勒索软件多年来一直以私营部门为目标。
人们对安全措施的必要性的整体意识正在增强,网络犯罪分子正在提高其在目标防御系统中定位存在安全漏洞的受害者的精确性。回顾过去三年,以勒索软件为目标的用户在检测到的恶意软件总数中所占的比例已从2.8%上升到3.5%。尽管这似乎是一个很小的数目,但勒索软件却能够在受影响的系统和网络中造成广泛的破坏,这意味着这一威胁永远不可忽视。勒索软件目标在受到恶意软件攻击的所有用户中的比例一直在波动,但似乎正在下降,2019年上半年的数字显示为2.94%,而两年前为3.53%。
受勒索软件攻击的用户所占份额与受到恶意软件攻击的所有用户所占份额
每年受到攻击的用户总数已更改。卡巴斯基专家通常每六个月观察大约90万至近120万受勒索软件攻击的用户。
2017年上半年至2019年上半年受到勒索软件攻击的用户数量
尽管有许多极其复杂的加密样本,但是它们如何工作的机制却非常简单:将受害者计算机上的文件转换为加密数据,并要求赎金用于解密密钥。这些密钥是由威胁参与者创建的,用于解密文件并将其转换回原始数据。没有钥匙,就不可能操作被感染的设备。恶意软件可以由威胁的创建者分发,出售给其他参与者或创建者的合作伙伴网络-“外包”的分发者,他们与技术持有者分享了成功勒索软件攻击的收益。
2019年,这一瘟疫正积极地朝着新目标-市政当局转移。可以说,最著名,讨论最广泛的事件是在巴尔的摩,它遭受了大规模的勒索软件活动,导致大量城市服务瘫痪,并需要数千万美元来恢复该城市的IT网络。
根据卡巴斯基专家监控的公开统计数据和公告,2019年至少有174个市政组织受到了勒索软件的攻击。与一年前报告遭受攻击的受害者的城镇数量相比,增加了大约60%。尽管并非所有人都证实了勒索资金的数额以及是否已支付赎金,但赎金的平均需求在5,000美元至5,000,000美元之间,平均约为1,032,460美元。但是,数字差异很大,例如,从小城镇学区勒索的资金有时比从大城市市政厅勒索的资金小20倍。
但是,根据独立分析师的估计,袭击造成的实际损失通常与犯罪分子要求的数额有所不同。首先,为一些市政机构和供应商提供了针对网络事件的保险,这可以以一种或另一种方式补偿成本。其次,通常可以通过及时的事件响应来消除攻击。最后但并非最不重要的一点是,并非所有城市都支付了赎金:在巴尔的摩加密案中,官员拒绝支付赎金,该城市最终落成花费1800万美元来恢复其IT基础架构。虽然这笔钱似乎比犯罪分子要求的最初的114,000美元要多得多,但支付赎金是一种短期解决方案,鼓励威胁行为者继续其恶意行为。您需要记住,一旦城市的IT基础架构遭到破坏,就需要进行审核和彻底的事件调查,以防止再次发生类似的事件,此外,还需要实施强大的安全解决方案,从而需要支付额外的费用。
攻击场景各不相同。例如,攻击可能是不受保护的远程访问的结果。但是,总的来说,有两个切入点可用来攻击市政当局:社会工程和未更新软件的破坏。卡巴斯基专家每季度观察到一个生动的例证说明后一个问题:几乎在用户设备上最经常被阻止的勒索软件排名的历史最高者是WannaCry。尽管微软为其Windows操作系统发布了一个补丁程序,该补丁程序在攻击开始前几个月就已关闭了相关漏洞,但WannaCry仍然影响了全球数十万台设备。更令人吃惊的是它仍然存在并繁荣发展。的最新统计数据卡巴斯基(Kaspersky)在2019年第三季度收集的数据表明,WannaCry流行结束了两年半之后,加密货币所针对的所有用户中有五分之一受到了WannaCry的攻击。此外,2017年至2019年中的统计数据表明,WannaCry一直是最受欢迎的恶意软件样本之一,占该时期内勒索软件攻击的所有用户的27%。
另一种情况是,犯罪分子利用人为因素:这可以说是最被低估的攻击手段,因为对员工进行安全卫生方面的培训远未达到应有的普遍水平。许多行业由于员工失误而损失了巨额资金(在某些行业中,这种情况占所有事件的一半),包含危险恶意软件安装程序的网络钓鱼和垃圾邮件仍在网上流传并到达受害者手中。有时,这些受害者可能正在管理公司的帐户和财务,甚至不怀疑打开诈骗邮件并在其计算机上下载似乎是PDF文件的文件可能会导致网络受到损害。
