看勒索軟件的30年發展簡史 比特幣之后還要什么?
責編:gltian |2019-03-12 18:02:321989年,2萬張感染了“AIDS Trojan”病毒的軟盤被分發給國際衛生組織國際艾滋病大會的與會者,造成了大量文件被加密,這也是歷史上第一個勒索軟件。如今,30年已經過去,勒索軟件已經成長為網絡世界最大的安全威脅之一,并帶來了“WannaCry”等震動世界的勒索蠕蟲肆虐事件,讓不少消費者與組織談之色變。
勒索軟件的成長史:從理想主義到利益至上
無論從哪個角度來看,第一個勒索軟件的誕生都充滿了一定的理想主義,其并沒有被大規模分發,而是僅針對艾滋病大會進行定向傳播,目的更像是宣傳自己的政治與學術態度,或只是簡單的惡作劇。而且,由于其只使用了簡單的對稱密碼,因此很快就被解密工具輕松恢復。
在此后的十七年間,由于沒有更好的加密方法,勒索軟件基本上“銷聲匿跡”——直到2006年“Archievus”的出現。Archiveus是第一個使用非對稱加密的勒索軟件,它主要采用RSA加密方法,會對“我的文檔”目錄里面的所有內容進行加密。更值得關注的是,這個勒索軟件開始把魔爪伸向受害者的錢包了,他會要求用戶從特定網站來購買以獲取解密文件的密碼,而這個方式至今是勒索軟件的主流獲利方式。
勒索軟件發展的另一個標志性事件則是以數字貨幣為代表的匿名支付方式的出現,銀行轉賬等傳統的支付方式讓網絡勒索者很容易暴露在執法機關的打擊力量之下,而通過匿名支付方式,網絡勒索者將可以更好地隱藏自己、“安全”的獲得高額收益。在利益的驅動下,勒索軟件開始在地下網絡市場中逐漸的流行起來,開始成為用戶必須要正視的威脅。
2013年9月,網絡不法分子找到了適用于勒索軟件的新型加密方法,即采用AES-256lai加密特定擴展名的文件,并利用2048位RSA密鑰來加密AES-256位密鑰,這讓被加密文件的恢復變得極度困難,束手無策的受害者往往只能選擇向不法分子支付贖金。而大名鼎鼎的“WannaCry”勒索蠕蟲采用的也正是這種加密方式,該勒索蠕蟲在2017年肆虐,至少150個國家、30萬名用戶中招,造成損失達80億美元,影響極為深遠。
如今,勒索軟件已經成長為主流的安全威脅之一。亞信安全安全分析報告顯示,勒索軟件病毒已經在全球范圍內呈現爆發態勢,美國、日本、中國、歐洲都成為勒索軟件肆虐的“重災區”。網絡不法分子還針對每個地區的語言及經濟文化特點,對勒索軟件進行了本地化,以提升索要贖金的成功率。
勒索軟件持續演進:商品化趨勢日漸明顯
由于具備一旦加密就極難被破解,以及可以獲得直接巨額收益的特點,勒索軟件的威脅在可預見的未來還將持續擴展。為了躲避網絡安全防護系統的查殺,勒索軟件新變種正在不斷產生,這使得傳統基于特征碼的防護方式效用大減,不法分子可以通過魚叉式釣魚郵件、漏洞利用傳播、軟件捆綁安裝等方式進行廣泛傳播。
圍繞著勒索軟件新變種的開發、傳播,以及感染渠道與工具的交易,已經形成了一個組織嚴密、規模龐大的勒索軟件地下灰色交易市場。安全研究人員發現,目前地下黑市非常流行的一種勒索軟件交易鏈條是:黑客負責勒索軟件最新變種的開發,并可以將其轉讓給任何用戶,前提是他們必須支付一定比例的收益贖金。除了核心的勒索軟件產品外,地下黑色市場還提供與勒索行為相關的額外功能與服務,包括對于多平臺的支持、針對特定產品的漏洞進行定制化等。
