第一,从To C用户转向To B政企,赎金大幅涨价。 现在的勒索病毒,从广泛而浅层的普通用户,明显转向了中大型政企机构、行业组织。有安全报告表明,自2018年6月以来,全球针对To B的勒索攻击增加了363%。 正如开篇提到的,全球最大的铝制品生产商、全球最大的助听器制造商、全球最大的飞机零件供应商等“全球最大系列”相继遭到攻击,这一切都是为了获取巨大的经济收益。 当然,赎金也在疯涨。当年席卷全球的WannaCry,其解密赎金也只是区区300美金; 但如今—— Sodinokibi勒索病毒,赎金在3个比特币(大约3万美元)起步; Ryuk勒索病毒, 11个比特币(大约12万美元)起步; 至于MegaCortex勒索病毒,最高赎金更高达600个比特币,相当于一次叫价580万美元;
而且,或许是受到GandCrab家族一年半内赚了20亿美金的鼓舞,MageCortex勒索病毒还特别在勒索信息中留下奋斗格言:“我们正在为赚钱而努力,这项犯罪活动的核心是获得赎金以后,以最原始形式归还您的宝贵数据。” 第二,从垃圾邮件到利用漏洞传播。 虽然勒索病毒有垃圾邮件、RDP口令爆破、网页挂马等多种传播途径,但万物皆有漏洞,那可能就是勒索病毒进来的地方。 例如Sodinokibi勒索病毒就集成了多个漏洞进行传播,包括Windows内核提权漏洞(CVE-2018-8453)、Confluence漏洞(CVE-2019-3396)、UAF漏洞(CVE-2018-4878)、Weblogic反序列化漏洞(CVE-2019-2725)等; 又例如,BitPaymer勒索病毒就利用了Apple的0day漏洞;GETCRYPT勒索病毒则利用RIGEK漏洞工具包;别忘了,还有连续利用IE+Flash双重漏洞,假冒Chrome浏览弹窗传播的勒索病毒Spora勒索病毒。 总之吧,勒索病毒利用漏洞打出组合拳,不仅中招率骤升,威胁层级也远超以往,从这个角度来讲,勒索病毒对杀软的拦截查杀技术,提出了更具挑战要求。 第三,打着勒索的幌子,实为获取情报或破坏数据。 今年有个案例就与窃取情报有关,9月份MalwareHunterTeam披露了一次不同寻常的勒索病毒事件。 它在感染目标中不断搜寻敏感信息,包括军事机密、银行信息、欺诈/刑事调查文件,行动举止完全不像为了图财。
更可疑的是,该“勒索病毒”还会查找Emma、Olivia、Noah、Logan 和 James 等美国社会保障部列出的2018年最常见的婴儿名字。 除了窃取情报,还有其他更奇怪的攻击案例,有些“勒索病毒”会对文件玩了命似的多次加密,甚至对文件进行无法修复的破坏,完全断了收赎金的后路。 而据分析,这很可能是APT黑客组织,在实施渗透、窃取国家企业机密数据之后,进一步投递的破坏性勒索病毒。为的是以勒索病毒作掩护,毁坏数据,消除入侵痕迹,掩盖真实攻击意图。 第四,手动投毒在变多。 手动投毒的好处是精准定位,黑客可以瞄准高价值定制服务器和系统。 所以手动植入病毒在增多,像Ryuk勒索病毒的感染和传播过程都是由攻击者手动执行的; 而Globelmposter勒索病毒也不具备主动传播性,是由黑客渗透进入内网后,在目标主机上人工植入; 还有MegaCortex病毒也是攻击者设法获得管理凭据作为“手动闯入”的一部分。 除了精准定位目标之外,这种方式还有其他好处:延长“驻留时间”,即从初始感染到安装勒索软件之间的一段时间。 在这种操作下,攻击者有时间对被感染网络进行分析,从而确定网络中最关键的系统,并获取感染这些系统的密码,随后才释放勒索软件,从而最大限度地造成损害。
Phobos病毒可能与Dharma病毒(又名CrySis)属于同一组织,并且该病毒在运行过程中会进行自复制,和在注册表添加自启动项,如果没有把系统残留的病毒体清理干净,很可能会遭遇二次加密。 总体来看,勒索软件种类激增、版本迭代, 但表现形式大体都逃不过数据加密、系统锁定、数据泄漏、诈骗恐吓等几大类。 |
| ·上一条:2019年全球勒索事件大盘点 | ·下一条:打印机打印防泄密有助于加密软件防泄密 |  |
