主页 > imtoken钱包最新版下载 > 盘点:2019年勒索软件灾难
盘点:2019年勒索软件灾难
大家好,我是零日情报局。
有数以千计的网络攻击,其中一半是勒索软件。 今天我们就来看看2019年令人窒息的勒索软件攻击。
今年3月,全球最大的铝产品制造商之一挪威海德鲁公司遭到勒索软件攻击,该公司被迫关闭多条自动化生产线,震惊全球铝产品交易市场;
5月,国内某网约车平台被黑客勒索,服务器核心数据被加密。 攻击者索要巨额比特币赎金,无奈报警求助;
同样在5月,美国佛罗里达州里维埃拉遭到勒索软件攻击,各种市政工作暂停数周。 市政紧急会议决定支付60万美元赎金。 巧合的是,就在该市做出这一决定后的短短一周内,佛罗里达州另一座被袭击的城市莱克城也被迫向黑客支付了价值近五十万美元的比特币赎金。
6月,全球最大飞机零部件供应商ASCO遭到勒索病毒攻击,生产环境系统瘫痪。 约1000名工人停工,四国工厂被迫停产;
10月初,全球最大的助听器制造商德曼特遭到勒索软件入侵,直接经济损失高达9500万美元;
10月中旬,全球知名航运和电商巨头Pitney Bowes遭到勒索软件攻击。 攻击者对公司的系统数据进行了加密,并破坏了其在线服务系统。 90%以上的世界500强合作企业受到影响;
10 月 16 日,法国最大的商业电视台 M6 Group 遭到勒索软件洗劫。 公司电话、邮箱、办公、管理工具全部中断,集体被迫“罢工”;
问题是,距离 2019 年底还有两个多月的时间,但勒索软件的攻势可能还没有达到顶峰。
受勒索病毒疫情影响,10月9日,欧洲刑警组织与总部位于荷兰海牙的国际刑警组织发布的《2019年互联网有组织犯罪威胁评估》指出,勒索病毒仍是网络安全的最大威胁。 需要合作,共同打击网络犯罪。
我们排名前五的勒索软件
2019年以来,异常活跃的勒索病毒种类近百种,我们总结出其中数种最为凶猛。
GandCrab 勒索软件
在很多人看来,GandCrab勒索病毒绝对是2019年最具传奇色彩的人物。GandCrab于2018年首次亮相,历经5次迭代,现已蔓延至罗纳尼亚、巴西、印度等数十个国家和地区,全球有超过 150 万用户被感染。 也被国内安全团队称为“Grand Rogue Virus”,因为他们的后期版本避开了饱受战争蹂躏的叙利亚。
今年6月,GandCrab勒索病毒团队的一则官方消息刷爆了网络。 他们高调宣布,在短短一年半的时间里,团队已经赚取了超过20亿美元,人均年收入达1.5亿美元,因此他们决定停止更新这个恶意程序并从荣耀中退休。
(GandCrab勒索团队的官方声明,宣布他们已经赚够了钱,准备撤退,让群众发呆)
Sodinokibi 勒索软件
随着GandCrab的退出,它的继任者Sodinokibi勒索软件中继出现了。 Sodinokibi又被称为REvil勒索软件,与GandCrab有明显的代码重叠性勒索邮件诈骗比特币性勒索邮件诈骗比特币,因此很多人猜测GandCrab的部分成员不愿停下来从头开始Sodinokibi。
Sodinokibi的一些变种会将受害者的屏幕变成深蓝色,并以2500至5000美元不等的赎金撒网。 在不到半年的时间里,勒索软件已经非法获利数百万美元。
GlobeImposter 勒索软件
说起2019年的勒索病毒,就不得不提GlobeImposter。 该勒索病毒也被称为“十二生肖”病毒,因为它侵入计算机后,会对文件后缀为“十二生肖英文名+4444”的文件进行加密。 GlobeImposter 自 2017 年 5 月发布以来,已经经历了八次版本迭代,后缀也从希腊的“十二生肖”变成了“十二主神”。
GlobeImposter病毒主要通过弱rdp远程桌面密码进行攻击。 去年,山东10个城市的房地产系统被其攻击。 今年,国内多家企业、医院等机构也遭到攻击。
(GlobeImposter勒索病毒:文件后缀为希腊十二神+666)
停止勒索软件
Stop勒索病毒又名djvu勒索病毒,是2019年最活跃的病毒家族之一。相比动辄百万、千万美元的勒索病毒,Stop走的是薄利多销的赚钱路线。 解密赎金需要980美元,72小时内联系软件作者还可以享受50%的优惠。
该病毒主要利用木马站点伪装成软件破解工具或捆绑激活软件进行传播。
火卫一勒索软件
总的来说,Phobos 是一个非常棘手的勒索软件。 它采用RDP暴力破解+人工投递的方式传播,可以轻松加密受害者PC上的每一个文件,全部变成无法打开的.phobos。
Phobos病毒可能与Dharma病毒(又称CrySis)同属一个组织,病毒在运行过程中会进行自我复制,并在注册表中添加自启动项。 如果残留在系统中的病毒体不清理干净,很可能会遇到二次加密。
(Phobos病毒勒索信息)
总的来说,勒索病毒种类激增、版本迭代,但表现形式大体上难逃以下几类:数据加密、系统锁定、数据泄露、诈骗恐吓,但从勒索病毒的黑产情况来看,足以震惊世界,也难怪国际刑警会站出来发声了。
我们发现的一些攻击趋势
为了让其他人免受勒索软件的浪潮,我们也发现了 2019 年勒索软件攻击的一些变化。
首先,从To C用户到To B政府和企业,赎金价格大幅上涨。
目前的勒索病毒明显已经从广泛、浅层的普通用户向中大型政府、企业机构、行业组织转移。 一份安全报告显示,自2018年6月以来,全球针对To B的勒索攻击增加了363%。
正如我们开篇提到的,全球最大的铝制品制造商、全球最大的助听器制造商、全球最大的飞机零部件供应商等“全球最大系列”接二连三遭到攻击,目的都是为了获取巨大的经济利益.
