一、概述
勒索病毒作为全球最严峻的网络安全威胁之一,2019年持续对全球范围内的医疗、教育、能源、交通等社会基础服务设施,社会支柱产业造成重创。围绕目标优质化、攻击精准化、赎金定制化的勒索策略,以数据加密为核心,同时展开数据窃取、诈骗恐吓的勒索战术稳定成型,促使勒索病毒在2019年索取赎金的额度有明显增长。老的勒索家族持续活跃,新的勒索病毒层出不穷,犯罪行为愈演愈烈,安全形势不容乐观。
勒索病毒攻击2019典型事件:
2019年3月初,国内发现大量境外黑客组织借助恶意邮件传播的GandCrab勒索病毒,黑客通过假冒司法机构发件人,成功攻击感染了我国多个政企机构内网,随后我国多地区机构发起安全预警。
2019年3月下旬,世界最大的铝产品生产商之一挪威海德鲁公司(Norsk Hydro)遭遇勒索软件公司,随后该公司被迫关闭了几条自动化生产线,损失不可估量。
2019年5月26日,易到用车发布公告称其服务器遭受到连续攻击,服务器内核心数据被加密,攻击者索要巨额的比特币。易到表示严厉谴责该不法行为,并已报警。
2019年5月29日,美国佛罗里达州里维埃拉海滩警察局因员工运行了恶意的电子邮件,从而导致该城市基础服务设施遭受勒索软件加密。市政官员于随后召开会议,批准通过一笔大约60万美元的资金用于支付勒索赎金。
2019年6月中旬,世界最大飞机零件供应商之一ASCO遭遇勒索病毒攻击,由于被病毒攻击导致的生产环境系统瘫痪,该公司将1400名工人中大约1000人送回家带薪休假,同时停止了四个国家的工厂生产。
2019年9月22日,国内某大型建筑设计有限公司遭到勒索病毒攻击,被勒索的每台电脑要给出1.5个比特币才能解锁,该公司的电脑全面崩溃,所有图纸都无法外发,该事件引发微博热议。
2019年10月,全球最大的助听器制造商之一Demant遭受勒索病毒入侵,该公司是目前听力行业唯一产品线涵盖助听器、人工中耳、骨导助听器、电子耳蜗及调频语训系统的全面听力解决方案提供者,全球听力检测设备领域的领先者,攻击导致的造成的损失高达9500W美元。
2019年12月,Maze(迷宫)勒索团伙向Southwire集团勒索600W美元,Southwire是北美领先的电线电缆制造商之一,勒索团伙声称:如果Southwire不交赎金,则会在网络上公布该公司的泄漏的120G重要数据。
二、2019年勒索病毒特点总结:
1.老牌勒索家族转向精准化,高质量的狩猎行动
观察过去一年腾讯安全威胁情报中心收到的勒索求助反馈,主流老牌勒索家族(如GlobeImposter,Crysis)实施的勒索攻击中,企业用户占据了其绝大部分。这意味着老牌勒索家族已经从广撒网无差别模式的攻击,转变为精准化、高质量的行动,该转变使攻击者每次攻击行动后的收益转化过程更有效。而企业服务器被攻陷则多为对外开放相关服务使用弱口令导致,当企业内一台服务器被攻失陷,攻击者则会将该机器作为跳板机,继续尝试攻击其它局域网内的重要资产,在部分勒索感染现场我们也看到攻击者留下的大量相关对抗、扫描工具,个别失陷环境中攻击者光是使用的密码抓取工具就有数十款之多。
2.威胁公开机密数据成勒索攻击新手段
勒索病毒发展历程中,攻击者勒索的加密币种包括门罗币、达世币、比特币、平台代金券等。观察2019年相关数据可知,基于匿名性,稳定性,便捷性,相对保值性等特点,比特币已基本成为勒索市场中唯一不二的硬通货。付款方式上,基本使用虚拟货币钱包转账。勒索交涉的沟通过程中,使用IM工具私信的方式在大型攻击中已消失(少量恶搞、锁机类低赎金还在使用),攻击者多选择以匿名、非匿名邮箱沟通交涉,或使用Tor登录暗网,浏览器直接访问明网相应站点使用相应的赎金交涉服务。
2019年,勒索病毒团伙也开始偏向于赎金定制化,对不同目标要价各不相同,往往根据被加密数据的潜在价值定价(通常在5K-10w***),勒索病毒运营者的这种手法大幅提高了单笔勒索收益。这也导致个别大型政企机构在遭受到针对性的加密攻击后,被开出的勒索金额高达数百万元。当企业有完善的数据备份方案,拒绝缴纳赎金时,勒索团伙则采取另一种手段:威胁泄露受害者的机密文件来勒索。下图为Maze病毒团伙在数据加密勒索企业失败后,公开放出了被攻击企业2GB私密数据。
Sodinokibi勒索团伙也在黑客论坛发声,称如果被攻击者拒绝拒绝缴纳赎金,则会将其商业信息出售给其竞争对手。通过加密前先窃取企业重要数据,当企业拒绝交付解密赎金情况时,再以公开机密数据为筹码,对企业实施威胁勒索。数据泄露对大型企业而言,带来的损失可能更加严重,不仅会造成严重的经济损失,还会使企业形象受损,造成严重的负面影响。
3.僵尸网络与勒索病毒相互勾结
僵尸网络是一种通过多重传播手段,将大量主机感染bot程序,从而在控制者和感染僵尸网络程序之间所形成的一对多控制的网络,僵尸网络拥有丰富的资源(肉鸡),勒索病毒团伙与其合作可迅速提升其勒索规模,进而直接有效增加勒索收益。在2019年,国内借助僵尸网络实施的勒索攻击趋势也进一步提升,我们观察到主要有以下相互勾结。
A.Emotet僵尸网络伙同Ryuk实施勒索:
Ryuk勒索病毒家族起源于Hermes家族,最早的活跃迹象可追溯到2018年8月,国内自2019年7月开始有活动迹象,该团伙的特征之一为勒索赎金额度通常极高(超过百万),观察国内被勒索环境中可知,该染毒环境中同时会伴随着Emotet病毒的检出,而国外也有相关分析,指出该病毒常借助Trickbot,Emotet进行分发。
