什麼是加密貨幣勒索軟體?一個詳細的研究
介紹
隨著我們對數位基礎設施的依賴日益增加,勒索軟體攻擊的影響變得日益嚴重,擾亂日常運營並造成財務損失。逮捕網絡罪犯變得更加困難,因為他們採用了複雜的方法來隱藏蹤跡。他們採用的一種工具是加密貨幣,用於接收贖金支付。他們利用加密貨幣的去中心化和匿名的特性作為首選支付形式。僅在2023年,勒索軟體攻擊就導致超過10億美元的贖金支付,報導由區塊鏈分析公司Chainalysis提供。
什麼是勒索軟體?
勒索軟體是一種惡意軟體,旨在加密系統數據,使其在支付贖金之前無法訪問。這種網絡攻擊針對個人、企業和政府組織,利用系統中的漏洞獲取未經授權的訪問。一旦部署惡意軟體,它會加密文件並要求支付,通常是以加密貨幣來解密數據。
雖然勒索軟體攻擊的主要目的是為了獲取金錢,但在某些情況下,它也被用來造成運營中斷、未經授權地訪問敏感信息或施壓組織遵守其他要求。它還被用作具有政治緊張關係的國家之間的一種網絡戰爭工具。
勒索軟體的歷史和演變
第一個已知的勒索軟體攻擊是 1988 年的 AIDS 木馬,也稱為 PC 半機械人病毒。它通過軟盤分發給世界衛生組織的出席者。在一定次數的計算機重新啟動后,該木馬對檔進行了加密,並要求向巴拿馬的一個郵政信箱支付189美元的贖金。與今天的標準相比,這種攻擊使用了原始加密,但它為現代勒索軟體奠定了基礎。截至 2006 年,高級 RSA 加密用於將勒索軟體傳送到網站和垃圾郵件,並使用憑證、paysafecard 和其他難以追蹤的電子方法支付贖金。
來源: Chainalysis
到2010年,隨著比特幣的普及,攻擊者開始要求以一種更難追踪的匿名貨幣支付贖金。從那時起,出現了更新且更複雜的勒索軟體模型,建立了一個從2019年到2024年累積超過30億美元的犯罪行業。
加密貨幣在勒索軟體中的角色
加密貨幣,尤其是比特幣的一個關鍵特徵是它們的匿名性。儘管交易記錄在區塊鏈上,但參與者的身份被錢包地址遮蔽,使得很難追溯到攻擊者。傳統支付系統,如信用卡和銀行轉帳,留下清晰的身份蹤跡,讓執法部門可以用來調查網絡犯罪分子。
由於比特幣交易在區塊鏈上公開可追踪,一些網絡罪犯已經轉向像門羅這樣注重隱私的加密貨幣,它提供匿名功能,使用隱形地址和環簽名進一步模糊交易詳情。
加密貨幣勒索軟體的運作方式
加密勒索軟體通常通過釣魚郵件、惡意下載或利用系統漏洞侵入目標系統。一旦內部,惡意軟件會使用複雜的加密算法對受害者的電腦或網絡上的文件進行加密,使數據變得無法訪問。
來源:ComodoSSL
操作階段按照階段進行執行;
- 感染
- 加密
- 贖金要求
感染
加密勒索軟體通過以下途徑進入受害者的設備:
釣魚郵件:網絡罪犯發送看似來自合法來源的郵件,誘使收件人點擊惡意鏈接或下載帶有病毒的附件。這些文件通常冒充重要文件或更新,掩蓋其真實性質。
舊軟件:勒索軟體可以利用操作系統或應用程序舊版本軟件中的漏洞。這在WannaCry攻擊中是顯而易見的,該攻擊利用了Microsoft Windows中的一個漏洞。
廣告欺詐:用戶可能會不知不覺地與欺詐性廣告互動,下載假軟體更新,導致勒索軟體的安裝。
遠端桌面協議黑客: 遠端桌面協議(RDP)用於在組織員工在不同地點工作的情況下,與服務器保持遠程連接。員工計算機上的RDP界面通過加密協議與服務器上的RDP組件通信。儘管加密,這種連接方式容易受到黑客攻擊,惡意行為者利用這一點將勒索軟體上傳到公司的服務器中。
