专注:网络安全、系统安全、应用安全、数据库安全、运维安全,趋势分析。

安全从业者2000人超级群:187297569 沟通:1255197 技术:75140776 北京:107606822 西安:53210718 渗透:50806427 站长QQ:55984512


盘点 | 2017年勒索攻击大事件,你中了几招?

2018-01-29 09:55 推荐: 浏览: 67 views 字号:

摘要: 如果说,2016是“勒索之年”,那么2017年,有过之而无不及,勒索软件攻击手法不断翻新,质量和数量不断攀升,影响波及全球,勒索市场呈现一番“兴旺繁荣”的景象! 蜂拥而至的攻击者通过电子邮件、网络渗透、蠕虫病毒等多种形式,向目标电脑终端或服务器发起攻击,加密用...

如果说,2016是“勒索之年”,那么2017年,有过之而无不及,勒索软件攻击手法不断翻新,质量和数量不断攀升,影响波及全球,勒索市场呈现一番“兴旺繁荣”的景象!

蜂拥而至的攻击者通过电子邮件、网络渗透、蠕虫病毒等多种形式,向目标电脑终端或服务器发起攻击,加密用户数据(包括文档、邮箱、数据库、源代码、图片、压缩文件等),并勒索赎金(真实货币、比特币或其它虚拟货币等)。

IBM、Symantec、360等国内外多家知名安全机构早在2016年已开始关注勒索软件,而刚刚过去的2017年,勒索软件继续呈现出全球性蔓延态势,攻击目标转向政企机构,攻击手法和病毒变种愈发多样化。据卡巴斯基安全报告,2017年检测到现有勒索软件和新的变种数量约为96000,2016年这一数字是54000

勒索软件到底有多“凶猛”?一篇文章,回顾下2017年勒索攻击大事件。

2017勒索软件“十宗罪”

《2017年度网络空间安全报告》指出,全球约6300个平台提供勒索软件交易,勒索软件在2016-2017年期间的销售量增长了约2502%,恶意分子倾向于加密被感染设备的数据,向受害者勒索加密货币(以比特币为主),2017年加密货币市场价格一路飙升。

其中,WannaCry、 “坏兔子”(Bad Rabbit)等十大勒索软件,在全球范围内,对政府、教育、医院、能源、通信、制造业等众多关键信息基础设施领域造成了前所未有的重大损失。

一一细数,2017年十大勒索事件:

WannaCry勒索软件

2017年5月,WannaCry勒索软件席卷全球,几乎同一时间内,英国、意大利、俄罗斯等全球多个国家大爆发,国内亦有大批高校被感染,众多师生的电脑文件(办公文档、照片、视频等)被加密。

在攻击发生最开始的十几个小时,全球共有74个国家、至少4.5万台电脑中招。攻击第一天,全国有99个国家和地区出现感染报告。据统计,WannaCry勒索病毒全球大爆发,至少150个国家、30万名用户中招,造成损失高达80亿美元。

据悉,它是利用了窃取自美国国家安全局的黑客工具EternalBlue(永恒之蓝)实现了全球范围内的快速传播。在2017年3月创建,是第一个通过服务器消息块 (SMB) 漏洞传播的勒索软件。

“坏兔子”(Bad Rabbit)

另一个造成很大骚动的勒索软件是“坏兔子”,这款软件目前被广泛认定为Petya勒索软件的新变种。10月24日,“坏兔子”(Bad Rabbit)最先从俄罗斯和乌克兰发动攻击,并且蔓延至土耳其、日本和其它多国的组织机构。

乌克兰国家机构和基础设施是此次攻击的主要目标,奥德萨机场、基辅地铁和乌克兰基础设施部门都受到了此次大规模网络攻击的影响。俄罗斯网络安全厂商卡巴斯基实验室10月25日报告,“坏兔子”已经攻击了位于俄罗斯、乌克兰、土耳其和德国境内的约200家公司的计算机网络。其中,大部分目标位于俄罗斯境内。

NotPetya勒索蠕虫病毒

NotPetya,一个老的Petya勒索软件变种。2017年6月,NotPetya病毒瞄准了乌克兰流行会计软件(M.E.Doc) 更新服务器,向用户推送包含病毒的软件更新,用户更新软件就会感染病毒。一个假的乌克兰税收软件更新在多个领域横向传播,像蠕虫一样感染网络,造成俄罗斯最大石油企业Rosneft等超过80家俄罗斯、乌克兰公司遭到网络袭击。黑客向能源交通、企业、银行业和国家机构等植入病毒并封锁电脑,相关用户被要求支付300美元的赎金。

新型勒索软件GIBON

对受感染的计算机进行全文档加密(除了Windows文件夹里的文档)。

Sage勒索软件

通过带有恶意附件的垃圾电子邮件传播,加密受害者电脑文件,目前新增反分析功能,可提权以及逃避检测。

勒索软件Matrix

通过广告传播恶意代码,感染设备后加密受害机器上的所有文件,还会删除所有加密文件的浏览记录,并勒索用户。

勒索软件Tyran

伪装成热门VPN应用程序——Psiphon VPN的恶意版本进行勒索软件Tyran的分发,并敲诈被感染的用户。

勒索软件Locky新型变种

通过僵尸网络Necurs开展大规模钓鱼攻击活动,还可利用动态数据交换(DDE)协议进行数据传输,窃取用户数据,能够规避安全软件检测。

勒索软件FakeCry

可以加密约170种文件类型,通过MeDoc更新传播恶意软件。

勒索软件 Miner

利用 WMI 与 “ 永恒之蓝 ” 肆意传播,向受害者勒索加密货币,亚洲多个国家、地区受到影响。

其中,WannaCry、NotPetya、Bad Rabbit等勒索事件还入选美国有线电视新闻网网站《2017年置我们于危险之中的那些黑客事件》盘点之中。

2勒索软件的传播方式

勒索软件的“崛起”,让黑客们尝到了“甜头”。为提高勒索软件的传播效率,黑客们不断更新勒索软件的攻击,传播方式“日新月异”。

360互联网安全中心对2017年的勒索软件攻击形势展开了全面的研究,指出,2017年勒索软件主要采用以下五种传播方式:

1)服务器入侵传播

黑客先通过弱口令、系统或软件漏洞等方式获取用户名和密码,再通过RDP(远程桌面协议)远程登录服务器,一旦登录成功,黑客就可以在服务器上为所欲为,例如,卸载服务器上的安全软件并手动运行勒索软件。

这种攻击方式,一旦服务器被入侵,安全软件一般是不起作用的。

管理员账号密码被破解,是服务器被入侵的主要原因。其中,管理员使用弱密码被黑客暴力破解,部分黑客利用病毒或木马潜伏用户电脑盗取密码,黑客还可从其他渠道直接购买账号密码(这里就涉及到敏感数据泄露问题了。)

2)利用漏洞自动传播

通过系统自身漏洞进行传播扩散,是2017年的一个新特点。WannaCry勒索病毒就是利用永恒之蓝(EternalBlue)漏洞进行传播。

此类勒索软件在破坏功能上与传统勒索软件无异,都是加密用户文件勒索赎金,但因传播方式不同,更难以防范,需要用户提高安全意识,及时更新有漏洞的软件或安装对应的安全补丁。

3) 软件供应链攻击传播

软件供应链攻击是指利用软件供应商与最终用户之间的信任关系,在合法软件正常传播和升级过程中,利用软件供应商的各种疏忽或漏洞,对合法软件进行劫持或篡改,从而绕过传统安全产品检查达到非法目的的攻击类型。

2017年爆发的Fireball、暗云III、类Petya、异鬼II、Kuzzle、XShellGhost、CCleaner等后门事件均属于软件供应链攻击。而在乌克兰爆发的类Petya勒索软件事件也是其中之一,该病毒通过税务软件M.E.Doc的升级包投递到内网中进行传播。

4) 邮件附件传播

通过伪装成产品订单详情或图纸等重要文档类的钓鱼邮件,在附件中夹带含有恶意代码的脚本文件,一旦用户打开邮件附件,便会执行里面的脚本,释放勒索病毒。

这类传播方式针对性较强,主要瞄准公司企业、各类单位和院校,电脑中往往不是个人文档而是公司文档。最终目的是给公司业务的运转制造破坏,迫使公司为了止损而不得不交付赎金。

5) 利用挂马网页传播

通过入侵主流网站的服务器,在正常网页中植入木马,让访问者在浏览网页时利用IE或Flash等软件漏洞进行攻击。

这类勒索软件属于撒网抓鱼式的传播,没有特定的针对性,中招的受害者多数为“裸奔”用户,未安装任何杀毒软件。

3勒索软件的攻击对象

在攻击目标中,勒索软件将目光进一步聚焦在“高利润”上,如政府机构、企业、高净值个人等。由于中小企业安全架构单一,网络服务器相对容易被攻破,同时企业更易获得高额赎金,因此成为黑客们的“追逐热门”。据不完全统计,2017年,约15%的勒索软件攻击是针对中小企业服务器发起的定向攻击,尤以Crysis、xtbl、wallet、arena、Cobra等家族为代表。

另据卡巴斯基实验室的年度IT安全调查报告显示,2017年遭遇勒索攻击的企业中,65%企业称失去了大量甚至所有的数据;而29%的企业表示他们能够解密数据,大量的文件遭遇了毁灭性的破坏,这些数字与2016年的基本一致。

同时,以WannaCry为代表的勒索软件,将“矛头”对准了关键信息基础设施,这是以往未出现过的严峻情况。关键基础设施为社会生产和居民生活提供公共服务,保证国家或地区社会经济活动正常进行,其一旦被攻击将严重影响人们的日常生活,危害巨大。

42017勒索软件“十宗罪”

我们是经历者、见证者。看过了2017年勒索软件的大规模攻击行动,轻者造成个人用户电脑被加密,严重者造成数据丢失、金钱损失,甚至于生命危险。(对于医疗机构,医疗设备、业务相关设备受影响,患者无法正常就医,导致治疗延迟。)

2018年,勒索软件将何去何从?

Sophos在最新发布的《2018年恶意软件预测》报告中明确指出,勒索软件对于企业而言仍然是一个巨大的问题,且不会消失。SophosLabs安全研究员、《2018 恶意软件预测》报告中勒索软件分析作者Dorka Palotay表示:“勒索软件已经发展成与平台无关的威胁。虽然勒索软件的主要对象是Windows用户,但是很明显,如果他们使用其他平台(包括移动设备),人们也不会因此幸免于难。一个最重要的证明是,我们在全球客户使用的不同装置和作业系统上都看到加密攻击的数量增加了。”

2018年,卡巴斯基实验室对加密数字货币的威胁预测表明,为安装挖矿软件为目的攻击将增加,勒索软件只是提供了潜在的一次性的大额收入机会,而挖矿软件会带来更低但更长期的收益,这对许多勒索软件攻击者来说是非常有诱惑的。但有一件事是可以肯定的,勒索软件不会消失,即使不是一个直接的威胁,也会成为更深层次的攻击活动的伪装。

如果,勒索软件2018年“卷土而来”,你和你的终端、服务器,准备好了吗?

欲获取最最最最安全、完备的防勒索解决方案,敬请期待,美创科技即将重磅上新、上线的“防勒索产品”!!!

联系站长租广告位!

中国首席信息安全官


关闭


关闭