什么是加密勒索软件?
简介
随着我们对数字基础设施的依赖不断增加,勒索软件攻击的影响也愈发严重,不仅会扰乱日常运营,还会造成经济损失。由于网络犯罪分子采用复杂的方法隐藏踪迹,抓捕他们变得更加困难。其中一种被他们用来收取赎金的工具便是加密货币。他们利用加密货币的去中心化和伪匿名特性,使其成为首选的支付方式。仅在2023年,勒索软件攻击就导致了超过10亿美元的赎金支付,据区块链分析公司Chainalysis报告。
什么是勒索软件?
勒索软件是一种恶意软件,旨在加密系统的数据,直到支付赎金后才能恢复访问。这种网络攻击针对个人、企业和政府组织,利用其系统的漏洞来获取未经授权的访问权限。一旦恶意软件部署,它会加密文件并要求支付赎金,通常是以加密货币的形式,以解密数据。
尽管勒索软件攻击的主要目标通常是经济利益,但在某些情况下,它也被用来导致运营中断、获取敏感信息的未经授权访问,或迫使组织遵守其他要求。它还被用作在政治紧张的国家之间进行网络战争的工具。
勒索软件的历史与演变
已知的第一个勒索软件攻击是1988年的艾滋病特洛伊木马,也叫PC赛博病毒。它通过软盘分发给世界卫生组织会议的与会者。在计算机重启一定次数后,特洛伊木马加密文件,并要求支付189美元的赎金,汇款到巴拿马的邮政信箱。与今天的标准相比,这次攻击使用的加密技术较为原始,但为现代勒索软件奠定了基础。到2006年,先进的RSA加密技术被用来将勒索软件传递到网站和垃圾邮件中,赎金支付通过代金券、Paysafe卡和其他难以追踪的电子方式进行。
来源:Chainalysis
到2010年,随着比特币的流行,攻击者开始要求以这种更难追踪的伪匿名货币支付赎金。从那时起,新的、更复杂的勒索软件模型不断发展,形成了一个犯罪产业,2019年至2024年间已从中积累超过30亿美元的赎金。
加密货币在勒索软件中的作用
加密货币,特别是比特币,的一个关键特性是其伪匿名性。虽然交易记录在区块链上,但参与方的身份被钱包地址所掩盖,使得追踪攻击者变得困难。传统支付系统,如信用卡和银行转账,会留下清晰的身份痕迹,执法机构可以利用这些痕迹调查网络犯罪分子。
随着比特币交易在区块链上可以公开追踪,一些网络犯罪分子转向了以隐私为重点的加密货币,如Monero,这些加密货币提供了匿名功能,并使用隐形地址和环签名进一步模糊交易细节。
加密勒索软件的工作原理
加密勒索软件通过钓鱼邮件、恶意下载或利用系统漏洞渗透到目标系统。一旦进入,恶意软件使用复杂的加密算法加密受害者计算机或网络上的文件,使数据无法访问。
来源:ComodoSSL
操作的阶段分为几个步骤:
- 感染
- 加密
- 赎金要求
感染
加密勒索软件通过以下渠道进入受害者的设备:
钓鱼邮件:网络犯罪分子发送看似来自合法来源的邮件,诱使收件人点击恶意链接或下载感染的附件。这些文件通常伪装成重要文件或更新,掩盖其真实性质。
过时的软件:勒索软件可以利用操作系统或应用程序旧版本中的漏洞。WannaCry攻击就是利用了微软Windows中的一个漏洞。
恶意广告:用户可能不知情地与虚假广告互动,下载假冒的软件更新,从而导致勒索软件的安装。
远程桌面协议破解:远程桌面协议(RDP)用于在员工远程工作的情况下与服务器保持连接。员工计算机上的RDP接口通过加密协议与服务器上的RDP组件进行通信。尽管是加密的,这种连接方式容易受到黑客攻击,攻击者利用这些漏洞将勒索软件上传到公司的服务器。
加密
一旦进入系统,勒索软件便开始加密受害者的文件。加密勒索软件使用如下加密方法:
- RSA(Rivest–Shamir–Adleman):一种非对称加密算法,使用公钥和私钥对。公钥用来加密文件,而私钥则由攻击者持有,用于解密文件。
- AES(高级加密标准):一种对称加密方法,使用相同的密钥进行加密和解密。勒索软件使用这种方法加密文件,密钥则存储在攻击者手中。