加密
一旦進入系統,勒索軟體開始加密受害者的文件。加密貨幣勒索軟體使用加密方法,例如:
- RSA(Rivest–Shamir–Adleman): 一種使用公鑰和私鑰對的非對稱加密算法。公鑰用於加密文件,而攻擊者所持有的私鑰則用於解密。
- AES(Advanced Encryption Standard):一種對稱加密方法,其中相同的金鑰用於加密和解密。勒索軟體使用此方法來加密文件,金鑰與攻擊者一起存儲。
該惡意軟件針對文件類型進行攻擊,包括文檔、圖像、視頻和數據庫,任何可能對受害者有價值的東西。在這個過程中,用戶甚至可能都沒有注意到自己的數據被鎖定,直到加密完成,讓他們無法立即找到恢復的選擇。
在主要勒索軟體攻擊中的一個顯著模式是它們發生在假期或大多數員工不在線的時間,以避免被檢測到。
勒索要求
來源: Proofpoint
加密資料後,勒索軟體通常通過彈出窗口、文本文件或HTML頁面向受害者顯示贖金說明。
一個勒索需求屏幕,要求比特幣以換取私鑰
來源:Varonis
贖金金額通常要求以比特幣或門羅幣支付,並附有支付網站的鏈接或聯繫攻擊者的方法(有時託管在暗網上)。
來源:Proofpoint
如果受害者遵從要求並轉移所要求的金額,攻擊者可能會提供解密密鑰以解鎖文件。然而,支付贖金並不能保證攻擊者會遵從承諾。在某些情況下,即使付款,受害者也可能永遠無法收到解密密鑰,或者他們可能面臨額外的贖金要求。
資安專家和執法機構不鼓勵支付贖金,因為網絡犯罪分子可能採取雙重勒索,攻擊者不僅加密受害者的文件,還偷取敏感數據。 然後,他們會威脅發布或出售數據,如果另一筆贖金未支付。
著名的加密貨幣勒索軟體攻擊
WannaCry (2017)
WannaCry 是歷史上最臭名昭著且最廣泛擴散的勒索軟體攻擊之一。它利用了一個被稱為 EternalBlue 的微軟 Windows 漏洞,該漏洞由 Shadow Brokers 黑客組織從國家安全局(NSA)中先前竊取。WannaCry 影響了包括英國國家衛生服務(NHS)、聯邦快遞和雷諾在內的150個國家的超過200,000台電腦。它造成了廣泛的破壞,特別是在醫療保健系統中,患者服務受到了嚴重影響。
想要哭泣的贖金票據
來源: CyberSpades
攻擊者要求支付 300 美元的比特幣,以換取解密金鑰,然而許多受害者即使支付後也無法恢復其數據。該攻擊最終被一名安全研究人員停止,他啟動了嵌入在惡意軟件代碼中的“殺死開關”,但在造成數十億美元的損失之前。
NotPetya (2017)
NotPetya是一種雙重破壞的惡意軟體,既是勒索軟體,又是一種旨在造成破壞而非勒索的擦除軟體。
一封NotPetya勒索信
來源:安全概要
該惡意軟體似乎要求比特幣贖金,但即使支付後,加密數據的恢復也是不可能的,這表明金融利益並非真正目標。與傳統的勒索軟體不同,NotPetya似乎是出於政治動機,瞄準了與俄羅斯存在地緣政治緊張關係的烏克蘭。儘管它最終在全球傳播,但它損害了包括馬士基、默克和聯邦快遞在內的大型跨國公司,估計全球經濟損失超過100億美元。
DarkSide(2021)
