受到勒索软件攻击的国家分布
近日,一些Linux 的 Web 服务器被一种名为 FairWare 的勒索软件攻击了。通常攻击者会将服务器上 Web 服务器的内容删除并留下如下消息:“Hi, please view here: http://pastebin.com/raw/jtSjmJzS for information on how to obtain your files!”这个 PasteBin 的链接内有更多的勒索内容和说明,要求用户为其指定的比特币钱包转账 2 比特币,并提供了联系的邮件地址。新的勒索软件已经开始向开源系统渗透。
面对勒索软件威胁,普通用户对它的攻击方式和破坏力不了解,因此无法进行系统有效且全面的防护。很多人中招后茫然无措,最后只能老老实实地交付赎金或者任由自身数据或财产损失。这种勒索软件威胁现象从上世纪80年代末就已经出现,只是波及范围较小,没有引起大众足够的关注和警觉。
此前,勒索软件侵害的对象主要是一些有充裕资金的企业,但近期形势发生了一些变化,中小企业、个人也都成为受灾群体。随着智能移动端设备的广泛使用,勒索软件感染的途径更加多样化,并且已经从传统的PC端逐渐蔓延到手机端。在同一个商业网络中,通过被勒索软件感染的手机也有可能对网络中其他设备造成不良影响,网络中其他设备也可能遭受勒索软件感染。
大型企业或机构中可能有一些专职IT管理人员会处理被勒索软件感染的设备,但任何一位IT管理人员都不愿企业或机构的数百台设备遭受勒索软件感染。勒索软件感染会致使关键系统处于离线状态,以至于企业或机构的全部运营活动都处于危险境地。很多安全解决方案提供商对此做出分析,运用新技术,推出了一些安全防御解决方案,并且提出了一些可行的安全防御建议,供大众参考。
持续跟踪分析
在近期的一些勒索事件中,尽管大多数的勒索软件犯罪组织并没有特定的攻击目标,但是,赛门铁克的安全团队发现,一部分犯罪组织已经将攻击目标转向特定企业,试图通过破坏企业的整体运营以获得巨额赎金。在今年年初,一家大型企业所遭受的精心策划的勒索软件攻击事件正是犯罪组织针对特定企业发起攻击的典型案例。在此类针对企业的攻击中,攻击者像网络间谍一样拥有高级专业知识,能够利用包含软件漏洞和合法软件的攻击工具包侵入企业网络。勒索软件攻击者与网络间谍之间并无区别,他们都是利用服务器上尚未修补的漏洞,在企业网络中获得立足点。通过使用多种公开的黑客工具,网络攻击者能够看到企业的网络结构,并使用未知的勒索软件变种尽可能多地感染企业内的计算机。
此前,卡巴斯基也对勒索攻击事件进行过持续的跟踪分析。卡巴斯基发现,这种勒索软件感染事件并非仅出现在局部地区,而是全球性的。因此,卡巴斯基提出了打击勒索软件的倡议,表示“打击这种全球威胁需要国际间合作”。
不断爆发的勒索软件攻击对企业造成了相当严重的影响,所幸企业的关键系统和大部分被勒索软件加密的数据可以通过备份恢复过来。未来,我们可能会看到更多针对资金雄厚的企业发起的勒索软件攻击,以索要巨额赎金。
令人担忧的趋势
赛门铁克最新发布的《勒索软件与企业2016》调查报告中指出,勒索软件已经成为当今企业和消费者面临的最大网络安全威胁之一。在2015 年,赛门铁克共发现100种新型勒索软件,创下历史新高。在被发现的新型勒索软件中,大多数为更危险的“加密勒索软件”,这类恶意软件可以通过强效加密锁定目标的文件。
无独有偶,卡巴斯基也发现,最近几年,勒索软件正在成为一个非常严重的问题。欧盟执法机关将其视为一种头号威胁,约三分之二的欧盟成员国正在对这种形式的恶意软件攻击进行调查。
