安全動態(tài)

2019年勒索軟件:針對市政部門的全面攻擊

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2019-12-27    瀏覽次數(shù):
 

信息來源:FreeBuf

人們對安全的意識正在增強(qiáng), 回顧過去三年,勒索軟件在惡意軟件總數(shù)中所占的比例從2.8%上升到3.5%。 勒索軟件在受惡意軟件攻擊所有用戶中的比例一直在波動,2019年上半年為2.94%,而兩年前為3.53%。

大約90萬至近120萬受勒索軟件攻擊的用戶。

有許多極其復(fù)雜的加密樣本,但背后機(jī)制非常簡單:將受害者計算機(jī)上的文件轉(zhuǎn)換為加密數(shù)據(jù),并要求贖金換取解密密鑰。

2019年,勒索軟件有了新目標(biāo):市政府。討論最廣泛的事件是巴爾的摩,它受到大規(guī)模的勒索軟件運動,導(dǎo)致大量城市服務(wù)癱瘓,并需要數(shù)千萬美元來恢復(fù)該城市的網(wǎng)絡(luò)。

根據(jù)公開統(tǒng)計數(shù)據(jù)和公告,2019年至少有174個市政組織受到了勒索軟件的攻擊。與一年相比增加了大約60%。贖金在5,000美元至5,000,000美元之間,平均大約為1,032,460美元。但差異很大,例如小城鎮(zhèn)學(xué)區(qū)勒索的資金比從大城市市政廳勒索的資金小20倍。

根據(jù)分析師估計,攻擊造成的實際損失通常與犯罪分子要求的數(shù)額有所不同。首先,保險公司為一些市政機(jī)構(gòu)和供應(yīng)商提供了針對網(wǎng)絡(luò)事件的保險,這可以以另一種方式補償成本。其次,可以通過及時的事件響應(yīng)來消除攻擊。最后,并非所有城市都支付了贖金:在巴爾的摩加密案中,官員拒絕支付贖金,該市最終花費了1800萬美元來恢復(fù)其IT基礎(chǔ)設(shè)施。雖然這筆錢比犯罪分子要求的114,000美元要多得多,但支付贖金是一種短期解決方案,會鼓勵攻擊者繼續(xù)其惡意行為。一旦城市的IT基礎(chǔ)設(shè)施遭到破壞,需要進(jìn)行審核和徹底的事件調(diào)查,以防止再次發(fā)生類似的事件,還要實施強(qiáng)大的安全解決方案,這會帶來額外的成本。

一般來說,可以通過兩個入口點來攻擊市政當(dāng)局:社會工程和未更新軟件的漏洞。在用戶設(shè)備上最經(jīng)常被阻止的勒索軟件排名中,所有時間段內(nèi)都處于領(lǐng)先地位的是WannaCry。微軟為其Windows操作系統(tǒng)發(fā)布了一個補丁程序,該補丁程序在攻擊開始前幾個月就已關(guān)閉了相關(guān)漏洞,但WannaCry仍然影響了全球數(shù)十萬臺設(shè)備。在2019年第三季度收集的最新統(tǒng)計數(shù)據(jù)表明,WannaCry結(jié)束兩年半后,所有用戶中有五分之一受到了WannaCry的攻擊。從2017年到2019年中的統(tǒng)計數(shù)據(jù)表明,WannaCry一直是最受歡迎的惡意軟件樣本之一,占該時期內(nèi)勒索軟件攻擊的27%。

另一種情況是,犯罪分子利用人為因素:企業(yè)組織對員工進(jìn)行的培訓(xùn)遠(yuǎn)未達(dá)到應(yīng)有的普遍水平。許多行業(yè)由于員工的錯誤而損失了巨額資金,包含惡意軟件安裝程序的網(wǎng)絡(luò)釣魚和垃圾郵件仍在網(wǎng)絡(luò)上流傳并到達(dá)受害者手中。這些受害者可能正在管理公司的帳戶和財務(wù)時打開詐騙郵件,下載PDF文件導(dǎo)致網(wǎng)絡(luò)受到攻擊。