B.Phorpiex僵尸网络伙同Nemty实施勒索:
Nemty 病毒在国内早期主要依靠垃圾邮件传播,在2019年中也依靠Phorpiex僵尸网络大面积投递,下图中IP:185.176.27.132,腾讯安图情报平台中已标识为Phorpiex僵尸网络资产,其上投递了Nemty 1.6版本的勒索变种,此次病毒间的勾结行为导致在2019年国庆期间Nemty勒索病毒一度高发,国内多家企业受到Nemty勒索病毒影响。
C.Phorpiex僵尸网络伙同GandCrab实施的勒索:
GandCrab勒索病毒首次出现于2018年1月,也是2019上半年是最为活跃的病毒之一。该病毒在一年多的时间里经历了5个大版本的迭代,于2019年6月1日在社交媒体公开宣布已成功勒索20亿美元将停止运营,GandCrab勒索病毒的整个历程与使用Phorpiex僵尸网络长期投递有密不可分的关系。
D.Phorpiex僵尸网络群发勒索恐吓邮件:
你可能收到过类似的邮件:“你已经感染了我的私人木马,我知道你的所有密码和隐私信息(包括隐私视频),唯一让我停下来的方式就是三天内向我支付价值900美元的比特币。”Phorpiex僵尸网络利用网络中的历史泄漏邮箱信息,对千万级别的邮箱发起了诈骗勒索,当命中收件人隐私信息后,利用收件人的恐慌心里,进而成功实施欺诈勒索。勒索过程中,受害者由于担心自己隐私信息遭受进一步的泄漏,极容易陷入勒索者的圈套,从而受骗缴纳赎金。
4.丧心病狂的反复加密,文件名加密
腾讯安全御见威胁情报中心在日常处理勒索病毒的现场发现,有个别系统内同时被多个勒索病毒感染。后来的攻击者在面对文件已被加密的失陷系统,依然将已损坏数据再次加密。导致受害者需缴纳两次赎金,且由于解密测试过程无法单一验证,即使缴纳赎金,数据还原难度也有所提高。同时还注意到部分勒索病毒并不满足于加密文件,连同文件名也一同进行修改,从侧面反映出勒索病毒运营者也存在竞争激烈,攻击者对赎金的追求已丧心病狂。
5.中文定制化
中国作为拥有8亿多网民的网络应用大国,毫无疑问成为勒索病毒攻击的重要目标,一部分勒索病毒运营者开始在勒索信、暗网服务页面提供中文语言界面。
三、2019年勒索病毒攻击数据盘点
2019全年中,勒索病毒攻击以1月份攻击次数最多,下半年整体攻击次数较上半年有所下降。但根据腾讯安全威胁情报中心接收到的众多反馈数据,下半年企业遭受勒索病毒攻击的反馈数不减反增,主要原因为部分老牌勒索家族对企业网络的攻击更加精准,致企业遭遇勒索病毒的损失更加严重。
从2019我们接受到的勒索反馈来看,通过加密用户系统内的重要资料文档,数据,再勒索虚拟币实施犯罪仍为当前勒索病毒攻击的的主要形式。使用群发勒索恐吓邮件,命中收件人隐私信息后,再利用收件人的恐慌心里,实施欺诈勒索的方式也较为流行。加密数据勒索不成以泄漏数据再次胁迫企业的方式也成为了勒索团伙新的盈利模式(Maze和Sodinokibi已使用)。以锁定系统的方式进行勒索多以易语言为代表编写的游戏外挂、辅助工具中。同时也有极少数以勒索攻击为表象,以消除入侵痕迹掩盖真相为目的的攻击事件,该类型的勒索病毒通常出现在部分定向窃密行动中。
观察2019全年勒索病毒感染地域数据可知,国内遭受勒索病毒攻击中,广东,北京,江苏,上海,河北,山东最为严重,其它省份也有遭受到不同程度攻击。传统企业,教育,政府机构遭受攻击最为严重,互联网,医疗,金融,能源紧随其后。
2019全年勒索病毒攻击方式依然以弱口令爆破为主,其次为通过海量的垃圾邮件传播,勾结僵尸网络发起的攻击有上升趋势。勒索病毒也通过高危漏洞,软件供应链形等形式传播。
四、2019国内勒索家族活跃Top榜
观察2019全年勒索病毒活跃度,GlobeImposter家族最为活跃,该病毒在国内传播主要以其12生肖系列,12主神系列为主(加密扩展后缀中包含相关英文,例如:.Zeus865),各政企机构都是其重点攻击目标。其次为Crysis系列家族,该家族伙同其衍生Phobos系列一同持续活跃,紧随GlobeImposter之后。GandCrab家族虽然在2019年6月1日宣布停止运营,但在之后短时间内依然有部分余毒扩散,该病毒以出道16个月,非法获利20亿美元结束传播,虽然其2019生命周期只有一半,但其疯狂敛财程度堪称年度之最。紧随其后的则是被称为GandCrab接班人的Sodinokibi,该病毒在传播手法,作案方式,病毒行为上于GandCrab有许多相似,为2019年勒索病毒中最具威胁的新型家族之一。Stop家族则寄生于大量的破解软件中,持续攻击加密了国内大量技术人员的工程制图,音频,视频制作材料。老牌勒索家族持续活跃,新的勒索病毒不断涌现。越来越多的不法分子参与到这个黑产行业中来。
GlobeImposter
GlobeImposter出现于2017年中,加密文件完成后会留下名为HOW TO BACK YOURFILES.(txt html exe)类型的勒索说明文件。该病毒加密扩展后缀繁多,其规模使用且感染泛滥的类型有12生肖4444,12生肖/主神666,12生肖/主神865,12生肖/主神865qq等系列,由于该病毒出现至今仍然无有效的解密工具,各政企机构需提高警惕。
