日前,工業(yè)物聯(lián)網(wǎng)廠商研華科技正遭遇一場來自Conti勒索軟件團(tuán)伙襲擊。
根據(jù)安全站點(diǎn)Bleeping Computer報(bào)道,其取得了勒索信件的副本顯示,黑客提出了750個比特幣的贖金要求(約合8280萬人民幣),并且支付贖金后才會移除所有植入該公司網(wǎng)絡(luò)的木馬程序,刪除所盜走的資料。
不過,此次勒索似乎沒有成功,因?yàn)楹诳陀?1月26日公布了宣稱是從研華竊取的3GB文件和文件目錄清單文本檔,這些資料占他們所偷走資料的2%。
研華針對此事回復(fù)稱,黑客攻擊少數(shù)服務(wù)器時,可能偷走了價值性不高與機(jī)密性不高的工作資料。
類似的勒索軟件攻擊事件其實(shí)時常發(fā)生。如:
· 可穿戴設(shè)備制造商Garmin在遭受WastedLocker勒索軟件全面攻擊后,關(guān)閉了其一些連接的服務(wù)和呼叫中心,導(dǎo)致了全球性中斷,其主要產(chǎn)品服務(wù)和網(wǎng)站均癱瘓,攻擊者向Garmin索要高達(dá)1000萬美元贖金以恢復(fù)數(shù)據(jù)和業(yè)務(wù)。
· 阿根廷電信運(yùn)營商曾被REvil團(tuán)伙攻擊內(nèi)部網(wǎng)絡(luò),并且已加密多個重要文件,要求阿根廷電信支付750萬美元贖金以解鎖被加密文件。從黑客要求支付的頁面顯示,要求支付109345.35枚Monero代幣(約753萬美元),并稱三天后總金額需要翻一番。REvil團(tuán)伙主要擅長攻擊VPN服務(wù)器切入點(diǎn),今年五月份還對斯里蘭卡電信進(jìn)行攻擊。
· DoppelPaymer使用Citrlx ADC缺陷入侵了云服務(wù)提供商不列塔尼電信,攻擊針對維修部的CVE-2019-19781漏洞的服務(wù)器。
· Slldinokibi勒索軟件襲擊國際外幣兌換公司Travelex,導(dǎo)致2020年第一個月的外匯交易完全混亂,據(jù)稱要求600萬美元的贖金。此后,該勒索軟件又襲擊了紐約機(jī)場的管理服務(wù)器、加密了新澤西猶太教堂的網(wǎng)絡(luò)上的許多計(jì)算機(jī)
· 迷宮勒索軟件襲擊佐治亞州卡羅爾頓的電線電纜制造商Southwire,之后發(fā)布了14GB的被盜文件。
Conti是啥?
話題再回到本次勒索事件中的Conti本身,其最早一次被發(fā)現(xiàn)的攻擊是在2019年12月底,在2020年6月的攻擊中再次被發(fā)現(xiàn)。Conti屬于新興的雙重勒索軟件陣營,在勒索軟件加密系統(tǒng)之前,會先下載未加密的機(jī)密資料,用以在受害者拒絕支付贖金以換取解密密鑰時,作為進(jìn)一步的勒索籌碼,已有部分案例顯示有受害者最終是為了保護(hù)資料而選擇支付贖金。
該勒索軟件與臭名昭著的Ryuk Ransomware共享代碼,并在2020年7月后者活動減少后,開始通過TrickBot木馬打開的反向外殼進(jìn)行分發(fā)。
Conti作為一家私有的勒索軟件即服務(wù)(RaaS),通過招募經(jīng)驗(yàn)豐富的黑客來部署勒索軟件以換取大量的勒索份額,并于2020年8月開設(shè)了自己的數(shù)據(jù)泄露站點(diǎn)。
長達(dá)30年的勒索軟件發(fā)展史,新的勒索軟件市場泛濫
第一個勒索軟件可以追溯到1989年,當(dāng)時有2萬張?zhí)柗Q包含"艾滋病信息介紹"的軟盤被分發(fā)給了國際衛(wèi)生組織國際艾滋病大會的與會者。在受害者遭遇90次設(shè)備重啟后,該軟件會隱藏目錄并在受感染設(shè)備上加密文件。贖金金額被定為189美元,受害者被要求必須向巴拿馬郵政信箱里存入所要求的金額。
10多年之后,也就是在2005年5月,更多勒索軟件開始出現(xiàn),如GpCode、TROJ.RANSOM.A、Archiveus、Krotten等。隨著新的匿名支付方式(如比特幣)在到來,勒索軟件也開始了采用了新的支付方式。
在過去的10多年中被檢測到的勒索軟件樣本總體可以分為兩類:
鎖定型勒索軟件:該類型勒索軟件會鎖定受感染設(shè)備,以阻止受害者的使用。
