勒索軟件的成長(zhǎng)史:從理想主義到利益至上
無(wú)論從哪個(gè)角度來(lái)看,第一個(gè)勒索軟件的誕生都充滿了一定的理想主義,其并沒(méi)有被大規(guī)模分發(fā),而是僅針對(duì)艾滋病大會(huì)進(jìn)行定向傳播,目的更像是宣傳自己的政治與學(xué)術(shù)態(tài)度,或只是簡(jiǎn)單的惡作劇。而且,由于其只使用了簡(jiǎn)單的對(duì)稱密碼,因此很快就被解密工具輕松恢復(fù)。
在此后的十七年間,由于沒(méi)有更好的加密方法,勒索軟件基本上“銷聲匿跡”——直到2006年“Archievus”的出現(xiàn)。Archiveus是第一個(gè)使用非對(duì)稱加密的勒索軟件,它主要采用RSA加密方法,會(huì)對(duì)“我的文檔”目錄里面的所有內(nèi)容進(jìn)行加密。更值得關(guān)注的是,這個(gè)勒索軟件開(kāi)始把魔爪伸向受害者的錢包了,他會(huì)要求用戶從特定網(wǎng)站來(lái)購(gòu)買以獲取解密文件的密碼,而這個(gè)方式至今是勒索軟件的主流獲利方式。
勒索軟件發(fā)展的另一個(gè)標(biāo)志性事件則是以數(shù)字貨幣為代表的匿名支付方式的出現(xiàn),銀行轉(zhuǎn)賬等傳統(tǒng)的支付方式讓網(wǎng)絡(luò)勒索者很容易暴露在執(zhí)法機(jī)關(guān)的打擊力量之下,而通過(guò)匿名支付方式,網(wǎng)絡(luò)勒索者將可以更好地隱藏自己、“安全”的獲得高額收益。在利益的驅(qū)動(dòng)下,勒索軟件開(kāi)始在地下網(wǎng)絡(luò)市場(chǎng)中逐漸的流行起來(lái),開(kāi)始成為用戶必須要正視的威脅。
2013年9月,網(wǎng)絡(luò)不法分子找到了適用于勒索軟件的新型加密方法,即采用AES-256lai加密特定擴(kuò)展名的文件,并利用2048位RSA密鑰來(lái)加密AES-256位密鑰,這讓被加密文件的恢復(fù)變得極度困難,束手無(wú)策的受害者往往只能選擇向不法分子支付贖金。而大名鼎鼎的“WannaCry”勒索蠕蟲(chóng)采用的也正是這種加密方式,該勒索蠕蟲(chóng)在2017年肆虐,至少150個(gè)國(guó)家、30萬(wàn)名用戶中招,造成損失達(dá)80億美元,影響極為深遠(yuǎn)。
如今,勒索軟件已經(jīng)成長(zhǎng)為主流的安全威脅之一。亞信安全安全分析報(bào)告顯示,勒索軟件病毒已經(jīng)在全球范圍內(nèi)呈現(xiàn)爆發(fā)態(tài)勢(shì),美國(guó)、日本、中國(guó)、歐洲都成為勒索軟件肆虐的“重災(zāi)區(qū)”。網(wǎng)絡(luò)不法分子還針對(duì)每個(gè)地區(qū)的語(yǔ)言及經(jīng)濟(jì)文化特點(diǎn),對(duì)勒索軟件進(jìn)行了本地化,以提升索要贖金的成功率。
勒索軟件持續(xù)演進(jìn):商品化趨勢(shì)日漸明顯
由于具備一旦加密就極難被破解,以及可以獲得直接巨額收益的特點(diǎn),勒索軟件的威脅在可預(yù)見(jiàn)的未來(lái)還將持續(xù)擴(kuò)展。為了躲避網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的查殺,勒索軟件新變種正在不斷產(chǎn)生,這使得傳統(tǒng)基于特征碼的防護(hù)方式效用大減,不法分子可以通過(guò)魚叉式釣魚郵件、漏洞利用傳播、軟件捆綁安裝等方式進(jìn)行廣泛傳播。
圍繞著勒索軟件新變種的開(kāi)發(fā)、傳播,以及感染渠道與工具的交易,已經(jīng)形成了一個(gè)組織嚴(yán)密、規(guī)模龐大的勒索軟件地下灰色交易市場(chǎng)。安全研究人員發(fā)現(xiàn),目前地下黑市非常流行的一種勒索軟件交易鏈條是:黑客負(fù)責(zé)勒索軟件最新變種的開(kāi)發(fā),并可以將其轉(zhuǎn)讓給任何用戶,前提是他們必須支付一定比例的收益贖金。除了核心的勒索軟件產(chǎn)品外,地下黑色市場(chǎng)還提供與勒索行為相關(guān)的額外功能與服務(wù),包括對(duì)于多平臺(tái)的支持、針對(duì)特定產(chǎn)品的漏洞進(jìn)行定制化等。
