冰凌汇编

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 119|回复: 0
收起左侧

[反病毒] 勒索病毒攻击历史和演变

[复制链接]
bingling 发表于 2022-1-25 13:17:27
欢迎回来,有抱负的网络战士!

最近的事件再次强调了SCADA安全的重要性!2021年5月7日,殖民地管道遭到赎金袭击,并被迫关闭一条输送45%汽油到美国东海岸主要城市(纽约、费城、华盛顿特区等)的管道。这造成了汽油短缺和囤积在一些大都市地区,因为消费者恐慌。最终,殖民管道向攻击者支付了500万美元用于获取他们的数据。

想象一下,如果对手能够对电网或发电厂做同样的事情,会发生什么呢?要了解有关历史上最重要的SCADA黑客的更多信息,请单击此处。

虽然洗劫软件目前在我们的数字景观中猖獗,但它还远远不是新的。在这篇文章中,我们将考察历史上最重要的赎金攻击,以更好地理解这种日益重要的数字攻击模式的发展。有各种迹象表明,这种攻击系统和支付赎金的方法只会在未来增加。

勒索病毒的工作原理

第一步是恶意软件获得对网络/系统的访问。这可以是多种方式,如:
1.电子邮件附件
2.关于社会媒体的信息
3.弹出式
4.众所周知的脆弱性(EternalBlue)

然后,赎金必须对数据进行加密。早期的勒索软件攻击编写了自己的加密算法,使得它们很容易解密(密码分析可以很容易地破坏大多数本地加密)。现代勒索软件使用现成的加密库进行加密,例如AES,这使得没有密码几乎不可能解密。

勒索病毒攻击历史和演变 - bingling_冰凌汇编

最新的发展是勒索软件作为一项服务(RAAS)。像Cryptwall、Locky和Tesla Crypt这样的赎金攻击都是作为一种服务的赎金。

第一轮赎金(1989年)
第一次已知的赎金袭击发生在1989年。这种赎金是通过磁盘分发给艾滋病研究行业的人的。
Cryptolocker(2013年)
Cryptolocker于2013年面世,成为当时最赚钱的洗劫工具之一。它感染了全世界25万个系统,通常通过电子邮件附件感染主机。在它的一生中,它赚了300多万美元。最后,它被一项国际执法努力摧毁。我们现在有了一个解密密码器加密的工具,实际上,它可以消除这种恶意软件的威胁。

CryptoWall(2014-2016年)
2014年出现了“超级密码”,针对的是数十万个系统。

它利用公共域上的恶意广告将人们引导到受CryptoWall感染的站点,在那里恶意软件将被下载到他们的系统中。它利用了Java漏洞。

在整个生命中,它感染了60多万套系统,并获得了1 800万美元的赎金。

加密墙是通过电子邮件与ZIP附件,病毒是隐藏为PDF文件。PDF文件通常伪装成账单、定购单、发票等。

当受害者打开恶意PDF文件时,他们会用CryptoWall病毒感染计算机,并在%AppData%或%temp%文件夹中安装恶意软件文件。


勒索病毒攻击历史和演变 - bingling_冰凌汇编

如果您的计算机上有任何驱动器字母,CryptoWall将扫描它以查找数据文件。

使CryptoWall与众不同的部分原因是它被编码在32位和64位系统上运行,这增加了病毒在任何发生感染的计算机上运行的几率。


CryptoWall 2.0(2015年1月)

2015年推出了“超级密码2.0”,并通过电子邮件附件、PDF文件和各种开发工具包交付。CryptoWall2.0有一些比Cryptwall1.0更先进的技术,特别是在混淆和反仿真方面。它使用Tor混淆命令和控制(C&C)通道,还包括反虚拟机(以阻止拆解或研究它的尝试)和反仿真。此外,根据需要,它可以在32位和64位模式之间切换。


好莱坞长老会(2016)

好莱坞长老会医疗中心在2016年被赎金袭击。

行政当局为归还档案支付了17,000美元


旧金山MTA(2016)

2016年11月25日,旧金山地铁成为赎金的受害者。

它在行政当局支付100比特币(按目前汇率计算500万美元)之前,中断了两天的票务和公共汽车管理系统。


WannaCry(2017年)

WannaCry Ransomware最早出现于2017年5月,在150多个国家感染了30多万台电脑。与大多数早期恶意软件不同,WannaCry不需要任何用户交互。相反,它使用刚刚发布的“永恒蓝”漏洞来感染未修补的Windows 7系统(2017年3月由影子经纪商发布的“永恒蓝色”)。调查人员和恶意软件分析人士怀疑朝鲜政府资助的黑客组织Lazarus。

一旦Wannacry感染了主机,赎金从300美元开始,如果你在6小时内支付,如果你延迟支付,将加倍到600美元。如果赎金7天内没有支付,Wannacry威胁要永久删除你的文件。