恶意软件针对包括文档、图片、视频和数据库在内的文件类型进行攻击,任何对受害者有价值的内容都会成为目标。在此过程中,用户可能甚至没有注意到数据已被锁定,直到加密完成,这使得他们没有立即的恢复选项。
主要勒索软件攻击的一个显著特点是,它们通常发生在假期或大部分员工不在线的时间,以避免被发现。
赎金要求
来源:Proofpoint
在加密数据后,勒索软件会向受害者显示赎金通知,通常通过弹出窗口、文本文件或HTML页面的形式。
一屏赎金要求,要求支付比特币以换取私钥
来源:Varonis
赎金通常以比特币或Monero的形式要求,并提供一个支付网站链接或联系攻击者的方法(有时托管在暗网)。
来源:Proofpoint
如果受害者同意要求并转账支付赎金,攻击者可能会提供解密密钥以解锁文件。然而,支付赎金并不能保证攻击者会履行承诺。在某些情况下,受害者即使支付了赎金,也可能永远得不到解密密钥,或者可能面临额外的赎金要求。
网络安全专家和执法机构不建议支付赎金,因为网络犯罪分子可能采取双重勒索的手段,攻击者不仅加密受害者的文件,还窃取敏感数据。然后,他们威胁如果不支付另一笔赎金,将释放或出售这些数据。
著名的加密勒索软件攻击
WannaCry (2017)
WannaCry是历史上最臭名昭著且最广泛的勒索软件攻击之一。它利用了微软Windows中的一个漏洞,名为EternalBlue,该漏洞此前被Shadow Brokers黑客组织从美国国家安全局(NSA)窃取。WannaCry影响了150个国家超过20万台计算机,包括英国国家健康服务(NHS)、联邦快递(FedEx)和雷诺(Renault)等主要机构。它造成了广泛的破坏,尤其是在医疗系统中,患者服务受到了严重影响。
WannaCry赎金通知
来源:CyberSpades
攻击者要求支付300美元的比特币作为解密密钥的交换,但许多受害者即使支付了赎金也无法恢复他们的数据。最终,一名安全研究员通过激活恶意软件代码中的“杀死开关”停止了攻击,但在此之前,攻击已经造成了数十亿美元的损失。
NotPetya (2017)
NotPetya是一种双重破坏性恶意软件,既充当勒索软件,又是旨在造成破坏的擦除型恶意软件,目的是摧毁系统而非提取赎金。
NotPetya赎金通知
该恶意软件似乎要求支付比特币赎金,但即使支付后,恢复加密数据也是不可能的,这表明金钱并不是其真正的目标。与传统勒索软件不同,NotPetya似乎具有政治动机,在与俄罗斯的地缘政治紧张时期,主要针对乌克兰。尽管最终传播到全球,它还是对包括马士基、默克和联邦快递在内的大型跨国公司造成了损害,导致全球财务损失预计超过100亿美元。
DarkSide (2021)
DarkSide在攻击美国最大的燃油管道——科罗尼尔管道后,获得了全球关注,此次攻击导致美国东海岸出现燃油短缺。该攻击中断了燃料供应,并引发了广泛的恐慌性购买。科罗尼尔管道最终支付了440万美元的比特币赎金,尽管FBI后来追回了部分赎金。
DarkSide赎金通知
勒索软件即服务 (Ransomware-as-a-Service)
勒索软件即服务(RaaS)是一种商业模式,在这种模式下,勒索软件的创造者将其恶意软件租赁给合作伙伴或其他网络犯罪分子。合作伙伴使用这些软件执行攻击,并与勒索软件开发者分成赎金利润。
REvil
REvil(也称为Sodinokibi)是最为复杂的勒索软件团伙之一,作为勒索软件即服务(RaaS)运营进行运作。
REvil与全球多个组织的高调攻击有关,包括全球最大的肉类供应商JBS和软件公司Kaseya。这次攻击影响了超过1,000家依赖其软件产品的企业。
Clop
Clop是另一个勒索软件即服务(RaaS),通过大规模的定向钓鱼攻击针对企业并要求支付高额赎金。Clop的操作者使用双重勒索技术:在加密数据之前窃取数据,并威胁如果不支付赎金,就泄露敏感信息。
2020年,Clop与Accellion文件传输软件相关的大规模数据泄露事件有关,影响了多个大学、金融机构和政府机构。