DarkSide在對美國最大的燃油管道Colonial Pipeline發動攻擊後,引起了全球關注,導致東海岸燃油短缺。這次攻擊擾亂了燃油供應,引發了廣泛的恐慌性購買。最終,Colonial Pipeline支付了440萬美元的比特幣贖金,儘管FBI後來追回了部分贖金。
一封DarkSide勒索信
來源: KrebsonSecurity
勒索軟體即服務
RaaS 是一種商業模式,勒索軟體建立者將其惡意軟體出租給附屬公司或其他網路犯罪分子。附屬公司使用此軟體進行攻擊,與勒索軟體開發人員分享贖金利潤。
REvil
REvil(也稱為Sodinokibi)是最複雜的勒索軟體組織之一,作為勒索軟體即服務(RaaS)操作運行。
REvil被認為與對全球組織的重大攻擊有關,包括JBS(全球最大的肉類供應商)和軟件公司Kaseya。這影響了超過1,000家依賴其軟件產品的企業。
Clop
Clop是另一種勒索軟體服務(RaaS),它開展大規模的針對企業的魚叉式釣魚攻擊,要求高額贖金。Clop的運營商使用雙重勒索技術:他們在加密數據之前竊取數據,並威脅要洩漏敏感信息,如果贖金未支付。
2020 年,Clop 負責與 Accellion 檔傳輸軟體相關的大規模數據洩露,影響了多所大學、金融機構和政府機構。
防禦加密貨幣勒索軟體
最有效的防禦從防止惡意軟件進入您的系統開始。以下是一些可以保護您的計算機免受勒索軟體攻擊的措施。
網絡安全意識
用戶和員工應該接受培訓,以識別和應對釣魚郵件或可疑附件等威脅。定期進行的網絡安全意識培訓可以顯著降低意外感染的風險。
軟體更新
定期更新和修補作業系統、應用程式和安全軟體,可減少攻擊風險,限制因舊版軟體而遭遇的勒索軟體。
備份數據
如果發生勒索軟體攻擊,擁有最近的備份可以讓受害者在不支付贖金的情況下恢復他們的數據。備份應離線存儲或存儲在未直接連接到網路的雲環境中,以保護它們免受勒索軟體的感染。
電子郵件過濾器
電子郵件過濾系統會掃描傳入郵件中的可疑鏈接、附件或特徵。這些過濾器可以阻止包含已知惡意元素的郵件在抵達用戶收件箱之前。
網絡分段和訪問控制
網絡分割限制勒索軟體一旦滲透系統後的擴散,即使網絡的一部分受到損害,損害也可以被控制。專家建議將敏感系統和數據與常規操作分開,限制對關鍵區域的訪問。
多重身份驗證 (MFA) 和最小特權原則(僅向使用者提供所需的訪問許可權)等訪問控制可能會限制用戶訪問。如果攻擊者獲得了對一個帳戶或系統的訪問許可權,則分段和訪問控制可以阻止跨網路的橫向移動,從而限制勒索軟體的覆蓋範圍。
終端檢測和響應(EDR)解決方案
EDR解決方案提供對端點活動的持續監控和分析,幫助檢測勒索軟體感染的早期跡象。這些工具可以自動響應可疑行為,隔離受感染的設備,防止勒索軟體在網絡中傳播。
結論
加密貨幣勒索軟體凸顯了加密貨幣的不當使用,犯罪分子利用區塊鏈技術的匿名性進行勒索。雖然對於作為贖金的加密貨幣沒有太多可做的,但最好的措施是通過避免點擊釣魚連結和定期進行軟體更新來保護用戶和系統免受勒索軟體感染。
此外,定期備份數據可確保重要文件在發生攻擊時可以恢復,而無需支付贖金。 網絡分割作為另一項重要的防禦措施,它限制了勒索軟體的傳播,將其限制在系統的特定部分,保護未受影響的區域。
相關文章
如何質押 ETH?