Crysis
Crysis勒索病毒从2016年开始具有勒索活动 ,加密文件完成后通常会添加“ID+邮箱+指定后缀”格式的扩展后缀,例:“id-编号.[gracey1c6rwhite@aol.com].bip”,其家族衍生Phobos系列变种在今年2月开始也有所活跃。该病毒通常使用弱口令爆破的方式入侵企业服务器,安全意识薄弱的企业由于多台机器使用同一弱密码,面对该病毒极容易引起企业内服务器的大面积感染,进而造成业务系统瘫痪。
GandCrab
GandCrab勒索病毒首次出现于2018年1月,是国内首个使用达世币(DASH)作为赎金的勒索病毒,也是2019上半年是最为活跃的病毒之一。该病毒在一年多的时间里经历了5个大版本的迭代,该病毒作者也一直和安全厂商、执法部门斗智斗勇。该病毒在国内擅长使用弱口令爆破,挂马,垃圾邮件等各种方式传播。
2018年10月16日,一位叙利亚用户在推特表示,GandCrab病毒加密了他的电脑文件,因无力支付勒索赎金,他再也无法看到因为战争丧生的小儿子的照片。随后GandCrab放出了叙利亚地区的部分密钥,并在之后的病毒版本中将叙利亚地区列入白名单不再感染,这也是国内有厂商将其命名为“侠盗勒索”的原因。
2019年6月1日,GandCrab运营团队在某俄语论坛公开声明“从出道到现在的16个月内共赚到20多亿美金,平均每人每年入账1.5亿,并成功将这些钱洗白。同时宣布关闭勒索服务,停止运营团队,后续也不会放出用于解密的密钥,往后余生,要挥金如土,风流快活去”。
2019年6月17日,Bitdefender联合罗马尼亚与欧洲多地区警方一起通过线上线下联合打击的方式,实现了对GandCrab最新病毒版本v5.2的解密。该事件也标志着GandCrab勒索团伙故事的终结。
Sodinokibi
Sodinokibi勒索病毒首次出现于2019年4月底,由于之后GandCrab停止运营事件,该病毒紧跟其后将GandCrab勒索家族的多个传播渠道纳入自身手中。该病毒目前在国内主要通过web相关漏洞和海量的钓鱼邮件传播,也被国内厂商称为GandCrab的“接班人”,从该病毒传播感染势头来看,毫无疑问是勒索黑产中的一颗上升的新星。
Stop
Stop勒索病毒家族在国内主要通过破解软件等工具捆绑进行传播,加密时通常需要下载其它病毒辅助工作模块。Stop勒索病毒使用勒索后缀变化极为频繁,通常勒索980美元,并声称72小时内联系病毒作者将获得50%费用减免,同时,该病毒除加密文件外,还具备以下行为特点。
1.加密时,禁用任务管理器、禁用Windows Defender、关闭Windows Defender的实时监控功能;
2.通过修改hosts文件阻止系统访问全球范围内大量安全厂商的网站;
3.因病毒执行加密时,会造成系统明显卡顿,为掩人耳目,病毒会弹出伪造的Windows 自动更新窗口;
4.释放一个被人为修改后不显示界面的TeamViewer模块,用来实现对目标电脑的远程控制;
5..下载AZORult窃密木马,以窃取用户浏览器、邮箱、多个聊天工具的用户名密码;
Paradise
Paradise勒索病毒最早出现于2018年7月,该病毒勒索弹窗样式与Crysis极为相似,勒索病毒加密文件完成后将修改文件名为以下格式:[原文件名]_[随机字符串]_{邮箱}.随机后缀,并留下名为Instructions with your files.txt或###_INFO_you_FILE_###.txt 的勒索说明文档。
Maze
Maze(迷宫)勒索病毒也叫ChaCha勒索病毒,擅长使用Fallout EK漏洞利用工具通过网页挂马等方式传播。被挂马的网页,多见于黄赌毒相关页面,通常会逐步扩大到盗版软件、游戏外挂(或破解)、盗版影视作品下载,以及某些软件内嵌的广告页面,该病毒的特点之一是称根据染毒机器的价值来确认勒索所需的具体金额,该勒索病毒同时也是将数据加密勒索转向数据泄露的先行者。
Nemty
NEMTY勒索病毒出现于今年8月,该病毒早期版本加密文件完成后会添加NEMTY扩展后缀,也因此得名。NEMTY 变种病毒加密文件完成后会添加“._NEMTY_random_7个随机字符”扩展名后缀,由于该病毒与Phorpiex僵尸网络合作,在2019年国庆期间感染量有一次爆发增长,该病毒会避开感染俄罗斯、白俄罗斯、乌克兰及多个中亚国家。
Medusalocker
Medusalocker该病毒出现于2019年10月,已知该病毒主要通过钓鱼欺诈邮件及托口令爆破传播。该病毒早期版本加密文件完成后添加扩展后缀.encrypted,最新传播病毒版本加密文件后添加.ReadTheInstructions扩展后缀。攻击者会向受害者勒索1BTC(比特币),市值约6.5万元。
Ryuk
Ryuk的特点之一是倾向于攻击数据价值较高的政企机构,且赎金普遍极高(最近联系作者要价11个比特币,价值约75万元RMB,在国外该病毒开出的赎金额度通常高达数百万RMB),Ryuk勒索家族起源于Hermes家族,最早的活跃迹象可追溯到2018年8月,国内发现该病毒的投递与Emotet僵尸网络有着密不可分的关系。
五、勒索病毒未来发展方向
