勒索软件攻击目标最少_勒索软件攻击的目标通常包括
作者:hacker | 分类:渗透破解 | 浏览:219 | 日期:2023年01月06日谁是勒索软件真正的攻击目标
据悉,这个在国内被大家简称为“比特币病毒”勒索软件攻击目标最少的恶意软件,目前攻陷的国家已经达到99个,并且大型机构、组织是头号目标。
在英国NHS中招之后,紧接着位于桑德兰的尼桑造车厂也宣告“沦陷”。西班牙除勒索软件攻击目标最少了最早被黑的通讯巨头Telefonica,能源公司Iberdrola和燃气公司Gas Natural也没能幸免于难。德国干脆直接被搞得在火车站“示众”。
这个被大家称之为“比特币病毒”的勒索蠕虫,英文大名叫做WannaCry,另外还有俩比较常见的小名,分别是WanaCrypt0r和WCry。
它是今年三月底就已经出现过的一种勒索程序的最新变种,而追根溯源的话是来自于微软操作系统一个叫做“永恒之蓝”(Eternal Blue)的漏洞。美国国家安全局(NSA)曾经根据它开发了一种网络武器,上个月刚刚由于微软发布了新补丁而被“抛弃”。
三月底那次勒索程序就叫WannaCry,所以如果勒索软件攻击目标最少你在外媒看到WannaCry 2.0或者WanaCrypt0r 2.0的说法,所指也是本次爆发的勒索程序。
随后,微软在3月发布的补丁编号为MS17-010,结果众多大企业们和一部分个人用户没能及时安装它,才让不知道从什么途径获取并改造了NSA网络武器的WannaCry有机可乘。
而且这回的勒索软件目标并非只有英国NHS,而是遍布全球,总觉得有种“人家不是只针对英国医疗系统”一样、奇怪的“有人跟勒索软件攻击目标最少我一样糟就放心”了的潜台词。虽然最后事实证明确实全球遭殃。
但WannaCry最早从英国NHS开始爆发,真的只是巧合吗?
对于任何勒索病毒而言,都是最有可能被攻击的“肥肉”勒索软件攻击目标最少:医护人员很可能遇到紧急状况,需要通过电脑系统获取信息(例如病人记录、过敏史等)来完成急救任务,这种时候是最有可能被逼无奈支付“赎金”的。
医疗信息与管理系统学会的隐私和安全总监Lee
Kim也解释说,出于信息储备过于庞大以及隐私考虑,“在医疗和其他一些行业,我们在处理这些(系统)漏洞方面确实会不那么及时”。这也是为什么科技领域普遍认为WannaCry幕后黑手的时机把握得非常巧妙,毕竟微软更新MS17-010补丁还不到两个月。
从开发并释放WannaCry人士角度来考虑这个问题,他们其实并不在乎具体要把哪个行业作为攻击目标,因为他们的逻辑就是任何有利可图的领域都是“肥肉”,都要上手捞一笔。所以他们确实并不是非要跟英国NHS过不去,只不过是好下手罢了。
个人电脑用户被攻击的比例比企业和大型机构低很多,这不仅仅是因为个人电脑打补丁比较方便快捷,也因为这样攻击不仅效率不高、获利的可能也更小。WannaCry的运作机制,根本就是为局域网大规模攻击而设计的。
这样看来,前面提到的全世界其他受攻击大型企业和组织,无论交通、制造、通讯行业,还是国内比较惨烈的学校,确实都是典型存在需要及时从数据库调取信息的领域。
至于敲诈信息的语言问题,Wired在多方搜集信息后发现,WannaCry其实能以总共27种语言运行并勒索赎金,每一种语言也都相当流利,绝对不是简单机器翻译的结果。截至发稿前,WannaCry病毒的发源地都还没能确认下来。
与其说WannaCry幕后是某种单兵作战的“黑客”,倒不如说更有可能是招募了多国人手的大型团伙,并且很有可能“醉温之意不在酒”。毕竟想要简单捞一笔的人,根本没有理由做出如此周全的全球性敲诈方案。
WannaCry在隐藏操作者真实身份这方面,提前完成的工作相当缜密。不仅仅在语言系统上声东击西,利用比特币来索取赎金的道理其实也是一样:杜绝现实货币转账后被通过汇入账户“顺藤摸瓜”的可能。
而且WannaCry的开发者早就有了一个范围宽广、长期作战的策划:“在情况好转之前,它会先变糟糕的——相当糟糕。”(This’ll get worse—a lot worse—before it gets better.)