什麼是加密貨幣勒索軟體?一個詳細的研究
介紹
隨著我們對數位基礎設施的依賴日益增加,勒索軟體攻擊的影響變得日益嚴重,擾亂日常運營並造成財務損失。逮捕網絡罪犯變得更加困難,因為他們採用了複雜的方法來隱藏蹤跡。他們採用的一種工具是加密貨幣,用於接收贖金支付。他們利用加密貨幣的去中心化和匿名的特性作為首選支付形式。僅在2023年,勒索軟體攻擊就導致超過10億美元的贖金支付,報導由區塊鏈分析公司Chainalysis提供。
什麼是勒索軟體?
勒索軟體是一種惡意軟體,旨在加密系統數據,使其在支付贖金之前無法訪問。這種網絡攻擊針對個人、企業和政府組織,利用系統中的漏洞獲取未經授權的訪問。一旦部署惡意軟體,它會加密文件並要求支付,通常是以加密貨幣來解密數據。
雖然勒索軟體攻擊的主要目的是為了獲取金錢,但在某些情況下,它也被用來造成運營中斷、未經授權地訪問敏感信息或施壓組織遵守其他要求。它還被用作具有政治緊張關係的國家之間的一種網絡戰爭工具。
勒索軟體的歷史和演變
第一個已知的勒索軟體攻擊是 1988 年的 AIDS 木馬,也稱為 PC 半機械人病毒。它通過軟盤分發給世界衛生組織的出席者。在一定次數的計算機重新啟動后,該木馬對檔進行了加密,並要求向巴拿馬的一個郵政信箱支付189美元的贖金。與今天的標準相比,這種攻擊使用了原始加密,但它為現代勒索軟體奠定了基礎。截至 2006 年,高級 RSA 加密用於將勒索軟體傳送到網站和垃圾郵件,並使用憑證、paysafecard 和其他難以追蹤的電子方法支付贖金。
來源: Chainalysis
到2010年,隨著比特幣的普及,攻擊者開始要求以一種更難追踪的匿名貨幣支付贖金。從那時起,出現了更新且更複雜的勒索軟體模型,建立了一個從2019年到2024年累積超過30億美元的犯罪行業。
加密貨幣在勒索軟體中的角色
加密貨幣,尤其是比特幣的一個關鍵特徵是它們的匿名性。儘管交易記錄在區塊鏈上,但參與者的身份被錢包地址遮蔽,使得很難追溯到攻擊者。傳統支付系統,如信用卡和銀行轉帳,留下清晰的身份蹤跡,讓執法部門可以用來調查網絡犯罪分子。
由於比特幣交易在區塊鏈上公開可追踪,一些網絡罪犯已經轉向像門羅這樣注重隱私的加密貨幣,它提供匿名功能,使用隱形地址和環簽名進一步模糊交易詳情。
加密貨幣勒索軟體的運作方式
加密勒索軟體通常通過釣魚郵件、惡意下載或利用系統漏洞侵入目標系統。一旦內部,惡意軟件會使用複雜的加密算法對受害者的電腦或網絡上的文件進行加密,使數據變得無法訪問。
來源:ComodoSSL
操作階段按照階段進行執行;
- 感染
- 加密
- 贖金要求
感染
加密勒索軟體通過以下途徑進入受害者的設備:
釣魚郵件:網絡罪犯發送看似來自合法來源的郵件,誘使收件人點擊惡意鏈接或下載帶有病毒的附件。這些文件通常冒充重要文件或更新,掩蓋其真實性質。
舊軟件:勒索軟體可以利用操作系統或應用程序舊版本軟件中的漏洞。這在WannaCry攻擊中是顯而易見的,該攻擊利用了Microsoft Windows中的一個漏洞。
廣告欺詐:用戶可能會不知不覺地與欺詐性廣告互動,下載假軟體更新,導致勒索軟體的安裝。
遠端桌面協議黑客: 遠端桌面協議(RDP)用於在組織員工在不同地點工作的情況下,與服務器保持遠程連接。員工計算機上的RDP界面通過加密協議與服務器上的RDP組件通信。儘管加密,這種連接方式容易受到黑客攻擊,惡意行為者利用這一點將勒索軟體上傳到公司的服務器中。