1、勒索病毒与安全软件的对抗加剧
随着安全软件对勒索病毒的解决方案成熟完善,勒索病毒更加难以成功入侵用户电脑,病毒传播者会不断升级对抗技术方案。
2、勒索病毒传播场景多样化
过去勒索病毒传播主要以钓鱼邮件为主,现在勒索病毒更多利用了高危漏洞、鱼叉式攻击,或水坑攻击等方式传播,乃至通过软件供应量传播,都大大提高了入侵成功率。
3、勒索病毒攻击目标转向企业用户
个人电脑大多能够使用安全软件完成漏洞修补,在遭遇勒索病毒攻击时,个人用户往往会放弃数据,恢复系统。而企业用户在没有及时备份的情况下,会倾向于支付赎金,挽回数据。因此,已发现越来越多攻击目标是政府机关、企业、医院、学校。
4、勒索病毒更新迭代加快
随着安全厂商与警方的不断努力,越来越多的勒索病毒将会被破解,被打击,这也将加剧黑产从业者对病毒进行更新迭代。
5、勒索赎金定制化,赎金进一步提高
随着用户安全意识提高、安全软件防御能力提升,勒索病毒入侵成本越来越高,攻击者更偏向于向不同企业开出不同价格的勒索赎金,定制化的赎金方案能有效提升勒索成功率,直接提升勒索收益。如某公司被勒索病毒入侵后,竟被勒索9.5个比特币,还有Ryuk团伙动辄开出上百万的勒索赎金单,都代表勒索病毒赎金未来会有进一步的提高。
6、勒索病毒开发门槛降低
观察近期勒索病毒开发语言类型可知,越来越多基于脚本语言开发出的勒索病毒开始涌现,甚至开始出现使用中文编程“易语言”开发的勒索病毒。例如使用Python系列的“Py-Locker”勒索病毒,易语言供应链传播闹的沸沸扬扬的“unname1889”勒索病毒,甚至利用bat脚本结合Winrar相关模块直接对文件进行压缩包密码加密的“FakeGlobeimposter”病毒等,门槛低意味着将有更多的黑产人群进入勒索产业这个领域,也意味着该病毒将持续发展泛滥。
7、勒索病毒产业化
随着勒索病毒的不断涌现,腾讯安全御见威胁情报中心观察到勒索代理同样繁荣。当企业遭遇勒索病毒攻击,关键业务数据被加密,而理论上根本无法解密时,勒索代理机构,承接了受害者和攻击者之间谈判交易恢复数据的业务。我们注意到勒索代理机构常年购买搜索关键字广告承接生意。
8、勒索病毒多平台扩散
目前受到的勒索病毒攻击主要是windows系统,但是管家也陆续发现了MacOS、Android等平台的勒索病毒,随着windows的防范措施完善和攻击者永不满足的贪欲,未来勒索病毒在其他平台的影响力也会逐步增大。
9、勒索病毒黑产参与者持续上升,勒索病毒影响规模进一步扩大
GandCrab通过16个月赚够20亿美金高调“退休”的故事被广为流传,可以预见,此事件将引爆黑暗中更多人的贪欲,在未来相当长一段时间内,将会有越来越多的人投身勒索行业,黑产从业者将持续上升。随着各类型病毒木马盈利模式一致,各类型病毒均有可能随时附加勒索属性。蠕虫,感染,僵尸网络,挖矿木马,在充分榨干感染目标剩余价值后,都极有可能下发勒索模块进行最后一步敲诈,2019年老的勒索家族持续活跃,新的勒索病毒也层出不穷,可预测未来由勒索病毒导致的网络攻击将依然是企业安全面临的重要问题之一。
六、勒索病毒防范措施
企业用户参考以下措施
A、定期进行安全培训,日常安全管理可参考“三不三要”思路
1.不上钩:标题吸引人的未知邮件不要点开
2.不打开:不随便打开电子邮件附件
3.不点击:不随意点击电子邮件中附带网址
4.要备份:重要资料要备份
5.要确认:开启电子邮件前确认发件人可信
6.要更新:系统补丁/安全软件病毒库保持实时更新
B、全网安装专业的终端安全管理软件,由管理员批量杀毒和安装补丁,后续定期更新各类系统高危补丁。
C、部署流量监控/阻断类设备/软件,便于事前发现,事中阻断和事后回溯。
D、建议由于其他原因不能及时安装补丁的系统,考虑在网络边界、路由器、防火墙上设置严格的访问控制策略,以保证网络的动态安全。
E、使用内网强制密码安全策略来避免使用简单密码。
1.建议对于存在弱口令或是空口令的服务,在一些关键服务上,应加强口令强度,同时需使用加密传输方式,对于一些可关闭的服务来说,建议关闭不要的服务端口以达到安全目的。不使用相同口令管理多台关键服务器。
2.建议对数据库账户密码策略建议进行配置,对最大错误登录次数、超过有效次数进行锁定、密码有效期、到期后的宽限时间、密码重用等策略进行加固设置。
F、建议网络管理员、系统管理员、安全管理员关注安全信息、安全动态及最新的严重漏洞,攻与防的循环,伴随每个主流操作系统、应用服务的生命周期。
G、建议对数据库的管理访问节点地址进行严格限制,只允许特定管理主机IP进行远程登录数据库。
H、做好安全灾备方案,可按数据备份三二一原则来指导实施
1、至少准备三份:重要数据备份两份
2、两种不同形式:将数据备份在两种不同的存储类型,如服务器/移动硬盘/云端/光盘等
3、一份异地备份:至少一份备份存储在异地,当发生意外时保证有一份备份数据安全。
个人用户启用安全防护软件
腾讯电脑管家可对各勒索病毒家族变种及时防御拦截,同时管家文档守护者通过集成多个主流勒索家族的解密方案,通过完善的数据备份防护方案,在2019中为数千万的管家用户提供文档保护恢复服务。通过自研解密方案成功为上千名不幸感染勒索病毒者提供了解密服务,帮助其成功恢复了被病毒加密的文件。
利用电脑管家内置文档守护者尝试恢复数据