不过,在晚些时候,一位22岁的英国程序猿小哥就似乎“误打误撞”阻止了WannaCry的进一步扩散。
这位小哥在社交网络上的昵称是MalwareTech(中文意思大概是“恶意软件技术”,听起来反而更像个黑客),阻止了WannaCry的进一步全球肆虐后,他在自己的博客上写下了全过程,甚至英国情报机关GCHQ都在官网转po了这篇博文。
MalwareTech本来应该在度假中,不过他还是迅速反应,找到了一份WannaCry软件的样本。阅读代码时,他发现了一个没有被注册过的域名,下面的代码意思就是WannaCry在黑点电脑前的运行中会先试图访问该域名,如果访问失败就黑掉系统,如果成功则自动退出。
于是MalwareTech就把这个域名给注册了。
在后来一些中文媒体的报道中,小哥的这一举动被强调成是“突发奇想”或者“下意识”之举。正是因为无效域名被注册,后来被WannaCry感染的电脑都在访问该域名时得到了肯定的返回值,于是没有再锁定信息、展开敲诈。
不过MalwareTech自己解释却不是这样的。他在博客中写道,注册这个域名是他作为网络安全工作人员的“标准做法”(standard practice)。过去一年里,遇到所有这样短时间访问量激增的无效域名,他都会将其注册后扔进前面图里提到的“天坑”(sinkhole)里,而这个“天坑”的作用就是“捕获恶意流量”。
WannaCry样本中域名,在昨天全球范围攻击开始后访问量瞬间激增,此前却没有任何被访迹象。
然而MalwareTech职业灵敏度,让他开始考虑WannaCry是否会定期或在特请情况下修改程序中的无效域名,因为如果是这样的话,仅仅注册他所发现的这个域名就无法阻止未来袭击。
即使软件里没有这样的部分,开发者依然能够手动升级WannaCry后再度把它传播开来,所需要做的也就仅仅是替换一个新的无效域名而已。
还有一种更糟糕的情况:如果WannaCry程序中还有另一层自我保护机制,那么无效域名的注册很有可能导致目前所有被感染电脑自动为所有信息加密,无法复原。
为了排除后一种情况,MalwareTech干脆修改了自己一台电脑的主机文件,让它无法连接那个已经被注册了的前无效域名。
电脑成功蓝屏了。
MalwareTech写道:“你可能无法想象一个成年男人在屋里兴奋得跳来跳去,原因竟然是自己电脑被勒索软件搞失灵了。但我当时确实就那样了。”测试结果表明,他的“标准做法”确实阻止了WannaCry的进一步传播。
但是小哥亲自警告:“这事没完”
和某些信息平台热炒MalwareTech“拯救了全世界”的梗不同,英国《卫报》和《英国电讯报》都在标题里明确告诉大家,小哥自己都已经作出警告:“这事没完!”
域名被注册后WannaCry的停止扩散,在他看来只是病毒制造者一个不够成熟的自我保护机制。对方的真正意图并非通过域名是否能连接上来“指挥”病毒的运行,而是通过这种方式判断病毒是否被电脑安全高手捕获。
一旦WannaCry运行时发现域名有反应,真实反应并不是“好心”地停止攻击,而是避免自己被扔进“沙盒”(sandbox)安全机制被人全面分析,干脆退出获得域名响应的电脑系统。
MalwareTech虽然功不可没,但他只是阻止了“比特币病毒”现行样本的扩散,但开发者也已经意识到了这项弱点,随时可能用升级版勒索程序卷土重来。
当然,也不排除,此次勒索软件的最终目的,不是真的想勒索,而是想展现给一些有不法分子查看这个病毒的威力,从而出售这个病毒给他们。如果真的是这样的话,那么接下来的日子,网络安全,将会面临一个很严峻的挑战。
此次勒索软件威胁的不仅是个人用户,还有众多机构和企业。
因此提醒,所有网络用户今后都应加强安全意识,注意更新安全补丁和使用各种杀毒工具。
2021勒索病毒大盘点
2021年,新冠肺炎仍然在全球范围内肆虐,各行业除了应对疫情的持续冲击外,还面临着一种形态多样、高频化的“流行病”-- 勒索病毒 。它们加密并窃取数据,甚至威胁破坏或泄漏数据,以此胁迫受害者缴纳高昂赎金,获得“暴利”。勒索病毒为何有这么大的能量,让所有行业“谈虎色变”?面对勒索病毒,难道只能“躺平”?接下来,我们就来盘一盘。
从1989年出现世界上第一个已知的勒索病毒“AIDS Trojan”,到2006年中国大陆出现首个勒索软件“Redplus”,全球范围内一直都在遭受着勒索攻击。尤其是近年来勒索攻击形势更加严峻,国际知名企业被勒索病毒攻击的事件层出不穷,并且赎金持续刷新记录。勒索病毒俨然成为了全球网络安全面临的头号威胁,那么,勒索病毒主要有哪几类?
