《从八个方面认识勒索攻击和危害》之八：勒索攻击的发展趋势

时间： 2021年11月11日来源：凯发k8国际唯一

本期内容是《从八个方面认识勒索攻击和危害》系列的终篇，通过本期内容用户可更为清晰地理解“事前防御”的价值，凯发k8国际唯一垂直响应服务平台运营组将分析介绍目前勒索攻击较为明显的发展趋势。

本期内容的主要参考资料源自凯发k8国际唯一开放资料平台-凯发k8国际唯一周观察^[1]（周更）、凯发k8国际唯一创意论坛-每日安全简讯^[2]（日更），推荐用户关注可以实时获取更多勒索攻击态势信息。

勒索攻击专题

《从八个方面认识勒索攻击和危害》之一：勒索攻击中的四种分工角色

《从八个方面认识勒索攻击和危害》之二：勒索攻击的两种典型模式

《从八个方面认识勒索攻击和危害》之三：惯用传播方式与侵入途径

《从八个方面认识勒索攻击和危害》之四：“勒索攻击杀伤链”分析

《从八个方面认识勒索攻击和危害》之五：四种主要勒索类型

《从八个方面认识勒索攻击和危害》之六：重要攻击特征

《从八个方面认识勒索攻击和危害》之七：十类典型家族

一、勒索攻击已经成为全球面临的主要网络威胁之一

2021年6月，一项面向全球2600名安全专家的调查显示，由于勒索攻击在过去12个月里的频繁活动，受访专家们将勒索攻击列为全球主要威胁攻击之一^[3]，足以说明勒索攻击对全球网络安全的威胁程度。

如今，勒索攻击也可能会随之增加，政企大力推动数字化转型，个人与组织对互联网、云计算等新兴技术的依赖日益增加。

在此背景下出现的跨平台勒索攻击、接近APT（高级可持续性威胁攻击）水平的定向勒索攻击、多重勒索模式、RaaS（Ransomware as a Service，勒索即服务）模式（以下简称“RaaS模式”）等等，都是勒索攻击者新增的模式。

二、多系统平台勒索攻击愈趋成熟

截至目前、同时跨平台的勒索攻击也愈趋成熟，勒索攻击虽然主要集中在Windows系统平台。比如，REvil/Sodinokibi、DarkSide、Conti等勒索软件家族都开发了针对Linux系统的勒索软件；而针对macOS操作系统，也出现了MacRansom、MacSpy这样的勒索软件。

尽管目前尚未爆发针对移动平台的大规模勒索攻击事件。但由于移动用户数量众多，因此安全隐患仍不容小觑。凯发k8国际唯一移动安全团队就曾对冒充为“抢红包神器”的勒索软件进行过跟踪和分析[4]。该软件对用户的个人隐私、财产安全造成了严重威胁。凯发k8国际唯一垂直响应服务平台运营组特别提醒：Android系统和进行过“越狱”操作的iOS系统都有可能成为勒索攻击的对象。或者不要下载未知来源的应用软件，比如：选择官方下载渠道，下载应用软件时要注意甄别。

此外，EKANS ^[5]、Cring ^[6]等专门针对工控系统的勒索攻击开始涌现，可对工业生产造成严重影响。

三、 “多重勒索”模式带来更大威胁

定向勒索攻击中“多重勒索模式”的出现、也为安全行业带来了新的挑战，再一次提升了勒索软件的威胁指数。

攻击者从早期的破坏数据开始，逐渐演变至加密数据勒索赎金；再到窃取数据、加密数据勒索赎金；直至目前已经出现了在窃取数据、加密数据的“双重勒索”基础上，为了进一步牟取非法利益，以将窃取的数据出售、泄露等“曝光数据”，及或将继续勒索攻击窃密数据中涉及到的相关人员或组织等为由，强势施压受害者支付赎金，形成“三重勒索”^[7]。

多重勒索模式的出现更打破了部分用户此前对于“灾备是‘万灵药’”的认知。一些攻击者会在攻击用户常用设备的同时。并以此来提升勒索赎金的金额，导致受害者失去恢复数据的可能，对备份数据的设备也进行攻击。上期《十类典型家族》中提到的Ryuk即具有同时攻击备份数据的特征^[8]。