勒索病毒攻击历史和演变 - bingling_冰凌汇编

MalwareTech(马库斯·哈钦斯)通过识别代码中的命令和控制URL并注册域(显然在匆忙中,他们没有注册域名)找到了杀死开关。不幸的是,马库斯·哈钦斯在美国旅行时被捕了。他对这枚定时炸弹的迅速拆除使他成为了Wannacry的开发商。相反,联邦调查局发现,几年前,哈钦斯开发了一些模块,可能已用于其他黑客。最后,他认罪,没有被判刑。他现在在美国一家大型信息安全公司工作。

勒索病毒攻击历史和演变 - bingling_冰凌汇编

Petya 2016

皮特娅首次出现于2016年,被认为是先进的赎金。它加密了MFT(主文件表,用于控制和管理NTFS文件系统中的所有文件)。通过加密MFT,文件系统中的所有文件都不可用。然后Petya用一张赎金代替了MFT。这是第一批广泛分布的兰瑟姆服务(RAAS)利用。

NotPetya 2017

NotPetya首次出现于2017年,它还使用了“永恒蓝”(ExternalBlue)的漏洞来访问未修补的Windows 7系统。NotPetya被设计成被误认为是Petya,因此它的名字叫NotPetya。


对主启动记录和其他文件进行加密,使系统无法启动。然后,它向用户发送一条消息,以便重新启动,然后系统就无法使用了。


NotPetya可能是历史上最具破坏性的网络攻击,很可能是由俄罗斯情报机构和国家资助的黑客组织开发的,目的是针对Unkraine。它花费了乌克兰超过100亿美元,但几乎所有的恶意软件都不能仅限于乌克兰。它蔓延到世界各地,并破坏了像这样的公司;

  • Maersk(世界上最大的航运公司)
  • 默克
  • 联邦快递
  • 吉百利
  • 俄罗斯石油化工公司
  • 辉瑞


与其他勒索病毒不同,NotPetya没有解密受其影响的文件的能力。

巴达比2017年

巴兔于2017年首次出现在俄罗斯、乌克兰和美国。这是NotPetya的新版本和改进版。它最初出现在俄罗斯网站上,假装是AdobeFlashInstaller(见下图)。

它可能是由沙德沃姆开发的,也是俄罗斯政府资助的黑客组织。BlackEnergy3.

它与NotPetya共享它的大部分代码,这意味着相同的作者,但它可能是一个循环代码的机会主义代码。它首先加密文件,然后用两个不同的密钥加密主启动记录。与NotPetya不同的是,如果支付赎金,它就会对文件进行解密。

巴达兔要求支付0.05BTC(按目前汇率计算约2500美元),并给用户40个小时的支付时间。


勒索病毒攻击历史和演变 - bingling_冰凌汇编

GandCrab 2018

“GandCrab”首次出现于2018年1月,很快成为2018年最成功的洗劫工具。它最初是作为勒索病毒的一种服务(RAAS),经过多次迭代来保持它的最新。


甘地是第一个要求用破折号密码货币付款的赎金。此外,它还使用了不受ICANN批准的.bit TLD。这就增加了跟踪C&C服务器的难度。


通过多种方法向受害者分发了GandcCab。最受欢迎的是垃圾邮件,用户被骗打开ZIP档案,其中包括下载甘地螃蟹的脚本。


Phobos 2019

2019年初,火卫一首次出现,目前仍处于活跃状态。这种勒索病毒倾向于攻击具有较弱RDP安全性的较小组织。


Sodinoki 2019年4月

索迪诺基于2019年4月首次露面,目前仍在活动。即使在公司支付赎金之后,也很难发现和重新安装。


Snake 2020

蛇赎金首次出现于2020年1月,目前仍处于活跃状态。这是第一个明确开发的勒索病毒攻击SCADA/ICS站点。


与其他赎金不同,Snake专门选择目标,而不是大多数赎金中常见的猎枪方法(这在很大程度上是SCADA/ICS部门可供使用的各种系统和协议的结果)。

黑蛇被成功攻击和洗劫;

欧洲最大的私立医院,弗雷斯纽斯
  • 意大利能源公司
  • 日本汽车制造商本田
  • 还有其他几家不愿公布自己名字的大公司。


想了解更多关于这个独特的赎金的信息,在这里读。


勒索病毒可能是我们数字环境中最主要的恶意软件威胁。它感染系统,然后加密关键文件,直到受害者支付赎金。随着时间的推移,赎金急剧增加--通常在200到300美元左右--现在高达5000万美元。通过了解这种恶意软件的机制和演变,我们可以更好地保护我们的系统,并预测下一波赎金。
冰凌汇编免责声明
以上内容均来自网友转发或原创,如存在侵权请发送到站方邮件9003554@qq.com处理。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|小黑屋|站点统计|Archiver|小黑屋|RSS|冰凌汇编 ( 滇ICP备2022002049号 滇公网安备 53032102000029号)|网站地图

GMT+8, 2022-9-25 07:45 , Processed in 0.126061 second(s), 9 queries , Redis On.

冰凌汇编 - 建立于2021年12月20日

Powered by Discuz! © 2001-2022 Comsenz Inc.

快速回复 返回顶部 返回列表