加密
一旦進入系統,勒索軟體開始加密受害者的文件。加密貨幣勒索軟體使用加密方法,例如:
- RSA(Rivest–Shamir–Adleman): 一種使用公鑰和私鑰對的非對稱加密算法。公鑰用於加密文件,而攻擊者所持有的私鑰則用於解密。
- AES(Advanced Encryption Standard):一種對稱加密方法,其中相同的金鑰用於加密和解密。勒索軟體使用此方法來加密文件,金鑰與攻擊者一起存儲。
該惡意軟件針對文件類型進行攻擊,包括文檔、圖像、視頻和數據庫,任何可能對受害者有價值的東西。在這個過程中,用戶甚至可能都沒有注意到自己的數據被鎖定,直到加密完成,讓他們無法立即找到恢復的選擇。
在主要勒索軟體攻擊中的一個顯著模式是它們發生在假期或大多數員工不在線的時間,以避免被檢測到。
勒索要求
來源: Proofpoint
加密資料後,勒索軟體通常通過彈出窗口、文本文件或HTML頁面向受害者顯示贖金說明。
一個勒索需求屏幕,要求比特幣以換取私鑰
來源:Varonis
贖金金額通常要求以比特幣或門羅幣支付,並附有支付網站的鏈接或聯繫攻擊者的方法(有時託管在暗網上)。
來源:Proofpoint
如果受害者遵從要求並轉移所要求的金額,攻擊者可能會提供解密密鑰以解鎖文件。然而,支付贖金並不能保證攻擊者會遵從承諾。在某些情況下,即使付款,受害者也可能永遠無法收到解密密鑰,或者他們可能面臨額外的贖金要求。
資安專家和執法機構不鼓勵支付贖金,因為網絡犯罪分子可能採取雙重勒索,攻擊者不僅加密受害者的文件,還偷取敏感數據。 然後,他們會威脅發布或出售數據,如果另一筆贖金未支付。
著名的加密貨幣勒索軟體攻擊
WannaCry (2017)
WannaCry 是歷史上最臭名昭著且最廣泛擴散的勒索軟體攻擊之一。它利用了一個被稱為 EternalBlue 的微軟 Windows 漏洞,該漏洞由 Shadow Brokers 黑客組織從國家安全局(NSA)中先前竊取。WannaCry 影響了包括英國國家衛生服務(NHS)、聯邦快遞和雷諾在內的150個國家的超過200,000台電腦。它造成了廣泛的破壞,特別是在醫療保健系統中,患者服務受到了嚴重影響。
想要哭泣的贖金票據
來源: CyberSpades
攻擊者要求支付 300 美元的比特幣,以換取解密金鑰,然而許多受害者即使支付後也無法恢復其數據。該攻擊最終被一名安全研究人員停止,他啟動了嵌入在惡意軟件代碼中的“殺死開關”,但在造成數十億美元的損失之前。
NotPetya (2017)
NotPetya是一種雙重破壞的惡意軟體,既是勒索軟體,又是一種旨在造成破壞而非勒索的擦除軟體。
一封NotPetya勒索信
來源:安全概要
該惡意軟體似乎要求比特幣贖金,但即使支付後,加密數據的恢復也是不可能的,這表明金融利益並非真正目標。與傳統的勒索軟體不同,NotPetya似乎是出於政治動機,瞄準了與俄羅斯存在地緣政治緊張關係的烏克蘭。儘管它最終在全球傳播,但它損害了包括馬士基、默克和聯邦快遞在內的大型跨國公司,估計全球經濟損失超過100億美元。
DarkSide(2021)