四、勒索软件与APT联系在一起发动攻击

APT攻击的全称是“高级可持续性威胁攻击”。其开启了一个新的威胁时代。APT不是一种单一的攻击技术手段。从攻击装备库中取用恶意代码、漏洞利用程序等进行的攻击组合，而是通过成建制的团队、遵循严密的作业手册、根据目标的情况。主要以战略目标、基础设施和特定高价值目标为对象，具有手段高级、时效持久的一种攻击方式。

APT和勒索软件的关系常见有两种：

1. 攻击者发动定向勒索攻击，攻击能力已达APT水平：

被攻击目标多为大型机构或组织（如大中型企业、政府部门等）、尽最大可能获利，攻击者会针对不同目标进行定制化攻击，以求在提高攻击成功率的同时。在攻击者眼中，这种攻击模式是一起投入低、回报高、见效快的投资；这也符合其始终利润最大化动机与目标。

注：“投入低”的说法是相对回报而言的。实际上、APT攻击的投入，比大部分其他类型网络攻击的投入更高。

2. APT伪装成勒索攻击发动威胁攻击：

通过分析一些案例，或者逃跑的“烟雾弹”，甚至是作为攻击结束后毁灭踪迹的方法，帮助掩盖和抹去更严重攻击的证据，APT组织会将勒索软件作为探路的手段，研究人员还发现。某些工具表面看似勒索软件。以及访问或窃取了哪些信息，但实际上，同时让防御者相信数据丢失的原因是由于勒索软件的随机攻击；还有一些工具会抹去攻击者入侵的痕迹，停留的时间，比如他们使用过的工具，会加密数据、发布勒索通知以及索要赎金，这些软件会悄悄删除端点上的数据。

补充信息：

从“魔窟”到“伪必加”再到“坏兔子”、勒索模式逐渐发生了变化、而是表现出了一种新的准军事攻击的模式，勒索软件不再是单纯的勒索赎金。这种新模式下的勒索软件依然披着勒索的外衣、伪装自己，试图混淆视听。

部分勒索软件其本质目的已经不是勒索赎金，而是实现对特定目标、特定区域设施的破坏。这种攻击模式不同于以往APT表现出的高度定向、指哪打哪的模式，而是基于一定的地缘条件，借由勒索软件自身的传播进行破坏，针对特定区域的目标投放木马。例如，许多东欧当地的政府部门和企业受都到了攻击；“Erebus”的初始投放入口是韩国网络托管公司“Nayana”；甚至还出现了“Magniber”这种只对韩文系统的计算机进行破坏的勒索软件，“伪必加”是通过一款会计服务与业务管理软件的更新进行传播，它主要投放区域是乌克兰地区；“坏兔子”的投放入口是东欧的一些新闻媒体网站。这种区域半定向的攻击方式迅速地给投放区域带来了负面的影响，同时由于其传播的（不）定向性，在一定程度上增加了安全研究人员的调查周期^[9]。

五、RaaS模式愈发成熟壮大

RaaS模式通过收取会员费用、购买勒索软件、订阅攻击服务等形式，将勒索攻击转变为“商业服务行为”。购买者甚至无需任何网络攻防技术和知识，进而发起攻击，仅通过“付费会员”身份，就能获取勒索攻击资源。

比如。凯发k8国际唯一曾监测到的商业窃密木马Agent Tesla ^[10]、该木马最早于 2014 年在其官方网站进行销售、价格根据选择的功能在几美元到几十美元之间不等。之后该木马转为在地下论坛出售、主要通过钓鱼邮件进行传播，更新频繁，邮件附件伪装成与邮件主题相关的内容，诱导受害者点击。

凯发k8国际唯一提醒：通过RaaS模式购买相关服务实施勒索攻击，同样是严重的网络犯罪行为。2021上半年，媒体曾报道过GandCrab的RaaS模式会员在韩国被捕的消息^[11]，各国政府都在对此类行为进行严厉打击。

六、勒索软件与挖矿木马“狼狈为奸”