防御加密勒索软件
最有效的防御措施是从防止恶意软件进入系统开始。以下是一些可以保护计算机免受勒索软件攻击的措施:
网络安全意识
用户和员工应接受培训,识别和应对钓鱼邮件或可疑附件等威胁。定期进行网络安全意识培训可以显著降低意外感染的风险。
软件更新
定期更新操作系统、应用程序和安全软件的补丁,可以通过减少过时软件带来的漏洞,降低勒索软件攻击的风险。
备份数据
如果发生勒索软件攻击,拥有最新的备份可以让受害者在不支付赎金的情况下恢复数据。备份应存储在离线或与网络没有直接连接的云环境中,以保护它们免受勒索软件感染。
邮件过滤
邮件过滤系统会扫描来信中的可疑链接、附件或特征。这些过滤器可以在邮件到达用户收件箱之前,阻止含有已知恶意元素的邮件。
网络分段和访问控制
网络分段限制了勒索软件一旦渗透系统后传播的范围,即使网络的一部分被攻破,损害也能得到控制。专家建议将敏感系统和数据与常规操作隔离,限制对关键区域的访问。
访问控制,如多因素认证(MFA)和最小权限原则(仅授予用户所需的访问权限),可以限制用户访问。如果攻击者获得了某个账户或系统的访问权限,分段和访问控制可以防止勒索软件在网络中横向传播,限制其影响范围。
终端检测和响应(EDR)解决方案
EDR解决方案提供终端活动的持续监控和分析,帮助检测勒索软件感染的早期迹象。这些工具可以自动响应可疑行为,将受感染设备隔离,并防止勒索软件在网络中扩散。
结论
加密勒索软件突显了加密货币的一种不当使用方式,犯罪分子利用区块链技术的匿名性。虽然针对加密货币作为赎金没有太多可以做的事情,但最有效的措施是通过避免钓鱼链接和定期进行软件更新来保护用户和系统免受勒索软件感染。
此外,保持定期的数据备份可以确保在发生攻击时,重要文件能够在不支付赎金的情况下恢复。网络分段作为另一项重要的防御措施,能够限制勒索软件的传播,将其限制在系统的特定部分,并保护未受影响的区域。
相关文章
什么是山寨币
什么是加密勒索软件?
简介
随着我们对数字基础设施的依赖不断增加,勒索软件攻击的影响也愈发严重,不仅会扰乱日常运营,还会造成经济损失。由于网络犯罪分子采用复杂的方法隐藏踪迹,抓捕他们变得更加困难。其中一种被他们用来收取赎金的工具便是加密货币。他们利用加密货币的去中心化和伪匿名特性,使其成为首选的支付方式。仅在2023年,勒索软件攻击就导致了超过10亿美元的赎金支付,据区块链分析公司Chainalysis报告。
什么是勒索软件?
勒索软件是一种恶意软件,旨在加密系统的数据,直到支付赎金后才能恢复访问。这种网络攻击针对个人、企业和政府组织,利用其系统的漏洞来获取未经授权的访问权限。一旦恶意软件部署,它会加密文件并要求支付赎金,通常是以加密货币的形式,以解密数据。
尽管勒索软件攻击的主要目标通常是经济利益,但在某些情况下,它也被用来导致运营中断、获取敏感信息的未经授权访问,或迫使组织遵守其他要求。它还被用作在政治紧张的国家之间进行网络战争的工具。
勒索软件的历史与演变
已知的第一个勒索软件攻击是1988年的艾滋病特洛伊木马,也叫PC赛博病毒。它通过软盘分发给世界卫生组织会议的与会者。在计算机重启一定次数后,特洛伊木马加密文件,并要求支付189美元的赎金,汇款到巴拿马的邮政信箱。与今天的标准相比,这次攻击使用的加密技术较为原始,但为现代勒索软件奠定了基础。到2006年,先进的RSA加密技术被用来将勒索软件传递到网站和垃圾邮件中,赎金支付通过代金券、Paysafe卡和其他难以追踪的电子方式进行。
来源:Chainalysis
到2010年,随着比特币的流行,攻击者开始要求以这种更难追踪的伪匿名货币支付赎金。从那时起,新的、更复杂的勒索软件模型不断发展,形成了一个犯罪产业,2019年至2024年间已从中积累超过30亿美元的赎金。
加密货币在勒索软件中的作用