DarkSide在對美國最大的燃油管道Colonial Pipeline發動攻擊後,引起了全球關注,導致東海岸燃油短缺。這次攻擊擾亂了燃油供應,引發了廣泛的恐慌性購買。最終,Colonial Pipeline支付了440萬美元的比特幣贖金,儘管FBI後來追回了部分贖金。
一封DarkSide勒索信
來源: KrebsonSecurity
勒索軟體即服務
RaaS 是一種商業模式,勒索軟體建立者將其惡意軟體出租給附屬公司或其他網路犯罪分子。附屬公司使用此軟體進行攻擊,與勒索軟體開發人員分享贖金利潤。
REvil
REvil(也稱為Sodinokibi)是最複雜的勒索軟體組織之一,作為勒索軟體即服務(RaaS)操作運行。
REvil被認為與對全球組織的重大攻擊有關,包括JBS(全球最大的肉類供應商)和軟件公司Kaseya。這影響了超過1,000家依賴其軟件產品的企業。
Clop
Clop是另一種勒索軟體服務(RaaS),它開展大規模的針對企業的魚叉式釣魚攻擊,要求高額贖金。Clop的運營商使用雙重勒索技術:他們在加密數據之前竊取數據,並威脅要洩漏敏感信息,如果贖金未支付。
2020 年,Clop 負責與 Accellion 檔傳輸軟體相關的大規模數據洩露,影響了多所大學、金融機構和政府機構。
防禦加密貨幣勒索軟體
最有效的防禦從防止惡意軟件進入您的系統開始。以下是一些可以保護您的計算機免受勒索軟體攻擊的措施。
網絡安全意識
用戶和員工應該接受培訓,以識別和應對釣魚郵件或可疑附件等威脅。定期進行的網絡安全意識培訓可以顯著降低意外感染的風險。
軟體更新
定期更新和修補作業系統、應用程式和安全軟體,可減少攻擊風險,限制因舊版軟體而遭遇的勒索軟體。
備份數據
如果發生勒索軟體攻擊,擁有最近的備份可以讓受害者在不支付贖金的情況下恢復他們的數據。備份應離線存儲或存儲在未直接連接到網路的雲環境中,以保護它們免受勒索軟體的感染。
電子郵件過濾器
電子郵件過濾系統會掃描傳入郵件中的可疑鏈接、附件或特徵。這些過濾器可以阻止包含已知惡意元素的郵件在抵達用戶收件箱之前。
網絡分段和訪問控制
網絡分割限制勒索軟體一旦滲透系統後的擴散,即使網絡的一部分受到損害,損害也可以被控制。專家建議將敏感系統和數據與常規操作分開,限制對關鍵區域的訪問。
多重身份驗證 (MFA) 和最小特權原則(僅向使用者提供所需的訪問許可權)等訪問控制可能會限制用戶訪問。如果攻擊者獲得了對一個帳戶或系統的訪問許可權,則分段和訪問控制可以阻止跨網路的橫向移動,從而限制勒索軟體的覆蓋範圍。
終端檢測和響應(EDR)解決方案
EDR解決方案提供對端點活動的持續監控和分析,幫助檢測勒索軟體感染的早期跡象。這些工具可以自動響應可疑行為,隔離受感染的設備,防止勒索軟體在網絡中傳播。
結論
加密貨幣勒索軟體凸顯了加密貨幣的不當使用,犯罪分子利用區塊鏈技術的匿名性進行勒索。雖然對於作為贖金的加密貨幣沒有太多可做的,但最好的措施是通過避免點擊釣魚連結和定期進行軟體更新來保護用戶和系統免受勒索軟體感染。
此外,定期備份數據可確保重要文件在發生攻擊時可以恢復,而無需支付贖金。 網絡分割作為另一項重要的防禦措施,它限制了勒索軟體的傳播,將其限制在系統的特定部分,保護未受影響的區域。
相關文章
如何質押 ETH?