對此,亞信安全提醒用戶,勒索軟件的商品化使得組織與個人面臨的勒索軟件風險大幅增加,而隨著地下黑產市場的進一步演進,勒索軟件的產業鏈將進更加細化、專業化,即使是毫無攻擊經驗的新手,也能夠通過購買這些產品和服務,快速地發動攻擊。此外,商品化也使得勒索軟件攻擊的方式更加靈活,對于安全防護提出了更高的要求。
防范勒索軟件:以精密編排能力建立聯動防護機制
在如今的勒索軟件攻擊中,網絡不法分子更擅長利用社交工程(social engineering )誘餌,以及簡歷、訂單和護照等作為郵件主題,發動垃圾郵件或定向式攻擊,一旦受害者收到這些郵件并點擊鏈接或是下載附件,就有可能導致感染勒索軟件。因此,要更好地防范勒索軟件的攻擊,需要從建立精密編排的聯動安全體制,以及“人”兩方面同時著手。
首先,企業需要從安全編排(Security Orchestration)、自動化(Automation)和響應(Response)的角度建立應對勒索軟件的安全防線。這與亞信安全最新發布的XDR方案“不謀而合”,即利用精密編排的聯動安全解決方案,將安全產品以及安全流程連接整合起來,這其中涵蓋了“準備、發現、分析、遏制、消除、恢復、優化”7個階段,并針對勒索軟件的威脅制定攻擊標準預案,以建立多層次、立體化的防御體系。
在具體實施中,通過終端、網絡端發現勒索軟件攻擊的跡象后,亞信安全可以將數據集中到本地威脅情報和云端威脅情報進行分析,利用機器學習和專家團隊,將勒索軟件的特征提取出來,繼而聯動所有終端協同處理,以遏制、清除勒索軟件的各種變種,并對其造成的破壞進行恢復和優化。
在產品層面,首先,企業用戶可通過部署亞信安全防毒墻網絡版OfficeScan、亞信安全深度威脅安全網關Deep Edge,以及服務器深度安全防護系統Deep Security等產品,在云、管、端建立封堵勒索軟件的第一道防線。其中OfficeScan具有勒索病毒防御功能(AEGIS),可以有效阻攔勒索病毒對用戶文件加密;Deep Edge則兼具偵測、分析和攔截的功能,針對加密勒索軟件攻擊路徑,建立有效的“抑制點”,再加持深度威脅郵件網關DDEI,更有效地阻止了勒索郵件的攻擊。其次,用戶可以通過沙箱類產品,以及調查取證設備等產品對勒索軟件的攻擊進行分析、驗傷及取證,實現事件溯源,為后續的恢復和優化打下基礎。
從“人”的角度來看,企業需要加強對于員工的網絡安全培訓,讓員工正確認識勒索軟件存在的巨大威脅,在接收郵件時保持充分的警惕心,以防范利用社交工程誘餌傳播的勒索軟件。另外,員工還應該養成良好的文件保存習慣,重要文件應該同時在本地與云端保存多副本,避免文件被加密之后無法恢復。
##
關于亞信安全
亞信安全是中國網絡安全行業領跑者,以安全數字世界為愿景,旨在護航產業互聯網。亞信安全是云安全、身份安全、終端安全、態勢感知、高級威脅治理、威脅情報技術領導者,同時是5G、云計算、物聯網、大數據、工控、移動六大安全場景引領者。在國內擁有3個獨立研發中心,2,000人安全專業團隊。欲了解更多,請訪問: http://www.asiainfo-sec.com
更多媒體垂詢,敬請聯絡:
| 亞信安全 | 謀信傳媒 |
| 劉婷婷 | 雷遠方 |
| 電話:010- 58256889 | 電話:010-67588241 |
| 電子郵件: liutt5@aisainfo-sec.com | 電子郵件:leiyuanfang@ctocio.com |