加密货币,特别是比特币,的一个关键特性是其伪匿名性。虽然交易记录在区块链上,但参与方的身份被钱包地址所掩盖,使得追踪攻击者变得困难。传统支付系统,如信用卡和银行转账,会留下清晰的身份痕迹,执法机构可以利用这些痕迹调查网络犯罪分子。
随着比特币交易在区块链上可以公开追踪,一些网络犯罪分子转向了以隐私为重点的加密货币,如Monero,这些加密货币提供了匿名功能,并使用隐形地址和环签名进一步模糊交易细节。
加密勒索软件的工作原理
加密勒索软件通过钓鱼邮件、恶意下载或利用系统漏洞渗透到目标系统。一旦进入,恶意软件使用复杂的加密算法加密受害者计算机或网络上的文件,使数据无法访问。
来源:ComodoSSL
操作的阶段分为几个步骤:
- 感染
- 加密
- 赎金要求
感染
加密勒索软件通过以下渠道进入受害者的设备:
钓鱼邮件:网络犯罪分子发送看似来自合法来源的邮件,诱使收件人点击恶意链接或下载感染的附件。这些文件通常伪装成重要文件或更新,掩盖其真实性质。
过时的软件:勒索软件可以利用操作系统或应用程序旧版本中的漏洞。WannaCry攻击就是利用了微软Windows中的一个漏洞。
恶意广告:用户可能不知情地与虚假广告互动,下载假冒的软件更新,从而导致勒索软件的安装。
远程桌面协议破解:远程桌面协议(RDP)用于在员工远程工作的情况下与服务器保持连接。员工计算机上的RDP接口通过加密协议与服务器上的RDP组件进行通信。尽管是加密的,这种连接方式容易受到黑客攻击,攻击者利用这些漏洞将勒索软件上传到公司的服务器。
加密
一旦进入系统,勒索软件便开始加密受害者的文件。加密勒索软件使用如下加密方法:
- RSA(Rivest–Shamir–Adleman):一种非对称加密算法,使用公钥和私钥对。公钥用来加密文件,而私钥则由攻击者持有,用于解密文件。
- AES(高级加密标准):一种对称加密方法,使用相同的密钥进行加密和解密。勒索软件使用这种方法加密文件,密钥则存储在攻击者手中。
恶意软件针对包括文档、图片、视频和数据库在内的文件类型进行攻击,任何对受害者有价值的内容都会成为目标。在此过程中,用户可能甚至没有注意到数据已被锁定,直到加密完成,这使得他们没有立即的恢复选项。
主要勒索软件攻击的一个显著特点是,它们通常发生在假期或大部分员工不在线的时间,以避免被发现。
赎金要求
来源:Proofpoint
在加密数据后,勒索软件会向受害者显示赎金通知,通常通过弹出窗口、文本文件或HTML页面的形式。
一屏赎金要求,要求支付比特币以换取私钥
来源:Varonis
赎金通常以比特币或Monero的形式要求,并提供一个支付网站链接或联系攻击者的方法(有时托管在暗网)。
来源:Proofpoint
如果受害者同意要求并转账支付赎金,攻击者可能会提供解密密钥以解锁文件。然而,支付赎金并不能保证攻击者会履行承诺。在某些情况下,受害者即使支付了赎金,也可能永远得不到解密密钥,或者可能面临额外的赎金要求。
网络安全专家和执法机构不建议支付赎金,因为网络犯罪分子可能采取双重勒索的手段,攻击者不仅加密受害者的文件,还窃取敏感数据。然后,他们威胁如果不支付另一笔赎金,将释放或出售这些数据。
著名的加密勒索软件攻击
WannaCry (2017)
WannaCry是历史上最臭名昭著且最广泛的勒索软件攻击之一。它利用了微软Windows中的一个漏洞,名为EternalBlue,该漏洞此前被Shadow Brokers黑客组织从美国国家安全局(NSA)窃取。WannaCry影响了150个国家超过20万台计算机,包括英国国家健康服务(NHS)、联邦快递(FedEx)和雷诺(Renault)等主要机构。它造成了广泛的破坏,尤其是在医疗系统中,患者服务受到了严重影响。
WannaCry赎金通知
来源:CyberSpades
攻击者要求支付300美元的比特币作为解密密钥的交换,但许多受害者即使支付了赎金也无法恢复他们的数据。最终,一名安全研究员通过激活恶意软件代码中的“杀死开关”停止了攻击,但在此之前,攻击已经造成了数十亿美元的损失。