以RSA、AES等多种加密算法对用户文件进行加密,并以此索要赎金。该类勒索病毒已经成为当前勒索病毒的主要类型,以WannaCry为代表。今年WannaCry再度复苏,最常被攻击的主要是 政府、军方单位,其次为制造业、银行、金融与医疗系统。
通常采用多种加密算法加密用户数据,但在勒索环节,攻击者通过甄别和窃取用户重要数据,以公开重要数据胁迫用户支付勒索赎金。2021年3月,知名电脑制造商宏碁遭遇REvil勒索软件威胁攻击,攻击者索要5000万美元赎金(约3.3亿人民币),否则就公开被窃取和加密的数据。2021年5月,FBI称Conti勒索软件袭击了16个美国健康和紧急服务机构,影响了超过400个全球组织。
通过各类加密算法对系统磁盘主引导记录、卷引导记录等进行加密,阻止用户访问磁盘,影响用户设备的正常启动和使用,并向用户勒索赎金,甚至对全部磁盘数据进行加密。以2016年首次发现的Petya勒索病毒为代表。
全屏锁定用户设备的屏幕,并显示包含勒索信息的图像、文字,或伪装成系统出现蓝屏错误,直接导致用户无法登陆和使用设备(系统组件同时会被禁用),进而勒索用户支付赎金。该类勒索攻击还存在于移动端。比如2017年发现的Leatherlocker。
免费领取学习资料
2021年全套网络安全资料包及最新面试题
(渗透工具,环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等)
通过对近年来勒索事件的分析,可以看到勒索软件不仅从“加密数据”演化到“三重勒索”、从“散装攻击”演化到“定向攻击”,还对特定的行业、地域具有明显的针对性。
勒索病毒攻击的目标从个人用户转向支付赎金能力更高,对数据依赖性更强的政企用户。比如高校由于大量设备疏于安全加固和漏洞修复,受WannaCry感染严重。能源、医疗等承载重要数据资源的行业由于对业务连续性要求高,也成为勒索病毒攻击的“高价值”目标。另外,重要政府部门/机构、军队单位以及关系民生的关基设施与工控系统面临的攻击风险也在加剧。
经济利益驱动运作模式升级,初步形成勒索病毒黑产链条。近些年较为活跃的提供勒索即服务RaaS (Ransomware-as-a-service)平台服务的家族DopplePaymer、Egregor、Netwalker、REvil/Sodinokibi、DarkSide、Ryuk,以及今年7月首次出现的BlackMatter,都具有较高的威胁能力。
2021年7月,黑客发起了一场全球勒索软件攻击,共袭击了超过1000多家公司,并迫使瑞典最大连锁超市之一的Coop关闭了数百家门店。在这场似乎是迄今为止规模最大的供应链黑客攻击事件中,黑客将目标锁定在了IT管理软件供应商Kaseya上,并且再次揭示出勒索软件即服务(RaaS)大流行的趋势正在蔓延。
2021年7月,LockFile利用Exchange服务器的ProxyShell漏洞入侵企业内部网络,已经攻击了至少10个组织或企业,其攻击目标主要为美国和亚洲。
由于勒索病毒加密信息难以恢复、攻击来源难以溯源,一旦遭遇勒索攻击,不仅会带来赎金损失、停产损失、赔偿和罚款以及数据重新上线费用等直接损失,还包括可能因为停产或服务中断带来的社会损失。比如赎金损失,据Censuswide的调研报告显示,在遭遇勒索攻击后,会有相当一部分企业会选择支付赎金。但是,
2021年3月,美国最大的保险公司之一CAN Financial遭到黑客组织Phoenix的勒索软件攻击,约15000台设备被加密,不计其数的客户资料受到泄漏的风险。CNA Financial在试图恢复文件无果之后,开始与攻击者谈判,黑客最初索要 6,000 万美元,谈判后向黑客支付了 4,000 万美元,创下了历史上最高的已支付赎金金额的记录。
2021年5月,美国最大的成品油的管道运输商Colonial Pipeline遭到“Darkside”黑客组织的勒索病毒攻击,美国东部沿海的燃油网络陷入瘫痪。同月,美国东部17个州和首都所在的华盛顿特区进入紧急状态。