對(duì)此,亞信安全提醒用戶,勒索軟件的商品化使得組織與個(gè)人面臨的勒索軟件風(fēng)險(xiǎn)大幅增加,而隨著地下黑產(chǎn)市場(chǎng)的進(jìn)一步演進(jìn),勒索軟件的產(chǎn)業(yè)鏈將進(jìn)更加細(xì)化、專業(yè)化,即使是毫無(wú)攻擊經(jīng)驗(yàn)的新手,也能夠通過(guò)購(gòu)買這些產(chǎn)品和服務(wù),快速地發(fā)動(dòng)攻擊。此外,商品化也使得勒索軟件攻擊的方式更加靈活,對(duì)于安全防護(hù)提出了更高的要求。
防范勒索軟件:以精密編排能力建立聯(lián)動(dòng)防護(hù)機(jī)制
在如今的勒索軟件攻擊中,網(wǎng)絡(luò)不法分子更擅長(zhǎng)利用社交工程(social engineering )誘餌,以及簡(jiǎn)歷、訂單和護(hù)照等作為郵件主題,發(fā)動(dòng)垃圾郵件或定向式攻擊,一旦受害者收到這些郵件并點(diǎn)擊鏈接或是下載附件,就有可能導(dǎo)致感染勒索軟件。因此,要更好地防范勒索軟件的攻擊,需要從建立精密編排的聯(lián)動(dòng)安全體制,以及“人”兩方面同時(shí)著手。
首先,企業(yè)需要從安全編排(Security Orchestration)、自動(dòng)化(Automation)和響應(yīng)(Response)的角度建立應(yīng)對(duì)勒索軟件的安全防線。這與亞信安全最新發(fā)布的XDR方案“不謀而合”,即利用精密編排的聯(lián)動(dòng)安全解決方案,將安全產(chǎn)品以及安全流程連接整合起來(lái),這其中涵蓋了“準(zhǔn)備、發(fā)現(xiàn)、分析、遏制、消除、恢復(fù)、優(yōu)化”7個(gè)階段,并針對(duì)勒索軟件的威脅制定攻擊標(biāo)準(zhǔn)預(yù)案,以建立多層次、立體化的防御體系。
在具體實(shí)施中,通過(guò)終端、網(wǎng)絡(luò)端發(fā)現(xiàn)勒索軟件攻擊的跡象后,亞信安全可以將數(shù)據(jù)集中到本地威脅情報(bào)和云端威脅情報(bào)進(jìn)行分析,利用機(jī)器學(xué)習(xí)和專家團(tuán)隊(duì),將勒索軟件的特征提取出來(lái),繼而聯(lián)動(dòng)所有終端協(xié)同處理,以遏制、清除勒索軟件的各種變種,并對(duì)其造成的破壞進(jìn)行恢復(fù)和優(yōu)化。
在產(chǎn)品層面,首先,企業(yè)用戶可通過(guò)部署亞信安全防毒墻網(wǎng)絡(luò)版OfficeScan、亞信安全深度威脅安全網(wǎng)關(guān)Deep Edge,以及服務(wù)器深度安全防護(hù)系統(tǒng)Deep Security等產(chǎn)品,在云、管、端建立封堵勒索軟件的第一道防線。其中OfficeScan具有勒索病毒防御功能(AEGIS),可以有效阻攔勒索病毒對(duì)用戶文件加密;Deep Edge則兼具偵測(cè)、分析和攔截的功能,針對(duì)加密勒索軟件攻擊路徑,建立有效的“抑制點(diǎn)”,再加持深度威脅郵件網(wǎng)關(guān)DDEI,更有效地阻止了勒索郵件的攻擊。其次,用戶可以通過(guò)沙箱類產(chǎn)品,以及調(diào)查取證設(shè)備等產(chǎn)品對(duì)勒索軟件的攻擊進(jìn)行分析、驗(yàn)傷及取證,實(shí)現(xiàn)事件溯源,為后續(xù)的恢復(fù)和優(yōu)化打下基礎(chǔ)。
從“人”的角度來(lái)看,企業(yè)需要加強(qiáng)對(duì)于員工的網(wǎng)絡(luò)安全培訓(xùn),讓員工正確認(rèn)識(shí)勒索軟件存在的巨大威脅,在接收郵件時(shí)保持充分的警惕心,以防范利用社交工程誘餌傳播的勒索軟件。另外,員工還應(yīng)該養(yǎng)成良好的文件保存習(xí)慣,重要文件應(yīng)該同時(shí)在本地與云端保存多副本,避免文件被加密之后無(wú)法恢復(fù)。