在整个2019年遭受攻击的众多类型的市政组织中,有些组织受到的攻击要多于其他组织。
最具针对性的实体无疑是教育组织,例如学区,约占所有攻击的61%:2019年,针对105多个学区的行动受到打击,有530所学校成为目标。这个部门受到了沉重的打击,但是却表现出一定的弹性:尽管一些大学不得不取消课程,但尽管缺乏技术支持,许多教育机构还是采取了继续学习的立场,声称计算机只是最近才成为教育过程的一部分,并且教职员完全有能力教没有他们的学生。
市政厅和市政中心同时,约占案件总数的29%。威胁行动者通常将目标对准流程的核心,如果这些流程停止,将导致绝大多数公民和地方组织的重要流程中断极具问题。不幸的是,由于工作流程(尤其是在没有先进基础设施的安静小镇或乡村中)不需要高计算能力,因此这类机构仍然经常配备薄弱的基础设施和不可靠的安全解决方案。结果,当地人通常不必费心更新旧计算机,因为它们看起来仍然运行良好。这可能与一个常见错误有关,在该错误中,安全更新与软件中引入的设计更改或技术开发相关联,
另一个受欢迎的目标是医院,占所有攻击的7%。尽管一些黑帽黑客和网络犯罪集团声称拥有行为准则,但在大多数情况下,攻击者纯粹是出于经济利益的前景,而去寻求不能忍受长时间中断的重要服务,例如医疗中心。
此外,遭受攻击的所有机构中约有2%是市政公用事业服务或其分包商。造成这种情况的原因可能是这样的服务提供商经常被用作整个设备和组织网络的入口点,因为它们负责在多个地点和家庭的计费方面进行通信。在威胁参与者成功攻击服务提供商的情况下,他们可能还会损害特定供应商或机构服务的每个地点。此外,公用事业服务的中断可能会导致重要的常规运营中断,例如为城镇或城市的居民提供在线支付服务以支付月度账单–这增加了受害者的压力,并迫使他们向短期但看似有效的解决方案–支付赎金。
让我们仔细看看在市政当局的攻击中一直活跃使用的恶意软件。
谁在动
Ryuk
尽管并非所有组织都公开了有关遭受攻击的勒索软件的技术细节,但Ryuk勒索软件(检测名称:Trojan-Ransom.Win32.Hermez)经常被引为市政当局事件的原因。众所周知,它攻击大型组织以及政府和市政网络。该恶意软件首次出现在2018年下半年,并且在整个2019年一直在变异和积极传播。
地理
前10个国家
国家 | %* | |
1 | 德国 | 8.60 |
2 | 中国 | 7.99 |
3 | 阿尔及利亚 | 6.76 |
4 | 印度 | 5.84 |
5 | 俄罗斯联邦 | 5.22 |
6 | 伊朗 | 5.07 |
7 | 美国 | 4.15 |
8 | 哈萨克斯坦 | 3.38 |
9 | 阿拉伯联合酋长国 | 3.23 |
10 | 巴西 | 3.07 |
*相对于该恶意软件在全球范围内攻击的所有用户,Ryuk在每个国家/地区攻击的用户所占的百分比
尽管有些国家受到的影响大于其他国家,但在世界各地都可以看到Ryuk。根据卡巴斯基安全网络的统计数据,在尝试攻击德国目标的案件中,有8.6%的事件是中国(8%)和阿尔及利亚(6.8%)。
传播
Ryuk背后的威胁行为者采用了多阶段计划,以将这种勒索软件交付给受害者。
初始阶段涉及通过Emotet bot(检测名称:Trojan-Banker.Win32.Emotet)感染大量计算机。通常,这是通过发送包含带有恶意宏的文档的垃圾邮件来实现的,如果受害者允许执行宏,则该恶意宏将下载机器人。
附有恶意文件的垃圾邮件
恶意文件
在感染的第二阶段,Emotet将收到来自其服务器的命令,以下载并安装另一种恶意软件Trickbot(判定为Trojan.Win32.Trickster)到受感染的系统中。这种恶意软件将使威胁参与者能够在受感染的网络中进行侦察。