該類型的勒索軟件主要在2008年至2011年期間被使用,目前已被大多數(shù)網(wǎng)絡(luò)犯罪分子所拋棄。因?yàn)榧幢悴恢Ц囤H金,消除感染也是非常簡單的。 事實(shí)上,這種勒索軟件有一個很明顯的弱點(diǎn),它只會顯示一個拒絕訪問設(shè)備的窗口,但這種鎖定很容易就能夠被繞過。
加密型勒索軟件:該類型勒索軟件直接作用于受害者的文件并拒絕受害者使用系統(tǒng),將文件、目錄和硬盤進(jìn)行加密,讓受害者無法訪問被加密文件中所包含的信息。此后,勒索軟件也多用這種加密方式。
勒索軟件的構(gòu)建需要特定的先進(jìn)技能,巨大利益推動了新服務(wù)的興起,使得網(wǎng)絡(luò)犯罪分析無需具體任何知識也可構(gòu)建勒索軟件。最終也發(fā)展出了所謂的勒索軟件即服務(wù)(Ransomware as a Service,RaaS),RaaS商業(yè)模式的興起使得攻擊者無需任何技術(shù)專業(yè)知識,就可以毫不費(fèi)力地發(fā)起網(wǎng)絡(luò)敲詐活動,這也是導(dǎo)致新的勒索軟件市場泛濫的原因。
現(xiàn)實(shí)世界嚴(yán)峻的挑戰(zhàn)不斷,網(wǎng)絡(luò)安全領(lǐng)域也堪憂
2020年,全世界很多領(lǐng)域面臨著各種事件的沖擊,而網(wǎng)絡(luò)安全領(lǐng)域同樣不容樂觀,勒索軟件的勢頭也在這一年里一度上升,并出現(xiàn)了新的敲詐勒索模式。盡管勒索病毒感染事件約占惡意軟件總事件的3%左右,但相比其他惡意軟件破壞力更大,一旦遭遇勒索,企業(yè)將面臨業(yè)務(wù)中斷、高額贖金的風(fēng)險(xiǎn)。
一份來自深信服千里目安全實(shí)驗(yàn)室的報(bào)告稱,2020年2月開始,勒索軟件從之前的低潮開始恢復(fù)活力,攻擊勢頭上升,盡管處在COVID-19大流行期間,但針對政府、學(xué)校和醫(yī)療衛(wèi)生行業(yè)的攻擊并沒有減弱。
不僅如此,報(bào)告還指出,犯罪團(tuán)伙逐漸在形成規(guī)?;纳虡I(yè)運(yùn)作,形成新的勒索軟件合作生態(tài)。
勒索軟件合作生態(tài)結(jié)構(gòu)圖
以往攻擊團(tuán)伙和勒索軟件制作團(tuán)隊(duì)往往是同一個,而在如今高度專業(yè)化的合作生態(tài)系統(tǒng)中,攻擊團(tuán)伙很多時候是獨(dú)立于勒索軟件開發(fā)者和運(yùn)營商,以相對獨(dú)立的角色存在,每個角色各司其職,專注于自己所負(fù)責(zé)的模塊,他們之間除了業(yè)務(wù)聯(lián)系外幾乎沒有其他交集。他們專注于借助僵尸網(wǎng)絡(luò)部署勒索軟件,給受害者造成的損失面更廣。這種新的勒索軟件合作生態(tài)使得勒索威脅的危害上升了一個新的高度。
物聯(lián)網(wǎng)產(chǎn)品迅速增長將使網(wǎng)絡(luò)攻擊的變化無法預(yù)測
雖然物聯(lián)網(wǎng)的普及推動了技術(shù)的進(jìn)步,但同時也幫助黑客擴(kuò)大了其攻擊范圍,上至使用物聯(lián)網(wǎng)設(shè)備的工業(yè)控制系統(tǒng),下至家用聯(lián)網(wǎng)攝像頭,都可能成為黑客攻擊的目標(biāo),針對物聯(lián)網(wǎng)設(shè)備的勒索軟件將比傳統(tǒng)的勒索軟件更具破壞性。
據(jù)了解,在傳統(tǒng)的勒索攻擊中,黑客會加密受害者設(shè)備上的文件,以勒索贖金。而在針對物聯(lián)網(wǎng)設(shè)備的勒索軟件攻擊中,黑客不僅可加密設(shè)備上儲存的文件,還可完全接管設(shè)備或其內(nèi)部網(wǎng)絡(luò)。同時,接管設(shè)備后,黑客可以造成諸如聯(lián)網(wǎng)車輛被操控、電源被切斷、敏感信息被泄露,乃至生產(chǎn)線停止運(yùn)行等破壞性后果。因此,黑客可對受害者獅子大開口,索要極為高昂的"保護(hù)費(fèi)"。
不過,由于物聯(lián)網(wǎng)行業(yè)碎片化應(yīng)用特色,一時間黑客也難以發(fā)起大規(guī)模攻擊。但是,隨著物聯(lián)網(wǎng)的普及,黑客仍可能在未來發(fā)起大規(guī)模攻擊。因此,相關(guān)廠家應(yīng)及時進(jìn)行遠(yuǎn)程固件更新、確保更新渠道的安全以及加入可靠的身份驗(yàn)證等措施仍然不可忽視。