同2014年4月至2015年3月这段时间相比,在2015年4月至2016年3月遭遇所有类型勒索软件攻击的用户总数增长了17.7%,全球受攻击用户从196.7784万个增长到231.5931万个;遭遇加密勒索软件攻击的用户数量增长了5.5倍,从2014年—2015年的13.1111万个增加到2015年—2016年的71.8536万个;至少遭遇一次勒索软件攻击的用户占所有遭遇恶意软件攻击的用户总数的比例增长了0.7个百分点,从2014年—2015年的3.63%增长到2015年—2016年的4.34%;遭遇加密勒索软件的用户占所有遭遇勒索软件攻击的用户数量比例显著上升,上升了25个百分点,从2014年—2015年的6.6%上升到2015年—2016年间的31.6%;遭遇锁定软件(锁定用户屏幕的勒索软件)的用户数量下降了13.03%,从2014年—2015年的183.6673万个减少到2015年—2016年间的159.7395万个;德国、意大利和美国的用户遭遇加密勒索软件的比例最高。
再来看一看遭受勒索软件感染后,用户交付赎金的数额变化情况。赛门铁克的《勒索软件与企业2016》报告中指出,从2015年年末至今,勒索软件的平均赎金增长超过2倍,从294美元增长至679美元。2016年,一种名为7ev3n-HONE$T的恶意软件(Trojan.Cryptolocker.AD)要求每台计算机支付13个比特币的赎金,换算约为5083美元(根据发现的时间),成为最高的勒索金额。
勒索软件的影响范围
根据赛门铁克的调查报告,美国成为感染勒索软件最严重的国家,占全球的28%。排名前十的国家还包括加拿大、澳大利亚、印度、日本、意大利、英国、德国、荷兰和马来西亚。现在,个人消费者仍然是勒索软件的主要攻击目标(57%)。但长期趋势表明,以企业为攻击目标的勒索软件攻击次数正在缓慢且稳步地增长。
或许有人会提出这样的问题,为什么目前勒索软件的主要攻击目标会有57%是个人用户,而非企业用户,攻击这些目标群体真会获得很多利润吗?企业对于自身信息应该更为看重,更应该愿意支付赎金,攻击它们应该比攻击个人用户更有利可图。赛门铁克公司大中华区首席运营官罗少辉表示,不同的黑客发动攻击时,所选择的目标不尽相同。有些黑客仅针对个人用户进行攻击,因为个人用户的安全意识比较低、防护措施也比较薄弱,黑客通过简单的勒索软件就能够轻易地实施攻击。同时,由于黑客对个人用户的勒索金额较小,个人用户为了尽快获得密钥会更加倾向于支付赎金。所以,现在的勒索软件攻击的对象大部分针对个人用户。
而针对企业的攻击,由于攻击规模相对较大,因此黑客需要采用一些专业攻击工具,花费较多的时间,因此黑客索要的赎金也是相当可观的。“我认为,正是由于勒索软件针对企业的攻击数量上升,企业才会更加关注安全防护,逐步增强安全防御措施。”罗少辉补充道。
赛门铁克的《勒索软件与企业2016》调查报告还指出,当前受勒索软件影响较大的行业为服务业(38%)、制造业(17%)、金融、保险和房地产业(10%),以及公共管理(10%)。
过去,黑客攻击的主要方式是通过电子邮件进行传播。但如今,黑客通常不再使用单一手法进行攻击,黑客也会在同一时间,利用电子邮件、社交媒体和短信等多种不同方式队攻击目标。此外,勒索软件会出现很多变种。因此,即便用户对电子邮件保持谨慎,也有可能通过其他途径感染勒索软件。正是由于黑客的攻击方式更加多样化,赛门铁克对勒索软件的攻击模式和途径进行统一分析与整理还存在一定困难,无法全面对其梳理,绘制一个全面的图表。
以邮件和URL传播为主
由于勒索软件可以通过多种途径来传播,因此基于单一层面的防护机制都无法有效防范勒索软件。亚信安全发布的勒索软件风险研究报告同样显示,在综合部署电子邮件、URL、文件等多层防护机制之后,在防护边界对于勒索软件的检测率可以达到99%。
亚信安全技术总经理蔡昇钦指出:“勒索软件作者会不断改变程序代码来绕过过滤程序,并且尝试通过电子邮件、URL链接、文件等多种方式来入侵网络。