一、概述
勒索病毒作为全球最严峻的网络安全威胁之一,2019年持续对全球范围内的医疗、教育、能源、交通等社会基础服务设施,社会支柱产业造成重创。围绕目标优质化、攻击精准化、赎金定制化的勒索策略,以数据加密为核心,同时展开数据窃取、诈骗恐吓的勒索战术稳定成型,促使勒索病毒在2019年索取赎金的额度有明显增长。老的勒索家族持续活跃,新的勒索病毒层出不穷,犯罪行为愈演愈烈,安全形势不容乐观。
勒索病毒攻击2019典型事件:
2019年3月初,国内发现大量境外黑客组织借助恶意邮件传播的GandCrab勒索病毒,黑客通过假冒司法机构发件人,成功攻击感染了我国多个政企机构内网,随后我国多地区机构发起安全预警。
2019年3月下旬,世界最大的铝产品生产商之一挪威海德鲁公司(Norsk Hydro)遭遇勒索软件公司,随后该公司被迫关闭了几条自动化生产线,损失不可估量。
2019年5月26日,易到用车发布公告称其服务器遭受到连续攻击,服务器内核心数据被加密,攻击者索要巨额的比特币。易到表示严厉谴责该不法行为,并已报警。
2019年5月29日,美国佛罗里达州里维埃拉海滩警察局因员工运行了恶意的电子邮件,从而导致该城市基础服务设施遭受勒索软件加密。市政官员于随后召开会议,批准通过一笔大约60万美元的资金用于支付勒索赎金。
2019年6月中旬,世界最大飞机零件供应商之一ASCO遭遇勒索病毒攻击,由于被病毒攻击导致的生产环境系统瘫痪,该公司将1400名工人中大约1000人送回家带薪休假,同时停止了四个国家的工厂生产。
2019年9月22日,国内某大型建筑设计有限公司遭到勒索病毒攻击,被勒索的每台电脑要给出1.5个比特币才能解锁,该公司的电脑全面崩溃,所有图纸都无法外发,该事件引发微博热议。
2019年10月,全球最大的助听器制造商之一Demant遭受勒索病毒入侵,该公司是目前听力行业唯一产品线涵盖助听器、人工中耳、骨导助听器、电子耳蜗及调频语训系统的全面听力解决方案提供者,全球听力检测设备领域的领先者,攻击导致的造成的损失高达9500W美元。
2019年12月,Maze(迷宫)勒索团伙向Southwire集团勒索600W美元,Southwire是北美领先的电线电缆制造商之一,勒索团伙声称:如果Southwire不交赎金,则会在网络上公布该公司的泄漏的120G重要数据。
二、2019年勒索病毒特点总结:
1.老牌勒索家族转向精准化,高质量的狩猎行动
观察过去一年腾讯安全威胁情报中心收到的勒索求助反馈,主流老牌勒索家族(如GlobeImposter,Crysis)实施的勒索攻击中,企业用户占据了其绝大部分。这意味着老牌勒索家族已经从广撒网无差别模式的攻击,转变为精准化、高质量的行动,该转变使攻击者每次攻击行动后的收益转化过程更有效。而企业服务器被攻陷则多为对外开放相关服务使用弱口令导致,当企业内一台服务器被攻失陷,攻击者则会将该机器作为跳板机,继续尝试攻击其它局域网内的重要资产,在部分勒索感染现场我们也看到攻击者留下的大量相关对抗、扫描工具,个别失陷环境中攻击者光是使用的密码抓取工具就有数十款之多。
2.威胁公开机密数据成勒索攻击新手段
勒索病毒发展历程中,攻击者勒索的加密币种包括门罗币、达世币、比特币、平台代金券等。观察2019年相关数据可知,基于匿名性,稳定性,便捷性,相对保值性等特点,比特币已基本成为勒索市场中唯一不二的硬通货。付款方式上,基本使用虚拟货币钱包转账。勒索交涉的沟通过程中,使用IM工具私信的方式在大型攻击中已消失(少量恶搞、锁机类低赎金还在使用),攻击者多选择以匿名、非匿名邮箱沟通交涉,或使用Tor登录暗网,浏览器直接访问明网相应站点使用相应的赎金交涉服务。
2019年,勒索病毒团伙也开始偏向于赎金定制化,对不同目标要价各不相同,往往根据被加密数据的潜在价值定价(通常在5K-10w***),勒索病毒运营者的这种手法大幅提高了单笔勒索收益。这也导致个别大型政企机构在遭受到针对性的加密攻击后,被开出的勒索金额高达数百万元。当企业有完善的数据备份方案,拒绝缴纳赎金时,勒索团伙则采取另一种手段:威胁泄露受害者的机密文件来勒索。下图为Maze病毒团伙在数据加密勒索企业失败后,公开放出了被攻击企业2GB私密数据。
Sodinokibi勒索团伙也在黑客论坛发声,称如果被攻击者拒绝拒绝缴纳赎金,则会将其商业信息出售给其竞争对手。通过加密前先窃取企业重要数据,当企业拒绝交付解密赎金情况时,再以公开机密数据为筹码,对企业实施威胁勒索。数据泄露对大型企业而言,带来的损失可能更加严重,不仅会造成严重的经济损失,还会使企业形象受损,造成严重的负面影响。
3.僵尸网络与勒索病毒相互勾结
僵尸网络是一种通过多重传播手段,将大量主机感染bot程序,从而在控制者和感染僵尸网络程序之间所形成的一对多控制的网络,僵尸网络拥有丰富的资源(肉鸡),勒索病毒团伙与其合作可迅速提升其勒索规模,进而直接有效增加勒索收益。在2019年,国内借助僵尸网络实施的勒索攻击趋势也进一步提升,我们观察到主要有以下相互勾结。
A.Emotet僵尸网络伙同Ryuk实施勒索:
Ryuk勒索病毒家族起源于Hermes家族,最早的活跃迹象可追溯到2018年8月,国内自2019年7月开始有活动迹象,该团伙的特征之一为勒索赎金额度通常极高(超过百万),观察国内被勒索环境中可知,该染毒环境中同时会伴随着Emotet病毒的检出,而国外也有相关分析,指出该病毒常借助Trickbot,Emotet进行分发。
