30年前一次奇怪的攻擊如何為勒索軟體佔領世界奠定了基礎

勒索軟體一直是整個2019年全球面臨的最多產的網路威脅之一，攻擊已達到危機水平，給全球網路安全帶來威脅。

從企業和學校到整個城市行政管理的組織都已成為網路加密惡意軟體攻擊的受害者，這些攻擊現在需要數十萬美元的比特幣或其他加密貨幣才能安全解鎖檔案。

儘管執法部門建議受害者不要屈服於網路罪犯的要求並支付贖金，但許多人選擇支付數十萬美元，因為他們認為這是恢復網路的最快，最簡便的方法。這意味著一些在2019年開展勒索軟體活動的犯罪集團賺了數百萬美元。

但是，當今世界上主要的網路禍害之一始於1989年12月，其起源遠不那麼卑微，一個人的私下活動最終將在30年後影響世界上一些最大的網路攻擊。

我們現在所稱的勒索軟體的第一個例項是AIDS Trojan，因為它針對的是誰–參加1989年在斯德哥爾摩舉行的世界衛生組織AIDS會議的代表。

黑客向參加者傳送了包含惡意程式碼的軟盤，該軟盤將自身安裝到MS-DOS系統上，並對計算機啟動的次數進行計數。當計算機第90次啟動時，該木馬隱藏了所有目錄並加密了驅動器上所有檔案的名稱，從而使其無法使用。

受害者看到的卻是一張據稱來自“ PC Cyborg Corporation”的便條，該便條說他們的軟體租約已到期，他們需要郵寄189美元到巴拿馬的一個地址才能重新訪問他們的系統。

為了使受害者重新獲得對計算機的使用權，這是勒索贖金的要求：這使它成為第一個勒索軟體。

當時第一個勒索軟體還需要通過郵寄費用。圖片：Sophos

幸運的是，該木馬使用的加密功能很弱，因此安全研究人員能夠釋出免費的解密工具，因此這場鬥爭一直持續到今天，網路罪犯開發了勒索軟體，研究人員試圖對其進行反向工程。

但是在此之後，勒索軟體再過20年才誕生，因為我們知道它現在才開始出現。與今天的勒索軟體相比，最初的攻擊仍然很簡單。

這種勒索軟體的常見形式是“警察查封”攻擊，如果從通常是從對等下載站點或託管海盜或成人材料的網站下載該檔案，則會將使用者的桌面更改為聲稱來自執法部門表示該機器由於涉嫌非法活動而被鎖定。

在這些攻擊中實際上沒有使用任何加密方法，並且在許多情況下，可以通過重新啟動計算機來刪除此病毒-但是對於某些人來說，恐懼因素迫使他們付了幾百美元。

雖然“警察查封”在2010年至2012年達到頂峰，但並沒有消失-但是被我們認為是“真正的”勒索軟體所取代。

“ 2012年至2014年是勒索軟體的狂野時代，這是一個新生意門道，而公眾卻不知道它是什麼，也不瞭解正在發生的事情-檔案加密。Emsisoft勒索軟體研究員Michael Gillespie說。

正是在這一點上，勒索軟體轉向了加密檔案，從而真正把受害者拉了上去，儘管很少有人要求贖金超過幾百美元，因為目標仍主要是家庭使用者，而且贖金以標準貨幣支付，這不是最隱祕的操作。

但是比特幣的繁榮幫助改變了一切，不久，分發勒索軟體的犯罪分子就要求以加密貨幣支付贖金，因為與常規貨幣相比，追蹤交易更加困難，這使得攻擊背後的交易更加難以發現。

到2016年，勒索軟體即服務已變得司空見慣，諸如Cerber之類的惡意軟體家族的創造者出租了進行攻擊的能力以換取利潤。事實證明，這是一種成功的商業模式，到今年年底，勒索軟體變種已成為最常見的惡意軟體家族之一。