图源网络
2021年,LockBit升级为2.0版本,加密数据的速度能达到373MB/s,在不到20分钟内便可以从受感染设备上盗取并加密100GB的数据,是普通勒索病毒加密速度的3倍以上。8月,全球IT咨询巨头埃森哲遭受来自LockBit团伙的攻击,LockBit勒索团队声称窃取了超过6TB的数据,并勒索5000万美元(约3.2亿人民币)赎金。
WannaCry勒索病毒是什么
电脑病毒,是编制者在计算机程序中插入的破坏计算机功能或者数据的代码,能影响计算机使用,能自我复制的一组计算机指令或者程序代码。那么WannaCry勒索病毒是什么呢?下面就让我来告诉大家WannaCry勒索病毒是什么吧,欢迎阅读。
近日,WannaCry2.0勒索病毒在许多国家爆发,用户中毒后,电脑的文件会被加密,需要支付费用后才能解锁,WannaCry病毒要求用户使用比特币支付赎金,所以又被称为比特币勒索病毒。
WannaCry是利用Windows系统的445端口漏洞进行攻击和传播的病毒,中毒后会锁定电脑上的文件,打开文件时就会弹出提示信息,要求支付赎金。XP、Vista、Win7、Win7等系统都是他的攻击目标,只有最新的Win10系统能够幸免,微软因此还为已经停止技术支持的XP系统提供了特别补丁,Windows补丁下载地址
WannaCry第一版进行传播时有个自杀进程,传播前会检测某网址,如果网站存在,就停止传播行为,研究员注册了这个网址后病毒确实停止传播了,但是很快,病毒的第二版WannaCry2.0就将自杀进程取消了,因此这次危害范围迅速扩大。
目前可行的办法是将硬盘格式化后重装系统,这样可以彻底删除病毒,如果你的电脑不是Win10系统,请尽快安装微软发布的`补丁,以防范WannaCry病毒。
温馨提示:
此次勒索软件较大范围传播是近年来少有的,再一次给人们敲响了警钟。互联网等信息技术的快速发展,在给人们带来巨大福祉的同时,也带来了前所未有的网络安全挑战。该负责人建议,各方面都要高度重视网络安全问题,及时安装安全防护软件,及时升级操作系统和各种应用的安全补丁,设置高安全强度口令并定期更换,不要下载安装来路不明的应用软件,对特别重要的数据采取备份措施等。
为什么近几年勒索软件攻击激增?如何防范它
目前我们正在与两种流行病毒作斗争——冠状病毒和勒索软件攻击。两者都会影响到部分经济,前者肉眼可见,后者则普通人不可遇见。然而,就网络安全而言,现在我们的安全防范意识,让黑客们有了一个轻松的方法来攫取数百万甚至更高的不法收入。
对于黑客来说,获取经济利益非常简单,即使用恶意软件访问和加密数据并将其扣为“人质”,直到受害者支付赎金为止。
现在网络攻击越来越频繁,因为黑客可以毫不费力地执行实施他们的计划。此外,支付方式现在对他们更友好。加上企业对数据越来越依赖,更多迁移到互联网办公服务,这样给了黑客更多的动机去尝试更多的漏洞,当黑客入侵获得了企业的某些数据,或者加密了某些东西的时候,企业在现有技术无法清除病毒或者修补落地,更多愿意支付赎金来临时解决现在问题,因为拖得越久企业损失越大,黑客可以拖,企业可拖不起。
更大胆的黑客们
几年前,黑客在获得银行密码,他们利用技术诀窍从人们的账户中窃取资金之前都会玩心理战术。现在他们更大胆了,因为他们很容易购买勒索软件即服务,并从在线视频分享网站学习黑客技术。一些有组织的网络黑客甚至为商业黑客提供服务,收取一定费用,通常是利润的一部分。
同样加密货币出现使得黑客更加大胆,因为他们可以去限制地敲诈受害者获取匿名支付。黑客可以通过匿名的方式从受害者那里获得更高金额的虚拟货币后转换成现金。
你也可以将网络攻击的增加归咎于一些愿意支付数百万美元加密货币的公司的行为。然而,如果公司和数据安全专家确保黑客攻击不再有利可图,攻击就会停止。
现在你会明白为什么很多国家不承认数字加密货币的真正含义了吧。
是网络攻击是越来越引人注目还是实际上在上升?