B.Phorpiex僵尸网络伙同Nemty实施勒索:
Nemty 病毒在国内早期主要依靠垃圾邮件传播,在2019年中也依靠Phorpiex僵尸网络大面积投递,下图中IP:185.176.27.132,腾讯安图情报平台中已标识为Phorpiex僵尸网络资产,其上投递了Nemty 1.6版本的勒索变种,此次病毒间的勾结行为导致在2019年国庆期间Nemty勒索病毒一度高发,国内多家企业受到Nemty勒索病毒影响。
C.Phorpiex僵尸网络伙同GandCrab实施的勒索:
GandCrab勒索病毒首次出现于2018年1月,也是2019上半年是最为活跃的病毒之一。该病毒在一年多的时间里经历了5个大版本的迭代,于2019年6月1日在社交媒体公开宣布已成功勒索20亿美元将停止运营,GandCrab勒索病毒的整个历程与使用Phorpiex僵尸网络长期投递有密不可分的关系。
D.Phorpiex僵尸网络群发勒索恐吓邮件:
你可能收到过类似的邮件:“你已经感染了我的私人木马,我知道你的所有密码和隐私信息(包括隐私视频),唯一让我停下来的方式就是三天内向我支付价值900美元的比特币。”Phorpiex僵尸网络利用网络中的历史泄漏邮箱信息,对千万级别的邮箱发起了诈骗勒索,当命中收件人隐私信息后,利用收件人的恐慌心里,进而成功实施欺诈勒索。勒索过程中,受害者由于担心自己隐私信息遭受进一步的泄漏,极容易陷入勒索者的圈套,从而受骗缴纳赎金。
4.丧心病狂的反复加密,文件名加密
腾讯安全御见威胁情报中心在日常处理勒索病毒的现场发现,有个别系统内同时被多个勒索病毒感染。后来的攻击者在面对文件已被加密的失陷系统,依然将已损坏数据再次加密。导致受害者需缴纳两次赎金,且由于解密测试过程无法单一验证,即使缴纳赎金,数据还原难度也有所提高。同时还注意到部分勒索病毒并不满足于加密文件,连同文件名也一同进行修改,从侧面反映出勒索病毒运营者也存在竞争激烈,攻击者对赎金的追求已丧心病狂。
5.中文定制化
中国作为拥有8亿多网民的网络应用大国,毫无疑问成为勒索病毒攻击的重要目标,一部分勒索病毒运营者开始在勒索信、暗网服务页面提供中文语言界面。
三、2019年勒索病毒攻击数据盘点
2019全年中,勒索病毒攻击以1月份攻击次数最多,下半年整体攻击次数较上半年有所下降。但根据腾讯安全威胁情报中心接收到的众多反馈数据,下半年企业遭受勒索病毒攻击的反馈数不减反增,主要原因为部分老牌勒索家族对企业网络的攻击更加精准,致企业遭遇勒索病毒的损失更加严重。
从2019我们接受到的勒索反馈来看,通过加密用户系统内的重要资料文档,数据,再勒索虚拟币实施犯罪仍为当前勒索病毒攻击的的主要形式。使用群发勒索恐吓邮件,命中收件人隐私信息后,再利用收件人的恐慌心里,实施欺诈勒索的方式也较为流行。加密数据勒索不成以泄漏数据再次胁迫企业的方式也成为了勒索团伙新的盈利模式(Maze和Sodinokibi已使用)。以锁定系统的方式进行勒索多以易语言为代表编写的游戏外挂、辅助工具中。同时也有极少数以勒索攻击为表象,以消除入侵痕迹掩盖真相为目的的攻击事件,该类型的勒索病毒通常出现在部分定向窃密行动中。
观察2019全年勒索病毒感染地域数据可知,国内遭受勒索病毒攻击中,广东,北京,江苏,上海,河北,山东最为严重,其它省份也有遭受到不同程度攻击。传统企业,教育,政府机构遭受攻击最为严重,互联网,医疗,金融,能源紧随其后。
2019全年勒索病毒攻击方式依然以弱口令爆破为主,其次为通过海量的垃圾邮件传播,勾结僵尸网络发起的攻击有上升趋势。勒索病毒也通过高危漏洞,软件供应链形等形式传播。
四、2019国内勒索家族活跃Top榜
观察2019全年勒索病毒活跃度,GlobeImposter家族最为活跃,该病毒在国内传播主要以其12生肖系列,12主神系列为主(加密扩展后缀中包含相关英文,例如:.Zeus865),各政企机构都是其重点攻击目标。其次为Crysis系列家族,该家族伙同其衍生Phobos系列一同持续活跃,紧随GlobeImposter之后。GandCrab家族虽然在2019年6月1日宣布停止运营,但在之后短时间内依然有部分余毒扩散,该病毒以出道16个月,非法获利20亿美元结束传播,虽然其2019生命周期只有一半,但其疯狂敛财程度堪称年度之最。紧随其后的则是被称为GandCrab接班人的Sodinokibi,该病毒在传播手法,作案方式,病毒行为上于GandCrab有许多相似,为2019年勒索病毒中最具威胁的新型家族之一。Stop家族则寄生于大量的破解软件中,持续攻击加密了国内大量技术人员的工程制图,音频,视频制作材料。老牌勒索家族持续活跃,新的勒索病毒不断涌现。越来越多的不法分子参与到这个黑产行业中来。
GlobeImposter
GlobeImposter出现于2017年中,加密文件完成后会留下名为HOW TO BACK YOURFILES.(txt html exe)类型的勒索说明文件。该病毒加密扩展后缀繁多,其规模使用且感染泛滥的类型有12生肖4444,12生肖/主神666,12生肖/主神865,12生肖/主神865qq等系列,由于该病毒出现至今仍然无有效的解密工具,各政企机构需提高警惕。