2020網路安全預測：勒索軟體，移動惡意軟體攻擊將在2020年激增

勒索軟體攻擊正緩慢地但確實地轉移了他們的注意力，許多專業犯罪組織從攻擊家庭使用者轉向了以企業和公共部門組織為目標，加密整個網路並賺取了數萬美元。

儘管如此，勒索軟體仍在資訊保安領域之外受到關注，但在2017年5月，隨著WannaCry勒索軟體的出現，這種情況永遠改變了。

那天，全世界各地組織的人們發現自己面臨一條資訊，要求勒索贖金以換取檔案的安全歸還。WannaCry在EternalBlue的幫助下在世界範圍內傳播，EternalBlue是一個洩漏的NSA黑客工具，已在幾個月前公開發布。

如果安全研究人員沒有找到襲擊的“殺手開關”，則造成的損失將更大得多， 而後者後來被歸咎於朝鮮。但是，即使組織確實支付了贖金，也沒有用於檢索檔案的機制–攻擊本質上似乎純粹是破壞性的。

幾周後，NotPetya（一種很可能是俄羅斯軍事情報部門發起的攻擊）也襲擊了全世界的目標時，發生了類似的情況。它看起來像勒索軟體，但是卻像是破壞性的格式化武器。

但是，儘管這兩種事件都具有很高的知名度，但勒索軟體並沒有結束，因為組織繼續讓網路開放以遭受網路攻擊者的破壞，網路攻擊者很快發現了另一種使勒索軟體更加強大的新方法–黑客意識到，他們不僅可以通過網路釣魚攻擊來傳播惡意軟體，而且比以前更有利可圖。

Darktrace威脅搜尋總監Max Heinemeyer說：“ WannaCry是正規化轉變。因為那時人們意識到他們可以將橫向移動與勒索軟體之類的強大負載結合在一起。”

從那時起，使用勒索軟體的網路犯罪分子變得更加大膽，攻擊變得越來越大。現在，當整個網路遭到黑客入侵時，勒索軟體已成為一種通過攻擊獲利的手段。

通過結合針對面向Internet的埠的攻擊，使用被盜憑據，跨網路橫向移動以及其他技術，攻擊者將在整個網路中蜿蜒前進，直到他們破壞了所有可能的威脅為止，然後才最終釋放出勒索軟體並刪除了所有東西–通常包括伺服器和備份。

這導致勒索軟體成為一項極為賺錢的業務，攻擊者經常要求解密金鑰六位數的數字，儘管涉及數量眾多，但在2019年，許多組織選擇支付贖金。

在許多情況下，這被看作是兩個弊端較小的組織，因為從頭開始恢復網路可能需要數週的時間，不僅成本高昂，而且在網路關閉期間，組織將損失大量業務。因此受害者付了錢，向攻擊者證明了勒索軟體的有效性。

因此，勒索軟體分發者很少被繩之以法，勒索軟體比以往任何時候都變得更加棘手，問題將持續到2020年。 

但是，通過做一件簡單的事情，各種規模的組織都可以應對勒索軟體攻擊造成的威脅：確保他們擁有系統的離線備份，並確保定期測試這些備份。

Gillespie說：“這是Schrödinger的備份：在您必須從備份還原之前，其狀態是未知的：您需要知道備份是否會在發生某些事情時為您節省時間。”

他補充說：“有時候人們通常不想為IT付費，他們不想為他們可能永遠不會使用的儲存安全網付費-但是有很多選擇，而且從總體上看，這對您來說更好。” 。

如果組織保護其網路免受攻擊，並確保在最壞的情況下可以使用備份，則他們不必支付贖金–如果人們不支付贖金，網路罪犯將停止看到勒索軟體有利可圖。

也許如果現在吸取這些教訓，勒索軟體將不會在未來30年內困擾企業- 但不幸的是，勒索軟體有可能在變得更好之前變得更糟。

延伸閱讀：

勒索軟體攻擊將變成資料洩露”，“三年有期徒刑”你們準備好了嗎？

混跡安全圈，每日必看！

掃碼關注我們