这两个问题的答案都是肯定的。 勒索软件变得越来越普遍,因为它很容易执行。黑客使用软件来绕过安全漏洞,或通过使用网络钓鱼诈骗策略欺骗网络用户,例如发送似乎来自可信来源的恶意软件。加上一些大公司的网络安全协议也比较宽松,这样让普通的黑客可以轻易得手。
以美国Colonial Pipeline的供应链攻击事件为例子,该公司首席执行官Joseph Blount承认该公司不使用多因素身份验证当用户登录。
根据美国2020年发布的互联网“犯罪”报告,“佛菠萝”在2020年收到了近2500起勒索软件报告,比2019年增加20%。2020年勒索软件袭击的总成本接近2910万美元。这相当于2019年增加了200%。
勒索软件攻击上升的另一个因素是在线用户越来越多。新冠肺炎的流行导致了全球互联网使用量的激增。许多学生和工人由线下转线上远程工作和学习,加上初次使用互联网服务,安全意识的欠缺往往成为黑客们下手的头号目标。
有网络专家预测勒索软件每年至少带来上千亿美元的损失,随着黑客改进其恶意软件攻击和勒索行为,攻击可能每两秒钟发生一次,到2031年,每年带来超过2500亿美元的损失。
勒索软件对企业的影响
我们已经知道勒索软件是如何对大小企业产生毁灭性影响的。但一次又一次的提醒是值得的,因为即使是企业也可能成为受害者。黑客继续利用网络安全系统中的漏洞。此外,许多黑客团伙正在利用勒索软件和拒绝服务攻击获取经济利益。
除了勒索软件攻击事件的增加,攻击的成本也在增加。勒索软件使公司的数字网络和相关设备瘫痪。因为敏感的商业数据被破坏或者泄露,商业运作,尤其是供应链都会会受到影响——因此,公司更愿意支付赎金。
但从理论上讲,即使公司支付赎金,也不能保证敏感数据没有被复制。同样,也不能保证攻击者将返回所有数据或解密密钥将起作用。在Colonial的案例中,黑客在收到支付赎金后给他们的解密密钥太慢了。他们不得不使用备份文件,其中损失无法评估。
防止勒索软件感染
安全专家建议被勒索公司不要向黑客们支付赎金,因为这会鼓励他们发动更多的攻击。
他们还给出一些防止此类攻击的方法包括:
与网络安全公司合作,网络安全公司提供最适合企业当前和未来需求的安全系统需求。
保持警惕是防止感染的另一种方法。如果您的系统没有明显的原因而速度减慢,请断开与internet的连接并将其关闭。然后,您可以致电您的网络安全提供商并寻求他们的帮助。
除了确保网络安全的技术层面,有时回到基础是值得的。
利用安全培训,让员工更好地了解网络安全的重要性和意义。此外,员工应学会确保保护整个公司免受网络攻击。
训练你自己和你的员工不要点击未经证实来源的链接,因为网络钓鱼链接是传播恶意软件的一种方法,使你的公司成为一个容易攻击的目标。
练习创建数据的定期备份。至少有两个数据备份,并将它们存储在不同的位置。只允许最信任的员工访问备份。
使用数据加密来保护电子邮件、文件交换和个人信息。
确保定期升级所有应用程序,以便修复漏洞。
使用密码管理器确保所有员工都有更强大的密码。指导员工使用不同的密码登录到公司中使用的其他应用程序。
总结
勒索软件攻击之所以猖獗,是因为它们的易用性和盈利能力。了解黑客团伙的活动并为员工提供网络安全培训至关重要。结合技术专长和基本的安全措施将有助于减少勒索软件的感染。但是,重要的是不要惊慌,并且知道应该遵循的安全措施。