執行摘要:
對組織和個人使用者來說,勒索軟體是一個持續的嚴重安全威脅。作為一種惡意工具,它的設計越來越精妙,傳播能力更強,面向人群更廣,適用於各種攻擊人群。本報告介紹了勒索軟體的設計、傳播、執行和商業模式,此外,還探討了勒索軟體的加密方法和執行時活動以及檢測和緩解指標。
經過多年發展,勒索軟體已然成熟,即便是技術小白也可以輕易上手。同時,出現了許多變種,用於勒索軟體即服務(RaaS)。RaaS降低了勒索軟體作者的風險,因為他們並未親自發動攻擊,同時降低了成員組織發動攻擊的成本。此外,截至2019年,有部分勒索軟體攻擊者威脅說,如果受害者拒不支付贖金,他們將公開披露其敏感資料。他們是這麼說的,也是這麼做的。
勒索軟體使用強加密,在實現上基本無缺陷,只有金鑰才能解密。勒索軟體之所以能成功感染目標,原因如下:
1. 郵件未過濾;
2. 使用者缺乏安全意識,無意中開啟惡意電子郵件附件;
3. 有漏洞的系統和應用程式未及時修復;
4. 作業系統缺乏啟發式的主動監控。
本報告建議採取主動和被動兩種方法,避免支付贖金,同時最大限度地減少資料丟失。要抵禦勒索軟體,最好的辦法是離線備份所有資料,經常進行這種操作會最大限度地減少資料丟失,更有底氣地拒付贖金。此外,要防護非法資料轉移(Data Exfiltration)帶來的資料洩露(Data Breach)威脅,組織應對靜態資料進行加密。
當前,勒索軟體攻擊的主要目標是政府機構和醫療、教育及運輸行業的關鍵系統。勒索軟體將會長期存在,隨著RaaS的出現,威脅範圍還可能會擴大。頻繁的離線備份、持續的使用者意識培訓以及對系統和網路安全的增強都有助於檢測和防護勒索軟體。
概述
勒索軟體是當今最有利可圖的一種網路犯罪方案。簡單說,勒索軟體阻止受害者訪問自己的資料,以此要挾受害者支付贖金。勒索軟體攻擊幾乎每天都在發生,受害者從大型組織到個人電腦使用者不一而足。大多數受害者為恢復資料,最終選擇支付贖金。勒索軟體攻擊的成功依賴於下述重要安全缺陷:
l 郵件過濾機制無法識別、阻止收到的惡意郵件(網路釣魚和惡意垃圾郵件等);
l 使用者缺乏安全意識,不知道如何檢測、預防和報告潛在的可疑郵件,無意中就會開啟並執行惡意郵件附件,將惡意軟體引入系統;
l 當前基於主機的惡意軟體檢測軟體不夠強大,難以防止終端使用者受到攻擊,儘管有各種安全措施,仍無法阻止勒索軟體攻擊。
l 因為安全缺陷的存在以及快速盈利的能力,勒索軟體威脅持續惡化。許多行業想方設法瞭解攻擊情況,以減輕威脅,並在必要時做好應對準備。就這些問題,本報告基於最新資訊,闡述了勒索軟體的定義、工作機制以及防護方法。
1.1 定義
從定義上說,勒索軟體是資料加密和勒索元件。由於加密資料需要攻擊者參與才能恢復,所以,勒索軟體攻擊會要求支付不同數額的贖金,而在大多數情況下,這種要求都會得到滿足。勒索軟體的其他特徵與其他惡意程式碼並無二致,因而可以納入惡意軟體範疇。勒索軟體所使用的加密方式通常讓受害者別無他選,為恢復資料只能支付贖金。除非組織準備充分,能夠恢復資料,或者加密檔案沒有價值,否則他們最終只能按照要求支付贖金。
可以說,這類惡意軟體的典型特徵就是要求贖金。不過,恐嚇軟體(如FakeAV)之類的惡意程式碼也會試圖誘使使用者付費以清理計算機或刪除惱人的彈出視窗等。勒索軟體屬於密碼病毒學領域,該領域主要研究惡意軟體使用加密技術的方法。國土安全部(DHS)網路安全與基礎設施安全域性(CISA)基於勒索軟體的這些特徵提供了一個準確的定義:
勒索軟體是一種惡意軟體,用以阻止使用者訪問計算機系統或資料,直至支付贖金。(網路安全與基礎設施安全域性(CISA),2020年)
1.2 發展近況
近年來,由於相關技術的進步和潛在利潤的誘惑,勒索軟體不斷髮展壯大。攻擊範圍已從針對個人使用者轉向針對醫療、政府機構、高校和公司。勒索軟體加密機制已經從功能不那麼完善的定製實現發展到行業公認的標準加密演算法。使用加密的匿名通道與命令控制(C2)伺服器通訊是某些勒索軟體的常見功能。支付方式也發生了變化,從電匯和預付卡轉向使用加密貨幣(如比特幣)。
在演進過程中,勒索軟體開始根據欲加密資料的型別進行調整。早期的勒索軟體樣本主要是加密使用者文件和圖片,而近期的勒索軟體變種除了使用者檔案,還關注網路儲存、資料庫和網站。由於使用者越來越多地嘗試透過備份恢復加密資料,勒索軟體迅速調整,開始嘗試定位、加密用以備份檔案的網路儲存。2019年,勒索軟體開始轉移公司資料,受影響公司若未按要求支付贖金,則公佈這些資料。除了這種新型的資料轉移威脅,有些勒索軟體還會索取這兩項費用:(1)解密加密資料;(2)防止公佈資料。這些改變表明勒索軟體作者能力非凡,能夠應時而變,順勢而為。
1.3 業務模式