Crysis
Crysis勒索病毒从2016年开始具有勒索活动 ,加密文件完成后通常会添加“ID+邮箱+指定后缀”格式的扩展后缀,例:“id-编号.[gracey1c6rwhite@aol.com].bip”,其家族衍生Phobos系列变种在今年2月开始也有所活跃。该病毒通常使用弱口令爆破的方式入侵企业服务器,安全意识薄弱的企业由于多台机器使用同一弱密码,面对该病毒极容易引起企业内服务器的大面积感染,进而造成业务系统瘫痪。
GandCrab
GandCrab勒索病毒首次出现于2018年1月,是国内首个使用达世币(DASH)作为赎金的勒索病毒,也是2019上半年是最为活跃的病毒之一。该病毒在一年多的时间里经历了5个大版本的迭代,该病毒作者也一直和安全厂商、执法部门斗智斗勇。该病毒在国内擅长使用弱口令爆破,挂马,垃圾邮件等各种方式传播。
2018年10月16日,一位叙利亚用户在推特表示,GandCrab病毒加密了他的电脑文件,因无力支付勒索赎金,他再也无法看到因为战争丧生的小儿子的照片。随后GandCrab放出了叙利亚地区的部分密钥,并在之后的病毒版本中将叙利亚地区列入白名单不再感染,这也是国内有厂商将其命名为“侠盗勒索”的原因。
2019年6月1日,GandCrab运营团队在某俄语论坛公开声明“从出道到现在的16个月内共赚到20多亿美金,平均每人每年入账1.5亿,并成功将这些钱洗白。同时宣布关闭勒索服务,停止运营团队,后续也不会放出用于解密的密钥,往后余生,要挥金如土,风流快活去”。
2019年6月17日,Bitdefender联合罗马尼亚与欧洲多地区警方一起通过线上线下联合打击的方式,实现了对GandCrab最新病毒版本v5.2的解密。该事件也标志着GandCrab勒索团伙故事的终结。
Sodinokibi
Sodinokibi勒索病毒首次出现于2019年4月底,由于之后GandCrab停止运营事件,该病毒紧跟其后将GandCrab勒索家族的多个传播渠道纳入自身手中。该病毒目前在国内主要通过web相关漏洞和海量的钓鱼邮件传播,也被国内厂商称为GandCrab的“接班人”,从该病毒传播感染势头来看,毫无疑问是勒索黑产中的一颗上升的新星。
Stop
Stop勒索病毒家族在国内主要通过破解软件等工具捆绑进行传播,加密时通常需要下载其它病毒辅助工作模块。Stop勒索病毒使用勒索后缀变化极为频繁,通常勒索980美元,并声称72小时内联系病毒作者将获得50%费用减免,同时,该病毒除加密文件外,还具备以下行为特点。
1.加密时,禁用任务管理器、禁用Windows Defender、关闭Windows Defender的实时监控功能;
2.通过修改hosts文件阻止系统访问全球范围内大量安全厂商的网站;
3.因病毒执行加密时,会造成系统明显卡顿,为掩人耳目,病毒会弹出伪造的Windows 自动更新窗口;
4.释放一个被人为修改后不显示界面的TeamViewer模块,用来实现对目标电脑的远程控制;
5..下载AZORult窃密木马,以窃取用户浏览器、邮箱、多个聊天工具的用户名密码;
Paradise
Paradise勒索病毒最早出现于2018年7月,该病毒勒索弹窗样式与Crysis极为相似,勒索病毒加密文件完成后将修改文件名为以下格式:[原文件名]_[随机字符串]_{邮箱}.随机后缀,并留下名为Instructions with your files.txt或###_INFO_you_FILE_###.txt 的勒索说明文档。
Maze
Maze(迷宫)勒索病毒也叫ChaCha勒索病毒,擅长使用Fallout EK漏洞利用工具通过网页挂马等方式传播。被挂马的网页,多见于黄赌毒相关页面,通常会逐步扩大到盗版软件、游戏外挂(或破解)、盗版影视作品下载,以及某些软件内嵌的广告页面,该病毒的特点之一是称根据染毒机器的价值来确认勒索所需的具体金额,该勒索病毒同时也是将数据加密勒索转向数据泄露的先行者。
Nemty
NEMTY勒索病毒出现于今年8月,该病毒早期版本加密文件完成后会添加NEMTY扩展后缀,也因此得名。NEMTY 变种病毒加密文件完成后会添加“._NEMTY_random_7个随机字符”扩展名后缀,由于该病毒与Phorpiex僵尸网络合作,在2019年国庆期间感染量有一次爆发增长,该病毒会避开感染俄罗斯、白俄罗斯、乌克兰及多个中亚国家。
Medusalocker
Medusalocker该病毒出现于2019年10月,已知该病毒主要通过钓鱼欺诈邮件及托口令爆破传播。该病毒早期版本加密文件完成后添加扩展后缀.encrypted,最新传播病毒版本加密文件后添加.ReadTheInstructions扩展后缀。攻击者会向受害者勒索1BTC(比特币),市值约6.5万元。
Ryuk
Ryuk的特点之一是倾向于攻击数据价值较高的政企机构,且赎金普遍极高(最近联系作者要价11个比特币,价值约75万元RMB,在国外该病毒开出的赎金额度通常高达数百万RMB),Ryuk勒索家族起源于Hermes家族,最早的活跃迹象可追溯到2018年8月,国内发现该病毒的投递与Emotet僵尸网络有着密不可分的关系。
五、勒索病毒未来发展方向
