、网络钓鱼邮件、RDP端口、漏洞利用工具包以及攻击一些托管服务提供商MSP等方式发起攻击，这款勒索病毒最新的版本为2.2，增加了自启动注册表项等，同时还发现一批最新的采用PowerShell脚本进行无文件攻击的变种样本。

　　该勒索软件最特别的一点就是，不仅告诉人们“不付赎金就拿不回数据”，还会威胁称“将在网上公开或在地下论坛竞拍这些机密数据”。这种新的勒索方式将此商业模式推升到了新的高度。高针对性、强定制化的勒索软件新时代似乎正走向危险新深渊。

　　4、勒索软件DoppelPaymer

　　DoppelPaymer代表了勒索软件攻击的新趋势—勒索文件加密和数据窃取双管齐下。根据安全研究人员的说法，此类恶意软件首先会窃取数据，然后向受害者发送赎金勒索消息，而不是像传统勒索软件一样就地加密锁死数据。2019年中期以来一直活跃，今年3月美国精密零件制造商Visser遭此勒索软件攻击，意外泄漏特斯拉、波音、SpaceX等公司有关的敏感文件。DoppelPaymer 勒索软件最早于2019年6月被发现，主要通过RDP暴力破解和垃圾邮件进行传播，邮件附件中带有一个自解压文件，运行后释放勒索软件程序并执行。公开资料显示，DoppelPaymer是BitPaymer 勒索软件的一类新变种。DoppelPaymer至少有8种变体，它们逐渐扩展各自的特征集。

　　自解压文件运行后在%Users%目录下创建gratemin文件夹，释放名为p1q135no. exe的勒索软件程序并执行，加密文件后，在原文件名后追加名为“.locked”的后缀，并在每个被加密文件的目录中创建名为原文件名后追加“.readme2unlock.txt”格式的勒索信，勒索信中包含勒索说明、TOR下载地址、支付地址、DATA 数据信息和邮箱联系方式等。DoppelPaymer勒索软件变种使用“RSA+AES”算法加密文件，利用多线程快速加密文件，使用命令ARP–A以解析受害系统的地址解析协议（ARP）表，具体操作为删除卷影副本、禁用修复、删除本地计算机的备份目录等。目前被加密的文件在未得到密钥前暂时无法解密。

　　5、勒索软件NetWalker

（编辑：应用网_阳江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!