在整個2019年遭受攻擊的眾多類型的市政組織中,有些組織受到的攻擊要多于其他組織。最具針對性的是教育組織,約占所有攻擊的61%:2019年,105個學(xué)區(qū)受到攻擊,530所學(xué)校成為目標(biāo)。同時,市政廳和市政中心約占案件總數(shù)的29%。另一個受歡迎的目標(biāo)是醫(yī)院,占所有攻擊的7%。此外,遭受攻擊的所有機(jī)構(gòu)中約有2%是市政公用事業(yè)服務(wù)機(jī)構(gòu)或其分包商。服務(wù)提供商經(jīng)常被用作整個設(shè)備和組織網(wǎng)絡(luò)的入口,攻擊者成功攻擊服務(wù)提供商的情況下,會攻擊供應(yīng)商或機(jī)構(gòu)服務(wù)的每個地點。公用事業(yè)服務(wù)的中斷會導(dǎo)致重要的常規(guī)服務(wù)中斷,例如居民在線支付服務(wù)。

下面是針對市政組織攻擊中一直活躍的惡意軟件。

Ryuk

Ryuk勒索軟件(檢測名稱:Trojan-Ransom.Win32.Hermez),它攻擊大型組織以及政府和市政網(wǎng)絡(luò)。 該惡意軟件首次出現(xiàn)在2018年下半年,并且在整個2019年一直在變異和傳播。

在世界各地都可以看到Ryuk。

傳播方式

Ryuk采用了多階段計劃傳播勒索軟件。

初始階段通過Emotet bot(檢測名稱:Trojan-Banker.Win32.Emotet)感染大量計算機(jī)。 通常通過發(fā)送包含帶有惡意宏文檔的垃圾郵件實現(xiàn),如果受害者允許執(zhí)行宏,則該惡意宏將下載bot。

在感染的第二階段,Emotet將收到來自其服務(wù)器的命令,下載并安裝另一種惡意軟件Trickbot(判定為Trojan.Win32.Trickster)到受感染的系統(tǒng)中。攻擊者可利用該惡意軟件在受感染的網(wǎng)絡(luò)中進(jìn)行偵察。如果犯罪分子發(fā)現(xiàn)他們已滲透到受害者內(nèi)部,例如大型市政網(wǎng)絡(luò)或公司,他們會繼續(xù)進(jìn)行感染的第三階段,將Ryuk勒索軟件部署到受影響網(wǎng)絡(luò)中的許多節(jié)點。

技術(shù)簡介

Ryuk自創(chuàng)建以來一直在發(fā)展,存在32位和64位版本,加密方案有時也因樣本不同而不同。

下面將描述2019年10月下旬發(fā)現(xiàn)的最新樣本(MD5:fe8f2f9ad6789c6dba3d1aa2d3a8e404)。

1)文件加密

Ryuk使用混合加密方案,該方案使用AES算法對受害者文件的內(nèi)容進(jìn)行加密,使用RSA算法對AES密鑰進(jìn)行加密。 Ryuk使用Microsoft CryptoAPI實現(xiàn)加密。

該木馬樣本包含攻擊者嵌入的2048位RSA密鑰。 Ryuk將為每個受害文件生成一個唯一256位AES密鑰,該密鑰將用于加密文件內(nèi)容。 AES密鑰由RSA加密,并保存在加密文件的末尾。

Ryuk加密本地驅(qū)動器和網(wǎng)絡(luò)共享。加密的文件將獲得一個附加擴(kuò)展名(.RYK)。

2)附加功能

為了對網(wǎng)絡(luò)造成更大的破壞,Ryuk變種使用了新的技巧; Trojan嘗試喚醒處于睡眠狀態(tài)的其他計算機(jī)。

Ryuk這樣做是為了最大程度地擴(kuò)大攻擊面:位于睡眠PC上的網(wǎng)絡(luò)共享上文件不可訪問,但如果木馬設(shè)法喚醒它們,就可以對這些文件進(jìn)行加密。 Ryuk從受感染系統(tǒng)的本地ARP緩存中檢索附近機(jī)器的MAC地址,并將以{0xff,0xff,0xff,0xff,0xff,0xff}開頭的廣播UDP數(shù)據(jù)包發(fā)送到端口7喚醒目標(biāo)計算機(jī)。

Ryuk算法在勒索軟件中較為傳統(tǒng)的其他功能包括:將代碼注入合法進(jìn)程中以避免檢測; 嘗試終止與被加密應(yīng)用程序相關(guān)的過程,使這些程序使用的文件可被修改; 試圖停止與業(yè)務(wù)應(yīng)用程序和安全解決方案相關(guān)的各種服務(wù)。