如果犯罪分子发现他们已渗透到一个知名的受害者,例如大型市政网络或公司,则他们很可能会继续进行感染的第三阶段,并将Ryuk勒索软件部署到受影响网络中的许多节点。
技术简介
Ryuk自创建以来一直在发展,现有ITW的众多样本之间存在一定的差异。其中一些被构建为32位二进制文件,另一些则被构建为64位。一些变体包含将以代码注入为目标的进程的硬编码列表,其他变体将多个进程列入白名单,并将尝试注入所有其他进程;加密方案有时也因样本不同而不同。
我们将描述在2019年10月下旬发现的最新修改之一(MD5:fe8f2f9ad6789c6dba3d1aa2d3a8e404)。
文件加密
Ryuk的此修改使用混合加密方案,该方案采用AES算法对受害者文件的内容进行加密,并采用RSA算法对AES密钥进行加密。Ryuk使用Microsoft CryptoAPI提供的加密例程的标准实现。
该木马样本包含威胁参与者的嵌入式2048位RSA密钥。如果支付了赎金,则私密对方不会暴露,并且可能被犯罪分子用来解密。Ryuk将为每个受害文件生成一个新的唯一256位AES密钥,该密钥将用于加密文件内容。AES密钥由RSA加密,并保存在加密文件的末尾。
Ryuk加密本地驱动器和网络共享。加密的文件将获得一个附加扩展名(.RYK),包含罪犯电子邮件的赎金记录将被保存在附近。
赎金票据
附加功能
为了对网络造成更大的损害,此Ryuk变种使用了我们之前在其他勒索软件系列中未曾发现过的技巧。Trojan尝试唤醒处于睡眠状态但已配置为使用LAN唤醒的其他计算机。
Ryuk这样做是为了最大程度地扩大攻击范围:位于睡眠PC上的网络共享上的文件不可访问,但如果Trojan设法唤醒它们,它也可以对这些文件进行加密。为此,Ryuk从受感染系统的本地ARP缓存中检索附近机器的MAC地址,并将以魔术值{0xff,0xff,0xff,0xff,0xff,0xff}开头的广播UDP数据包发送到端口7,该端口将唤醒目标计算机。
实现局域网唤醒数据包广播的程序片段
Ryuk算法在勒索软件系列中较为传统的其他功能包括:将代码注入合法进程中以避免检测;尝试终止与业务应用程序相关的过程,以使这些程序使用的文件可用于修改;试图停止与业务应用程序和安全解决方案相关的各种服务。
Purga
这个勒索软件系列出现在2016年中期,并且仍在积极地开发和分布于世界各地。已针对城市进行了记录。该恶意软件的特征之一是,它攻击常规用户以及大型公司甚至政府组织。我们的产品将该恶意软件检测为Trojan-Ransom.Win32.Purga。Trojan家族也被称为Globe,失忆症或Scarab勒索软件。
地理
前10个国家
国家 | %* | |
1 | 俄罗斯联邦 | 85.59 |
2 | 白俄罗斯 | 1.37 |
3 | 火鸡 | 0.85 |
4 | 印度 | 0.80 |
5 | 哈萨克斯坦 | 0.74 |
6 | 德国 | 0.62 |
7 | 乌克兰 | 0.54 |
8 | 中国 | 0.46 |
9 | 阿尔及利亚 | 0.40 |
10 | 阿拉伯联合酋长国 | 0.40 |
* Purga在每个国家/地区攻击的用户所占百分比,相对于该恶意软件在全球范围内攻击的所有用户而言
传播
在这个家庭的整个生存过程中,其背后的罪犯都使用了各种类型的感染媒介。主要的攻击媒介是垃圾邮件运动和RDP暴力攻击。
根据我们的信息,这是当前最常见的攻击情形:
- 犯罪分子扫描网络以查找开放的RDP端口
- 他们尝试暴力破解凭据以登录到目标计算机
- 成功登录后,犯罪分子会尝试使用各种漏洞利用来提升特权
- 犯罪分子启动勒索软件
简短的技术说明
Purga勒索软件是高度密集开发的勒索软件的一个示例。在过去的两年中,犯罪分子改变了几种加密算法,密钥生成功能,密码方案等。
在这里,我们将简要介绍最新的修改。
命名方案:
Purga的每次修改都会为每个文件使用不同的扩展名,并使用不同的电子邮件地址进行联系。尽管对加密文件使用了各种扩展名,但该木马仅使用两种命名方案,具体取决于其配置:
-
- [原始文件名]。[原始扩展名]。[新扩展名]
-
- [加密文件名]。[新扩展名]
文件加密
在加密期间,特洛伊木马使用结合了对称和非对称算法的标准方案。使用随机生成的对称密钥对每个文件进行加密,然后使用非对称密钥对该对称密钥进行加密,并将结果存储在专门构建的结构中。
Stop
臭名昭著的Stop勒索软件(也称为Djvu STOP)于2018年底首次遇到。我们对该家族的检测名称是Trojan-Ransom.Win32.Stop,根据我们的统计数据,仅在2019年,Stop的各种修改勒索软件攻击了全球2万多名受害者。毫不奇怪,根据我们2019年第三季度的KSN报告,Stop勒索软件在最常见的勒索软件中排名第七。
地理
前10个国家
国家 | %* | |
1 | 越南 | 10.28 |
2 | 印度 | 10.10 |
3 | 巴西 | 7.90 |
4 | 阿尔及利亚 | 5.31 |
5 | 埃及 | 4.89 |
6 | 印度尼西亚 | 4.59 |
7 | 火鸡 | 4.30 |
8 | 摩洛哥 | 2.42 |
9 | 孟加拉国 | 2.25 |
10 | 墨西哥 | 2.09 |
*相对于此恶意软件在全球范围内攻击的所有用户,Stop在每个国家/地区攻击的唯一身份用户所占百分比
传播
作者选择主要通过软件安装程序来分发其恶意软件。当用户尝试从不受信任的站点下载特定软件或尝试使用软件破解程序时,他们的计算机受到勒索软件的感染而不是期望的结果。
简要技术说明
对于文件加密,Stop勒索软件使用随机生成的Salsa20密钥,然后使用公共RSA密钥对其进行加密。
文件加密例程中的代码片段
根据C&C服务器的可用性,Stop勒索软件会使用在线或离线RSA密钥。离线公共RSA密钥可以在每个恶意样本的配置中找到。
恶意软件的转储片段
结论与建议
2019年是对市政当局进行勒索软件攻击的一年,并且这一趋势很可能在2020年继续。针对市政当局的攻击次数不断增加的原因有多种。
首先,市政当局的网络安全预算通常更侧重于保险和应急响应,而不是主动防御措施。在这种情况下,唯一可能的解决办法就是支付罪犯并促进其活动。
其次,市政部门通常具有由多个组织组成的众多网络,因此,对它们的打击会同时在多个层次上造成中断,从而使整个地区的流程都陷入停顿。
此外,市政网络中存储的数据通常对于日常流程的运行至关重要,因为它直接关系到公民和地方组织的福利。通过打击这样的目标,网络犯罪分子将受到打击。
但是,简单的预防措施可以帮助对抗这种流行病:
- 必须尽快安装所有安全更新。大多数网络攻击利用已报告和解决的漏洞,因此安装最新的安全更新可降低受到攻击的可能性。
- 通过VPN保护对公司网络的远程访问,并为域帐户使用安全密码。
- 始终更新您的操作系统以消除最近的漏洞,并对更新的数据库使用可靠的安全解决方案。
- 始终保留文件的新备份副本,以便在丢失(例如,由于恶意软件或损坏的设备而丢失)时可以对其进行替换,并将它们不仅存储在物理介质上,而且还存储在云中,以提高可靠性。
- 请记住,勒索软件是刑事犯罪。你不应该支付赎金。如果您成为受害者,请向当地的执法机构报告。尝试先在互联网上找到解密器-其中一些可在此处免费获得:https://noransom.kaspersky.com
- 首先要对员工进行网络安全卫生教育,以防止攻击发生。卡巴斯基交互式保护模拟游戏提供了一种特殊的方案,重点关注与本地公共管理相关的威胁。
- 为组织使用安全解决方案,以保护企业数据免受勒索软件的侵害。Kaspersky Endpoint Security for Business具有行为检测,异常控制和利用防御功能,可检测已知和未知威胁并防止恶意活动。还可以使用免费的卡巴斯基反勒索软件工具来增强首选的第三方安全解决方案。
*编译:Domino
*来源:securelist