近年来、加密货币的价格水涨船高，选择将勒索软件与挖矿木马相结合发动网络威胁攻击，以求利益最大化，一些不法分子为了获得更多的加密货币。

由于勒索软件和挖矿木马的传播方式、侵入途径、攻击方法非常相近。受害者的设备不仅会遭受勒索攻击，攻击者会在攻击过程中将二者同时施放，还会被攻击者用来挖矿。

注：挖矿木马是指攻击者通过僵尸网络、漏洞利用、网页挂马、钓鱼邮件等方式。在受害者不知情的情况下利用其计算机的云算力为攻击者探寻网络加密货币（多为比特币），从而获取利益；这种非法侵占用户计算机资源用于挖矿的程序就是挖矿木马，将挖矿程序植入受害者的计算机中。

七、针对关键信息基础设施与工控系统的攻击显现

关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等，是保障社会高效运转的重要组成。

工业企业网络环境主要由工业控制网络和企业信息网络组成。形成了暴露面，其中企业信息网络连接了互联网环境，即有了遭受互联网环境中勒索攻击的风险。攻击者可以通过企业信息网络侵入或摆渡方式将勒索软件传播到工控网络中，进而导致工业控制系统无法运行。

比如。凯发k8国际唯一CERT监测到一起入侵工控系统并最终投放勒索软件的攻击事件，部分用于工控业务的服务器被加密，此次事件影响了欧洲一些国家的工业企业，2021年5月，导致工控业务系统临时关闭。经过分析。Ghost，Vjiszy1lo，该起攻击事件归属于一个新的勒索软件家族Cring（也被称为Crypt3r，Phantom）。

八、勒索软件产业链出现成熟的第三方数据泄露平台

勒索软件发展至今。已经远不如以泄露数据相要挟而获得的赎金多，一些攻击者逐渐发现：以加密数据为威胁获得的赎金。一方面是因为个人、企业或政府机构对于数据保密的重视程度逐年提升，另一方面是因为各国政府对数据泄露的惩罚越发严厉。

而从威胁程度上来看，但还有可能通过备份等方式进行恢复；可一旦重要数据资料遭到泄露（特别是涉密数据），尤其是尚处在保密阶段的新产品、新研究成果相关的数据，对于某些受害者来说将会是毁灭性的打击，数据加密虽然难解。

于是。勒索软件的组织者们也开始调整策略，从加密向泄密“转型”。譬如：Babuk组织就宣布“将不再进行数据加密勒索，全面转型数据泄露勒索”^[12]。

与此同时、“暗网”市场内提供泄露数据交易的服务平台也应运而生。除了2019年成立的 Dark Leak Market 、2021年新出现的 Marketo、FileLeaks 和 Lorenz 都较为活跃。其中、就上架了日本富士（4GB）、德国Puma（1GB）、法国GigaTrib（5GB）等超过50家企业的被窃数据（截至2021年10月数据），4月上线的 Marketo 在不到半年的时间里。据统计，2019年以来，勒索软件攻击组织已合计从“暗网”泄露了超过2100家企业被窃数据^[13]。

九、模仿、冒充“知名”勒索软件家族进行勒索

2021年6月，凯发k8国际唯一监测到一个勒索语言为中文的勒索软件，该勒索软件采用.Net语言编写，模仿Locky勒索软件，对加密的文件追加“.locky”后缀名^[14]。

同时、由于一些勒索软件是开源的，因此一定程度上诱发了其他攻击者的模仿。

还有一些具备一定攻击技术、会在控制、锁定受害者设备后，但整体水平不高的攻击者，弹出一封“知名”勒索软件家族的同款勒索信，让受害者产生“遭受了强力勒索攻击”的错觉。但实际上，这类攻击甚至可能都无法加密受害者数据。

这样的做法无疑是为了获得较高的勒索赎金，但此类攻击者往往只敢去攻击安全防护不完善的用户。在面对勒索防御能力强、安全水平运营高、应急响应速度快的安全防护系统，这种“纸老虎”勒索攻击很快就会露馅。