当然,赎金也在暴涨。 当年风靡全球的WannaCry的解密赎金仅为300美元;
但现在-
Sodinokibi勒索软件,赎金3个比特币(约合3万美元)起;
Ryuk 勒索软件,起步价为 11 个比特币(约 12 万美元);
至于MegaCortex勒索软件,最高赎金高达600个比特币,相当于要价580万美元;
而且,或许是受到GandCrab家族一年半赚了20亿美元的启发,MageCortex勒索病毒还在勒索信息中留下了斗争格言:“我们正在努力赚钱,而这次犯罪活动的核心是为了得到赎金之后,以最原始的形式归还你宝贵的数据。”
总之,看今年黑客的勒索信息,能明显感受到他们的割韭菜之心。
二是从垃圾邮件传播到漏洞利用。
勒索病毒虽然有垃圾邮件、RDP密码爆破、网页挂马等多种传播途径,但凡事都有漏洞,这可能就是勒索病毒的发源地。
例如,Sodinokibi勒索病毒集成了多个漏洞进行传播,包括Windows内核提权漏洞(CVE-2018-8453)、Confluence漏洞(CVE-2019-3396)、UAF漏洞(CVE-2018-4878)、Weblogic反序列化漏洞(CVE) -2019-2725)等;
再比如BitPaymer勒索病毒利用了Apple的0day漏洞; GETCRYPT 勒索软件利用了 RIGEK 漏洞利用工具包; 别忘了,还有不断利用IE+Flash双重漏洞伪造Chrome浏览器弹窗传播的Spora勒索病毒。
总之,该勒索病毒利用漏洞打出组合拳,不仅得手率大幅上升,威胁程度也远超以往。 从这个角度来看,勒索病毒对反病毒的拦截查杀技术提出了更具挑战性的要求。
(该勒索病毒利用苹果的0day漏洞进行传播)
第三,打着敲诈勒索的幌子,实际上是获取情报或破坏数据。
今年有一起案件,跟窃取情报有关。 9 月,MalwareHunterTeam 披露了一起不寻常的勒索软件事件。
它会不断搜索受感染的目标以获取敏感信息,包括军事机密、银行信息、欺诈/刑事调查文件,并且不会表现得像是在寻找金钱。
更可疑的是,“勒索软件”还会寻找美国社会保障部列出的2018年最常见的婴儿名字,包括Emma、Olivia、Noah、Logan和James。
(假的“勒索软件”搜索关键词)
除了窃取信息,还有其他更奇葩的攻击案例。 有些“勒索软件”会像孤注一掷一样对文件进行多次加密,甚至将文件损坏到不可挽回的地步,彻底切断勒索资金的获取途径。
分析认为,这很可能是APT黑客组织渗透窃取国家企业机密数据后投放的破坏性勒索病毒。 目的是利用勒索软件作为掩护,破坏数据,消除入侵痕迹,掩盖真正的攻击意图。
四是人工投毒增多。
手动投毒的优点是定位精准,黑客可以针对高价值的定制服务器和系统。
(黑客团伙人工植入病毒)
因此,人工植入的病毒越来越多,Ryuk勒索病毒的感染和传播过程都是由攻击者手动完成的;
Globelmposter勒索病毒不具备主动传播能力,是黑客潜入内网后人为植入目标主机;
还有 MegaCortex 病毒作为“手动闯入”的一部分,攻击者设法获得管理凭据。
除了精确定位目标之外,这种方法还有其他好处:它增加了“停留时间”,即从最初感染到安装勒索软件之间的时间。
此操作使攻击者有时间分析受感染的网络,以识别网络中最关键的系统并获取密码以感染这些系统,然后再释放勒索软件以最大程度地破坏。
更多零日反射
增量的、扩散的、高频的网络安全威胁,让我们开始思考:
目前,在高级持续性威胁正常发展的情况下,“互联网更安全”可能只是一种幻想。 凶猛且异常活跃的勒索病毒撕裂了人们沉醉的安全幻想。 在一个从来没有绝对安全的在线世界中,相对安全变得越来越有价值。
最终,网络安全是继续螺旋式上升的“攻防”大战,还是裂变为新的终极模式,谁也无法给出肯定的答案。 只有在攻防中不断探索,才能迎接安全的未来。
零日情报局作品
