勒索软件恶化状态

2021-03-23 02:26:13

由Samuel Greengard ACM的Communications of ACM,4月2021年,Vol。 64号第4页,第15-17页1​​0.1145 / 3449054评论很少一些东西引出恐怖的东西非常像在计算机上切换并查看所有文件和数据被锁定并无法访问的消息。然而,随着社会更深入地进入数字技术,这是一个日益常见的情景。加密数据所以网络犯罪分子的赎金软件可以提取其安全回报的支付,已经变得越来越普遍,昂贵。安全供应商Emisoft的2019年报告将年度勒索省软件的年度成本占用超过75亿美元。 1

"个人,企业,医院,大学和政府都有所有堕落的受害者攻击," Chris Hinkley说,威胁抵抗单元(TRU)首座的安全公司盔甲研究团队。在最糟糕的情况下,赎金可以遇到数千万美元并完全关闭组织'它已迫使医院将患者重定向到其他设施,扰乱紧急服务,关闭企业。

尽管发展了新的和更高级的方式来发展,但这些问题越来越差,包括使用行为分析和人工智能(AI)。 " Cyber​​gangs使用不同的加密算法,它们分配了非常复杂和难以检测的软件," Hinkley说。 "今天,进入几乎没有障碍和造成的损害且造成的损害是巨大的。"

现代赎金软件的起源可以追溯到2013年9月。然后,一个相当基本的恶意软件,Cryptolocker,介绍了一个新的和令人不安的威胁:当一个人点击恶意电子邮件链接或打开受感染的文件时,一个特洛伊木马开始加密计算机上的文件。一旦这个过程完成,骗子要求加密货币收费,通常是几百美元,解锁数据。如果这个人在网络发电中递减,犯罪者删除了解密数据所需的私钥,并且它永久丢失。

如今,存在一个令人眼花缭乱的赎金阵列,每个变体都由不同的Cyber​​gangs开发。一旦他们居住在电脑上,就喜欢达摩,迷宫,ryuk,petya,苏丹基比,拉撒路和锁定恶意软件,这些恶意软件遍布系统和网络 - 直到骗子决定拉动扳机。更糟糕的是,一些Cyber​​gangs销售赎金瓶套件只需几百美元(或通过每月50美元到100美元的订阅价值。这些"客户,"谁拥有零编码技能或软件专业知识,利用赎金软件的服务(RAAS)模型来获得复杂的能力,前FBI代理商和Ernst&amp的网络安全练习总经理说年轻的。

根据安全公司Sophos的说法,全球51%的组织发现自己在2019年发现了赎金软件攻击的目标。骗子成功地加密了这些攻击的73%的数据。刚刚超过四分之一的组织支付了赎金,或者他们的保险公司以现金分叉。例如,新泽西大学医院于2020年10月支付了670,000美元的赎金,后一组被称为Suncrypt捕获了240GB的数据。 2019年7月发生了更灾难性的结果,当时波特兰或基于PM顾问(MSP)为牙科实践的托管服务提供商(MSP),被赎金软件命中;客户无法访问几个月的关键文件或数据,并且公司关闭。 5.

毫不奇怪,现在全球数十个主要的勒扬瓶帮派,包括在俄罗斯,东欧和朝鲜。令人难以置信的是,许多这些操作看起来像是真实的企业一样。 "他们租了办公空间,他们有开发团队,数据架构团队,帮助书桌,电话支持以及与目标谈判赎金的人员," Tuik Security Group的首席创新官员表示Alexander Chaveriat。 "他们使用加密货币,根据需要更改服务器的服务器空间,并使用虚拟专用网络和其他工具隐藏他们的位置。"

虽然勒索软件攻击各不相同,但是当计算机执行受感染的文件时开始了一集。恶意软件通常会下载建立与命令和控制(C& C)服务器的连接的其他组件。这允许数据跨越机器流 - 包括IP地址,地理位置数据和有关访问权限的信息。这种连接被称为A"致电回家"或" c2,"它通常是挖掘端口80和HTTP或端口443和HTTPS协议。在某些时候,骗子加载将文件锁定到目标计算机所需的加密密钥。 6.

加密过程超过日期,数周或数月,通常通过硬盘驱动器,附加驱动器和网络设备进行。 C& C服务器在需要时解密文件。沿途,骗子将在具有加密文件的每个文件夹中放置赎金笔记;它们还可以在系统上种植其他类型的恶意软件。在攻击的最终阶段,瑞格软件卸载本身,盗贼从受感染系统中删除加密密钥,受害者在计算机屏幕上看到赎金说明。 7.

