勒索軟件是什么？

勒索軟件又稱勒索病毒，勒索軟件的本質是惡意軟件。攻擊者利用勒索軟件獲取用戶系統或文件的控制權限，阻止用戶訪問這些系統或文件。受害者必須支付贖金，才有可能換取解密密鑰，恢復被程序加密的系統或文件。很多時候，即便支付贖金，也并不能恢復控制權。這是一種很成功的商業模式，就像在物理世界中，我們把錢放在保險箱中，小偷并沒有撬開保險箱將錢直接拿走，而是在保險箱的外面又套了一個保險箱，如果我們沒有小偷新套上的保險箱的開鎖密碼，我們依然拿不到保險箱中的錢。

事實上，勒索軟件并不是一種新的威脅，網絡罪犯已經利用它執行惡意操作超過30年。第一次有記錄的惡意軟件網絡攻擊可以追溯到1989年，哈佛艾滋病研究者Joseph Popp博士通過軟盤發布了針對艾滋病研究人員的惡意軟件。

幸運的是，早期的勒索攻擊比較初級，使用非常基礎的數據加密技術。然而從2000年中期開始，網絡罪犯開始使用非對稱加密進行加密——這標志著現代勒索軟件的開始。

盡管勒索軟件已經活躍30年，但也就在最近10年最為瘋狂，攻擊規模和頻率以驚人的速度增長，存在較多勒索軟件成為重要威脅的里程碑事件。

勒索軟件重要里程碑事件

什么驅動了當前勒索攻擊的格局？

在過去的10年間，勒索軟件的格局發生了很大變化，主要由如下三個因素驅動：

01 勒索軟件即服務（RaaS）

As-a-Service模式已經成為網絡犯罪領域的常客十多年之久，勒索軟件開發者可以像合法軟件服務公司一樣開發一款產品并基于固定價格或勒索收益的分成授權給攻擊團伙。攻擊團伙很多時候獨立于勒索軟件開發者和運營商，專職作為攻擊方角色對受害目標實施攻擊，這樣攻擊團伙有更多的時間和精力來布局運作，從而實現更加精準、有效的攻擊。在這種勒索軟件商業合作生態中，各角色獨立地在高度專業化的集群中運行，專注于自己所負責的模塊，以達到高效產出的目的。

勒索攻擊合作生態結構圖

02 敲詐勒索

直到前幾年，最常見的防御勒索攻擊的方法還是確保組織有固定的、安全的關鍵數據的離線備份。如果勒索攻擊成功，任何加密的數據都可以使用備份數據恢復，從而降低對數據丟失的影響。但2019年的Maze勒索軟件團體加入了二級勒索戰術劇本，不僅僅加密對一個組織中有重大影響的數據，而且竊取這些數據或組織敏感信息，并威脅說如果不支付贖金就公開這些數據。對于那些拒絕支付贖金的組織，勒索軟件組織會在暗網上發布博客，任何訪問該網站的人都可以下載。這種通過增加額外動機改變了一個組織可能決定如何應對一個勒索軟件攻擊的策略，即為敲詐勒索。

03 加密貨幣

這是勒索軟件最大的驅動因素，早期勒索軟件中，勒索是通過不明的支付方式提出的，這些方式一般需要受害者購買一種實體支付卡，這就人為設定了贖金上限，由于支付方式的挑戰，十年前因勒索軟件攻擊而支付的費用在100美元左右。比特幣誕生于2008年，但直到2013年網絡犯罪分子才開始使用加密貨幣作為支付贖金的唯一方法，加密貨幣相比之前的支付方式有三大優勢，其一是相對匿名的支付，可以幫助網絡罪犯保護他們的身份，其二是加密支付速度快，最重要的是通過加密貨幣支付的金額遠高于其他支付方法。這些因素再疊加上過去這幾年中加密貨幣價格的暴漲，已經導致了更高的贖金和更大的利潤，因此勒索軟件攻擊的平均支付金額已經從五年前的幾百美元暴漲到現在的幾萬美元，如今，一些款項達到了數百萬美元。

勒索攻擊是如何發生的？

一般來講，勒索攻擊的攻擊鏈條分成四個步驟：攻擊入侵、病毒投放&執行、加密勒索、橫向移動。

勒索攻擊鏈條

01 攻擊入侵

攻擊入侵是勒索攻擊的第一步，用來打破可信邊界，一般攻擊者會通過上圖中的6種方式來實現。其中，RDP暴力破解因成本低且可以直接獲取主機權限的優勢，是中小企業的主要入侵方式；釣魚郵件攻擊又可以分成廣撒網的方式傳播釣魚郵件或定向釣魚郵件，誘導受害者打開勒索郵件附件或點擊其郵件正文中的鏈接地址，是中大型企業中較為常見的入侵方式。針對這些入侵攻擊方式，防御方需提前識別企業暴露的攻擊面，提前消除隱患。

02 病毒投放&執行

勒索攻擊成功進入內網后，攻擊者開始在目標主機上提權，獲取可持續權限，并進行防御逃避等。在這個階段防御方應該在病毒投放階段和執行早期階段高精度檢出威脅并快速阻斷，保證核心數據的零損失。

03 加密勒索

攻擊者對目標機器上的關鍵數據進行加密，釋放勒索信，勒索彈窗、鎖屏提示等，有些家族還進行雙重勒索，在加密前將關鍵數據外傳到攻擊者服務器，以提高勒索成功率。在這個階段一定要盡早檢測出勒索威脅，快速阻斷減少數據損害，對受害者主機斷網或快速隔離，防止橫向擴散到其他主機。

04 橫向移動

為擴大勒索戰果，攻擊者往往會利用文件共享、操作系統漏洞、暴力破解等方式進行橫向移動。在這個階段一定要盡快圈定橫向移動范圍，并盡快對主機斷網或隔離。

通過勒索攻擊鏈條發現，攻擊者也會考慮攻擊的投入產出比。因此，應對勒索性價比最高的一條舉措就是盡早斷開普通/廉價的入口打破攻擊者的ROI，不斷的增加攻擊者的攻擊成本和難度。

審核編輯：劉清