1、勒索病毒与安全软件的对抗加剧
随着安全软件对勒索病毒的解决方案成熟完善,勒索病毒更加难以成功入侵用户电脑,病毒传播者会不断升级对抗技术方案。
2、勒索病毒传播场景多样化
过去勒索病毒传播主要以钓鱼邮件为主,现在勒索病毒更多利用了高危漏洞、鱼叉式攻击,或水坑攻击等方式传播,乃至通过软件供应量传播,都大大提高了入侵成功率。
3、勒索病毒攻击目标转向企业用户
个人电脑大多能够使用安全软件完成漏洞修补,在遭遇勒索病毒攻击时,个人用户往往会放弃数据,恢复系统。而企业用户在没有及时备份的情况下,会倾向于支付赎金,挽回数据。因此,已发现越来越多攻击目标是政府机关、企业、医院、学校。
4、勒索病毒更新迭代加快
随着安全厂商与警方的不断努力,越来越多的勒索病毒将会被破解,被打击,这也将加剧黑产从业者对病毒进行更新迭代。
5、勒索赎金定制化,赎金进一步提高
随着用户安全意识提高、安全软件防御能力提升,勒索病毒入侵成本越来越高,攻击者更偏向于向不同企业开出不同价格的勒索赎金,定制化的赎金方案能有效提升勒索成功率,直接提升勒索收益。如某公司被勒索病毒入侵后,竟被勒索9.5个比特币,还有Ryuk团伙动辄开出上百万的勒索赎金单,都代表勒索病毒赎金未来会有进一步的提高。
6、勒索病毒开发门槛降低
观察近期勒索病毒开发语言类型可知,越来越多基于脚本语言开发出的勒索病毒开始涌现,甚至开始出现使用中文编程“易语言”开发的勒索病毒。例如使用Python系列的“Py-Locker”勒索病毒,易语言供应链传播闹的沸沸扬扬的“unname1889”勒索病毒,甚至利用bat脚本结合Winrar相关模块直接对文件进行压缩包密码加密的“FakeGlobeimposter”病毒等,门槛低意味着将有更多的黑产人群进入勒索产业这个领域,也意味着该病毒将持续发展泛滥。
7、勒索病毒产业化
随着勒索病毒的不断涌现,腾讯安全御见威胁情报中心观察到勒索代理同样繁荣。当企业遭遇勒索病毒攻击,关键业务数据被加密,而理论上根本无法解密时,勒索代理机构,承接了受害者和攻击者之间谈判交易恢复数据的业务。我们注意到勒索代理机构常年购买搜索关键字广告承接生意。
8、勒索病毒多平台扩散
目前受到的勒索病毒攻击主要是windows系统,但是管家也陆续发现了MacOS、Android等平台的勒索病毒,随着windows的防范措施完善和攻击者永不满足的贪欲,未来勒索病毒在其他平台的影响力也会逐步增大。
9、勒索病毒黑产参与者持续上升,勒索病毒影响规模进一步扩大
GandCrab通过16个月赚够20亿美金高调“退休”的故事被广为流传,可以预见,此事件将引爆黑暗中更多人的贪欲,在未来相当长一段时间内,将会有越来越多的人投身勒索行业,黑产从业者将持续上升。随着各类型病毒木马盈利模式一致,各类型病毒均有可能随时附加勒索属性。蠕虫,感染,僵尸网络,挖矿木马,在充分榨干感染目标剩余价值后,都极有可能下发勒索模块进行最后一步敲诈,2019年老的勒索家族持续活跃,新的勒索病毒也层出不穷,可预测未来由勒索病毒导致的网络攻击将依然是企业安全面临的重要问题之一。
六、勒索病毒防范措施
企业用户参考以下措施
A、定期进行安全培训,日常安全管理可参考“三不三要”思路
1.不上钩:标题吸引人的未知邮件不要点开
2.不打开:不随便打开电子邮件附件
3.不点击:不随意点击电子邮件中附带网址
4.要备份:重要资料要备份
5.要确认:开启电子邮件前确认发件人可信
6.要更新:系统补丁/安全软件病毒库保持实时更新
B、全网安装专业的终端安全管理软件,由管理员批量杀毒和安装补丁,后续定期更新各类系统高危补丁。
C、部署流量监控/阻断类设备/软件,便于事前发现,事中阻断和事后回溯。
D、建议由于其他原因不能及时安装补丁的系统,考虑在网络边界、路由器、防火墙上设置严格的访问控制策略,以保证网络的动态安全。
E、使用内网强制密码安全策略来避免使用简单密码。
1.建议对于存在弱口令或是空口令的服务,在一些关键服务上,应加强口令强度,同时需使用加密传输方式,对于一些可关闭的服务来说,建议关闭不要的服务端口以达到安全目的。不使用相同口令管理多台关键服务器。
2.建议对数据库账户密码策略建议进行配置,对最大错误登录次数、超过有效次数进行锁定、密码有效期、到期后的宽限时间、密码重用等策略进行加固设置。
F、建议网络管理员、系统管理员、安全管理员关注安全信息、安全动态及最新的严重漏洞,攻与防的循环,伴随每个主流操作系统、应用服务的生命周期。
G、建议对数据库的管理访问节点地址进行严格限制,只允许特定管理主机IP进行远程登录数据库。
H、做好安全灾备方案,可按数据备份三二一原则来指导实施
1、至少准备三份:重要数据备份两份
2、两种不同形式:将数据备份在两种不同的存储类型,如服务器/移动硬盘/云端/光盘等
3、一份异地备份:至少一份备份存储在异地,当发生意外时保证有一份备份数据安全。
个人用户启用安全防护软件
腾讯电脑管家可对各勒索病毒家族变种及时防御拦截,同时管家文档守护者通过集成多个主流勒索家族的解密方案,通过完善的数据备份防护方案,在2019中为数千万的管家用户提供文档保护恢复服务。通过自研解密方案成功为上千名不幸感染勒索病毒者提供了解密服务,帮助其成功恢复了被病毒加密的文件。
利用电脑管家内置文档守护者尝试恢复数据