NotPetya (2017)
NotPetya是一种双重破坏性恶意软件,既充当勒索软件,又是旨在造成破坏的擦除型恶意软件,目的是摧毁系统而非提取赎金。
NotPetya赎金通知
该恶意软件似乎要求支付比特币赎金,但即使支付后,恢复加密数据也是不可能的,这表明金钱并不是其真正的目标。与传统勒索软件不同,NotPetya似乎具有政治动机,在与俄罗斯的地缘政治紧张时期,主要针对乌克兰。尽管最终传播到全球,它还是对包括马士基、默克和联邦快递在内的大型跨国公司造成了损害,导致全球财务损失预计超过100亿美元。
DarkSide (2021)
DarkSide在攻击美国最大的燃油管道——科罗尼尔管道后,获得了全球关注,此次攻击导致美国东海岸出现燃油短缺。该攻击中断了燃料供应,并引发了广泛的恐慌性购买。科罗尼尔管道最终支付了440万美元的比特币赎金,尽管FBI后来追回了部分赎金。
DarkSide赎金通知
勒索软件即服务 (Ransomware-as-a-Service)
勒索软件即服务(RaaS)是一种商业模式,在这种模式下,勒索软件的创造者将其恶意软件租赁给合作伙伴或其他网络犯罪分子。合作伙伴使用这些软件执行攻击,并与勒索软件开发者分成赎金利润。
REvil
REvil(也称为Sodinokibi)是最为复杂的勒索软件团伙之一,作为勒索软件即服务(RaaS)运营进行运作。
REvil与全球多个组织的高调攻击有关,包括全球最大的肉类供应商JBS和软件公司Kaseya。这次攻击影响了超过1,000家依赖其软件产品的企业。
Clop
Clop是另一个勒索软件即服务(RaaS),通过大规模的定向钓鱼攻击针对企业并要求支付高额赎金。Clop的操作者使用双重勒索技术:在加密数据之前窃取数据,并威胁如果不支付赎金,就泄露敏感信息。
2020年,Clop与Accellion文件传输软件相关的大规模数据泄露事件有关,影响了多个大学、金融机构和政府机构。
防御加密勒索软件
最有效的防御措施是从防止恶意软件进入系统开始。以下是一些可以保护计算机免受勒索软件攻击的措施:
网络安全意识
用户和员工应接受培训,识别和应对钓鱼邮件或可疑附件等威胁。定期进行网络安全意识培训可以显著降低意外感染的风险。
软件更新
定期更新操作系统、应用程序和安全软件的补丁,可以通过减少过时软件带来的漏洞,降低勒索软件攻击的风险。
备份数据
如果发生勒索软件攻击,拥有最新的备份可以让受害者在不支付赎金的情况下恢复数据。备份应存储在离线或与网络没有直接连接的云环境中,以保护它们免受勒索软件感染。
邮件过滤
邮件过滤系统会扫描来信中的可疑链接、附件或特征。这些过滤器可以在邮件到达用户收件箱之前,阻止含有已知恶意元素的邮件。
网络分段和访问控制
网络分段限制了勒索软件一旦渗透系统后传播的范围,即使网络的一部分被攻破,损害也能得到控制。专家建议将敏感系统和数据与常规操作隔离,限制对关键区域的访问。
访问控制,如多因素认证(MFA)和最小权限原则(仅授予用户所需的访问权限),可以限制用户访问。如果攻击者获得了某个账户或系统的访问权限,分段和访问控制可以防止勒索软件在网络中横向传播,限制其影响范围。
终端检测和响应(EDR)解决方案
EDR解决方案提供终端活动的持续监控和分析,帮助检测勒索软件感染的早期迹象。这些工具可以自动响应可疑行为,将受感染设备隔离,并防止勒索软件在网络中扩散。
结论
加密勒索软件突显了加密货币的一种不当使用方式,犯罪分子利用区块链技术的匿名性。虽然针对加密货币作为赎金没有太多可以做的事情,但最有效的措施是通过避免钓鱼链接和定期进行软件更新来保护用户和系统免受勒索软件感染。
此外,保持定期的数据备份可以确保在发生攻击时,重要文件能够在不支付赎金的情况下恢复。网络分段作为另一项重要的防御措施,能够限制勒索软件的传播,将其限制在系统的特定部分,并保护未受影响的区域。
相关文章