Purga

這個勒索軟件系列出現(xiàn)在2016年中期,且仍在積極地開發(fā)和向世界各地傳播。該惡意軟件的特征之一是,它攻擊常規(guī)用戶以及大型公司甚至政府組織。 該惡意軟件檢測為Trojan-Ransom.Win32.Purga。

傳播方式

該惡意軟件使用了各種類型的傳播方式。主要的攻擊手段是垃圾郵件和RDP暴力攻擊。

常見的攻擊情形:

1、犯罪分子掃描網(wǎng)絡(luò)以查找開放的RDP端口

2、嘗試暴力破解憑據(jù)以登錄到目標(biāo)計算機(jī)

3、成功登錄后,犯罪分子會嘗試各種漏洞來提升權(quán)限

4、犯罪分子啟動勒索軟件

技術(shù)簡介

Purga勒索軟件在過去的兩年中改變了幾種加密算法,密鑰生成功能,密碼方案等,簡要介紹最新的修改。

1)命名方案:

Purga會為每個文件使用不同的擴(kuò)展名,使用不同的電子郵件地址進(jìn)行聯(lián)系。盡管對加密文件使用了各種擴(kuò)展名,但該木馬僅使用兩種命名方案,具體取決于其配置:

[original file name].[original extension].[new extension]:

[encrypted file name].[new extension]:

文件加密

木馬結(jié)合了對稱和非對稱算法的標(biāo)準(zhǔn)方案。 使用隨機(jī)生成的對稱密鑰對每個文件進(jìn)行加密,然后使用非對稱密鑰對對稱密鑰進(jìn)行加密,并將結(jié)果存儲在專門構(gòu)建的結(jié)構(gòu)中。

Stop

Stop勒索軟件(也稱為Djvu STOP)于2018年底出現(xiàn),檢測名稱是Trojan-Ransom.Win32.Stop,根據(jù)統(tǒng)計數(shù)據(jù),在2019年Stop勒索軟件攻擊了全球2萬多名受害者。 根據(jù)2019年第三季度報告,Stop勒索軟件在最常見的勒索軟件中排名第七。

傳播方式

攻擊者主要通過軟件安裝程序來傳播其惡意軟件。 當(dāng)用戶從不受信任的站點下載特定軟件或嘗試使用軟件破解程序時,他們的計算機(jī)會受到勒索軟件的感染。

技術(shù)簡介

勒索軟件使用隨機(jī)生成的Salsa20密鑰,然后使用RSA密鑰對其進(jìn)行加密。

根據(jù)C&C服務(wù)器的狀態(tài),勒索軟件會使用在線或離線RSA密鑰。 離線RSA密鑰可以在每個惡意樣本的配置中找到。

總結(jié)與建議

2019年是勒索軟件對市政當(dāng)局進(jìn)行攻擊的一年,這種趨勢會在2020年繼續(xù)。針對市政當(dāng)局的攻擊次數(shù)不斷增加的原因有多種。

首先,市政當(dāng)局的網(wǎng)絡(luò)安全預(yù)算通常更側(cè)重于保險和應(yīng)急響應(yīng),而不是主動防御。其次,市政部門通常是由多個組織組成的網(wǎng)絡(luò),對它們的打擊會同時在多個層次上造成中斷,從而使整個地區(qū)的流程都陷入停頓。此外,存儲在市政網(wǎng)絡(luò)中的數(shù)據(jù)通常對于日常服務(wù)的運行至關(guān)重要,它直接關(guān)系到公民和地方組織的利益。

簡單的預(yù)防措施可以幫助對抗惡意軟件攻擊:

1、必須盡快安裝安全更新。大多數(shù)網(wǎng)絡(luò)攻擊利用已報告的漏洞,因此安裝最新的安全更新可降低受到攻擊的可能性。

2、通過VPN保護(hù)對公司網(wǎng)絡(luò)的遠(yuǎn)程訪問,并為域帳戶使用安全密碼。

3、始終更新操作系統(tǒng)以消除最近的漏洞,并對更新的數(shù)據(jù)庫使用可靠的安全解決方案。

4、始終保留文件的新備份副本,以便在丟失時可以替換它們,并將它們不僅存儲在物理介質(zhì)上,而且還存儲在云中,以提高可靠性。

 
 

上一篇:常見的假日網(wǎng)絡(luò)詐騙

下一篇:“黑爬蟲”可查網(wǎng)貸客戶信息 想法不錯但犯法了