勒索軟體是在利益驅動下產生的犯罪方案,可為犯罪分子帶來豐厚回報。任何人都可能遭受勒索軟體攻擊,同一勒索軟體既能攻擊企業,也能攻擊個人。它不受目標影響,對社會的多個部門造成重大影響。
加密貨幣的存在是勒索軟體成功的關鍵因素。比特幣等加密貨幣交易基本上不受法律當局監管,所以,網路犯罪分子將贖金支付從監管嚴厲的金融環境轉移到監管相對寬鬆的區域。
此外,勒索軟體主要是一種基於服務的業務。與所有以盈利為目的的基於服務的商業模式一樣,它也是一手交錢,一手交貨,勒索軟體服務主要包括提供解密金鑰、解密軟體和客戶支援。
成功的勒索軟體方案擅長提供這種服務。勒索軟體往往組織良好,能夠為每個受害者提供唯一的識別符號,然後透過這些識別符號傳遞正確的解密金鑰。解密軟體通常能正常工作,所有被加密的檔案都會完全恢復到原狀。這種軟體易於使用,通常支援多種語言,即使是非技術人員也能輕鬆搞定。
勒索軟體商業模式基於以下基本假設,這些假設基本正確,促進了勒索軟體的商業成功:
大多數使用者不定期備份資料。勒索軟體在經濟上的成功表明大多數受害者並未妥善備份資料,否則,就不會有那麼多人付款了。2019年,Backblaze對1858名參與者(每人擁有至少一臺電腦)進行了一項調查。結果表明,只有9%的使用者每天備份資料,20%的使用者從不備份資料,38%的使用者只在想起時才備份資料。(Bauer,2019年)
Backblaze從2008年開始對備份頻率進行年度調查。2008–2019年的結果如表1所示。在12年的時間裡,只有一小部分使用者每週備份資料;19–26%的使用者每年備份一次;20–35%的使用者稱從未備份過資料,這類使用者所佔比例最大。不過,隨著時間的推移,備份頻率呈緩慢上升趨勢。
表1:Backblaze 2008–2019計算機備份頻率調查資料
加密的數學設計非常複雜,難以破解。眾所周知,加密的數學基礎是使用較大的數字序列,目的是耗費超長時間來驗證所有可能的匹配。
使用者易受網路釣魚攻擊。根據威瑞森(Verizon)公司的《2019年資料洩露調查報告》,研究發現,郵件附件是網路事件中最常見的切入點。報告指出,在檢測到的惡意軟體中,90%以上是透過郵件傳播的,勒索軟體也是如此。(威瑞森,2019年)過去幾年間,網路釣魚郵件的使用者點選率已降至3%。然而,Avant研究集團公司的研究表明,與移動硬體和軟體的互動方式決定了使用者更容易透過移動裝置受到網路釣魚攻擊。由於螢幕尺寸小,描述資訊也隨之縮小,因而,在移動介面上很難驗證郵件。最後,Avant研究還調查了移動使用者行為的多工方面,發現移動介面會影響使用者對細節的關注。
組織有多重顧慮。勒索軟體的作者發現,相較於普通使用者,企業更不願意喪失對自己資料的訪問許可權,哪怕是很短的時間。雖然組織更可能會頻繁備份資料,但同時也希望其服務始終可用。即使勒索軟體只加密資料中心的部分資料且恢復備份只需要一天時間,仍然會造成業務暫時離線。鑑於此,企業常常會支付贖金,以更快地恢復運營,最大可能地避免資料丟失。最近,佐治亞州傑克遜縣政府機構為解密金鑰支付了40萬美元的贖金,此前Ryuk駭客衝擊了該縣的執法部門、緊急排程業務和監獄。(Novinson,2019年十大勒索軟體攻擊;佐治亞州傑克遜縣,2019年)。在另一類似事件中,佛羅里達州萊克城的政府官員向Ryuk勒索軟體駭客支付了46萬美元的比特幣,以解密該市的資料。(Novinson,2019年十大勒索軟體攻擊;佛羅里達州萊克城,2019年)通常情況下,支付贖金被視為成本最低的應對方案,尤其是與未來利潤的潛在損失和負債相比。
終端使用者機器連線到網路。在公司環境中,終端使用者的膝上型電腦或桌上型電腦通常連線到多個網路伺服器,這些伺服器包含不同使用者的大量組織資料。使用者登入後,通常自動連線到這些伺服器,一般不需要進一步驗證遠端讀寫許可權。因此,勒索軟體一旦在使用者的本地機器上執行,就很容易發現、訪問和加密網路伺服器資料。利用這一漏洞,駭客可能會加密大量資料,收到贖金的可能性會更大。
勒索軟體商業模式的上述基本假設不包括對計算機的一般假設,例如軟體沒有定期更新、顛覆大多數安全產品的能力等,因為這些假設的存在,各種惡意軟體(並非只是勒索軟體)才得以大行其道。
譯者宣告 :由綠盟科技部落格與“安全加”社群小蜜蜂公益翻譯組合作完成,免責宣告及相關責任由“安全加”社群承擔。
原文資訊:
SOFTWARE ENGINEERING INSTITUTE
CARNEGIE MELLON UNIVERSITY
CURRENT RANSOMWARE THREATS
小蜜蜂翻譯組公益譯文專案:旨在分享國外先進網路安全理念、規劃、框架、技術標準與實踐,將網路安全戰略性文件翻譯為中文,為網路安全從業人員提供參考,促進國內安全組織在相關方面的思考和交流。
下期預告:本文是全系列的第一講。本系列的第二講,將為大家介紹勒索軟體威脅現狀,敬請期待……