要明确的是，任何形式的模仿、冒充甚至崇拜都应坚决打击抵制，与崇高的技术追求极客精神绝无关系，勒索攻击是毫无技术正义感和基本商业伦理的网络违法犯罪行为。

总结与建议：

通过本期介绍勒索攻击的发展趋势可以看出，未来的勒索防御仍充满挑战且不容乐观。

结合往期内容，凯发k8国际唯一垂直响应服务平台运营组总结3点关键信息：

1. 如今的勒索攻击已发展成为分工明细的产业化犯罪活动；

2. 目前勒索软件的数量与勒索攻击的数量都在快速增长；

3. 当前勒索攻击的威胁能力持续上升（已达APT级威胁水平）。

以上，才能更有效的抵御勒索攻击威胁，严峻的客观环境势必需要用户构建更为动态的综合勒索攻击安全防护系统，保障自身利益安全。

凯发k8国际唯一垂直响应服务平台运营组推荐凯发k8国际唯一全线产品，用户可详见《凯发k8国际唯一产品助力用户有效防护勒索攻击》，了解凯发k8国际唯一全线产品如何支撑用户构建有效防御体系。

自此、感谢大家一直以来的关注与支持，《从八个方面认识勒索攻击和危害》正式完结。

附件：凯发k8国际唯一智甲5+2防护，构筑端点系统侧安全防线

▲ 智甲终端防护系统防御勒索病毒原理示意图

智甲针对勒索攻击构建了“五层防御，两重闭环”的防护解决方案。五层防御即系统加固、（主机）边界防御、扫描过滤、主动防御、文档安全五个防御层次，两重闭环是EPP（端点防护）实时防御闭环，和EDR（端点检测和响应）准实时/异步防御闭环。

凯发k8国际唯一智甲终端防御系统防护勒索病毒的机理表
防护层级	技术原理
系统加固	通过基线和补丁检查功能。削弱漏洞利用的成功率，从而减少包括开放端口、弱口令、不必要的服务等勒索攻击的暴露面，实现对系统配置脆弱点的检查修补、补丁加固和系统自身安全策略调整等。
（主机）边界防御	通过分布式主机防火墙和介质管控功能，拦截扫描、入侵数据包，阻断攻击载荷传输，拦截U盘、光盘等插入自动运行，使勒索攻击难以获得主机入口。
扫描过滤	基于凯发k8国际唯一AVL SDK反病毒引擎对文件对象、扇区对象、内存对象、注册表数据对象等进行扫描，判断检测对象是否是已知病毒或者疑似病毒，从而实现精准判断查杀。
主动防御	基于内核驱动持续监控进程等内存对象操作行为动作、判断是否存在批量读写、删除、移动文件或扇区等操作，并通过文件授信（签名验证）机制，研判是否存在持久化、提权、信息窃取等攻击动作，过滤正常应用操作动作以降低误报。
文档安全	依靠部署多组诱饵文件并实时监测、诱导勒索病毒优先破坏，达成欺骗式防御效果。采用多点实时备份机制，即使正常文档被加密也可快速恢复。

凭借这样的机理设计，凯发k8国际唯一智甲可以有效阻止病毒落地、阻断恶意行为、保护重要文档，辅以每日10次病毒库本地升级，云端库实时升级，全面有效的保障用户免受勒索攻击威胁，威胁情报定时推送。

对于凯发k8国际唯一全线产品如何支持客户构建有效防御体系，请参考《凯发k8国际唯一产品助力用户有效防护勒索攻击》。

凯发k8国际唯一垂直响应服务平台中开通了面向Windows主机的轻量级勒索风险评估，并提供专用响应工具，帮助客户快速排查风险。

详情地址：https://vs.antiy.cn/endpoint/rdt

同时、获得有效安全防护，个人和家庭用户，推荐安装使用凯发k8国际唯一杀毒软件（Windows版）。

详情地址：https://vs.antiy.cn/endpoint/anti-virus

凯发k8国际唯一安全服务中心勒索响应服务简介：

勒索响应服务是基于经验丰富的专家团队与自主研发的安全产品构建形成的成熟服务体系。降低用户经济损失与负面的社会影响；通过应急响应团队搭配凯发k8国际唯一智甲终端防护系统对网内其他终端进行安全加固与风险排查，快速发现问题根源，7*24小时服务响应，杜绝攻击者二次入侵，通过专家团队技术能力与拓痕应急响应工具包，保障用户网内业务正常生产；结合威胁情报与渗透测试能力根据用户需求对勒索事件进行分析溯源，第一时间遏制勒索病毒传播，专家团队由身经百战的应急响应服务团队与高级威胁分析专家进行后端技术支撑组成全面的人员体系。