在过去几年中,勒索软件的机械师已经提升了很大。早期攻击在很大程度上是自动化的,并专注于感染大量计算机。 John Shier,Sophos的高级安全顾问John Shier表示,需求为400美元至1,000美元。由于修补和端点安全性有所改善,勒索软件已经进化。在许多情况下,Cyber​​gangs - 有时是支持国家的支持 - 目标特定的企业,医院或城市。事实上,他们经常寻求有网络保险的组织,这增加了他们可以兑现的赔率。

考虑情绪,一个赎金书"滴管"在人员点击恶意电子邮件链接后,在系统上降落,执行受感染的文件,或点击包含恶意代码的劫持在线广告。这将在计算机上安装初始的情绪恶意软件。反过来,该恶意软件下载脚本,宏和从地址簿中提取数据的代码,请使用密码填充到其他帐户,然后安装间谍软件。 Modet Components隐藏在沙箱中,滑入云容器,并由于加密的通信通道而被防火墙的检测。

一路上,不同的Cyber​​和各种形式的恶意软件去上班。这包括Dridex和Trickbot等银行的特洛伊木马,"窃取证书的中期感染者,使犯罪分子能够犯下某种类型的财务犯罪,"泼思说。 "一组完成窃取凭据后,将物件交给勒索沃特营运器,他加密机器并要求付款。" Sophos在2019年每天出现的700个独特的情绪二进制文件,这使得传统签名的识别在不可能下面。 "什么开始作为单一代码库,包括凭证窃取器,已成为一个高度模块化的有效载荷,允许运营商混合和交换组件,"据剧。

"突然,您拥有使用强大的软件能够发现,exfiltrate和加密文件的能力有限的人。它们与复杂的网络犯罪分子有许多相同的能力结束。"

另一个常见的赎金软件包,达尔玛(以前称为孤岛危机),攻击中小型企业。据Sophos称,虽然Sophos的普通赎金软件需求现在为191,000美元,但Dharma达到了8,620美元的相对较低的价格。 "制作达尔玛的赎金制品船员将它放在较低技能犯罪分子的手中,"泼思说。 "突然,您拥有使用强大的软件能够发现,exfiltrate和加密文件的能力有限的人。它们与许多相同的强大功能结合起来,使复杂的网络犯罪分子有他们的处置。"

Sophos发现,85%的Dharma感染与远程桌面协议(RDP)中的漏洞有关,这是一个专有的Microsoft通信协议,便于企业网络和远程计算机之间的连接。易受攻击的系统通常缺少多因素身份验证,因此在支付费用或购买订阅后,联盟会获取菜单驱动的PowerShell脚本,该脚本通过RDP建立与业务的连接。该软件包包括一个名为Mimikatz的凭证窃取工具,以及各种其他系统实用工具。 9.

勒索软件技术继续发展。一个很好的例子是一个名为Snatch的程序,2019年介绍。在初始感染阶段,恶意软件在安全模式下运行特定文件所需的注册表项。种植加密程序后,它指向它的注册表项,然后重新启动计算机。一旦计算机处于安全模式,使用正常的安全工具关闭,它可以加密文件畅通无阻。它使用的其他避免技术包括启动虚拟机内的攻击,并在内存中加密文件以避免行为检测方法。 10.

帮派还开始加密备份系统,包括云存储服务,如Office 365和Drop-Box。虽然Sophos调查的56%的公司通过备份恢复了对数据的控制,但该窗口似乎已关闭。 " [Cyber​​gangs]已经意识到,如果您有完整的备份,则赎金需求变得无能为力,并且您可以恢复到它,"泼思说。团伙也发现了棘轮压力的方法。从2019年11月开始,一个与迷宫勒索软件关联的组开始在加密它之前从有针对性系统复制数据 - 自复制以来的其他组。这可以包括人力资源记录,法律信息和知识产权。通常,他们在线发布样本以验证它们是否包含这些文档和数据。

例如,5月20日,名人律师事务所Grubman Shire Neusekas& Armor说,SACS在初始赎金软件需求的十字架上发现了一系列的十字架需求。负责攻击的赎金瓶帮派声称它占据了数千个文件,其中包含Lady Gaga,Nicki Minaj,Bruce Springsteen,Lebron James,Christina Aguilera,Mariah Carey等私人信息。当律师事务所未能应对赎金所需时,该团伙将赎金翻了一番,达到4200万美元。 7月10日,该团伙开始拍卖黑色网上的私人数据,每缓存多达150万美元。 11.

居住在世界范围内的赎制软件是一个日益令人担忧的问题。不可能知道损害的全部损害,因为许多受害者不报告攻击。

捕获财务数据的能力有其他后果。 "勒索瓶操作员可以使用它来确定组织能力支付赎金的多少钱," Chaveriat说。毫不奇怪,这可以推动赎金的价格,同时解散事业的任何论证都没有现金匪徒的要求。 "盗贼提出了保险和公司政策所涵盖确切金额的案件。这表示他们可以访问提取的数据,"他说。

赎金软件攻击也蔓延到工业控制系统。 2019年,挪威铝制造商Norsk Hydro遭受了攻击,迫使该公司将一些操作转换为手动模式。该公司报告了该事件的估计损失总额超过4000万美元。现在有担心勒索软件将传播到Connected Internet(IoT)设备,例如汽车,家庭自动化系统和医疗设备,如Hinkley所说的。

居住在世界范围内的赎制软件是一个日益令人担忧的问题。因为许多受害者不报告攻击是不可能知道伤害的全部范围。根据Sophos的说法,94%的组织通过支付赎金或通过备份来加密数据被重新控制它。 "它符合帮派的最大兴趣,以确保人们确实得到他们的数据。你'如果你信任罪犯以纪念交易结束,而且#34更有可能支付。泼思说。然而,当停机时间,人的时间,设备成本,网络成本,丧失机会和赎金时,将达到近150万美元的平均成本为近150万美元。 13.

出于多种原因,包括缺乏国际引渡条约,少数赎金瓶帮派致力于正义。其中一些,包括美国财政部,促进了使其非法支付赎金的理念,尽管这一想法普遍支持。计算行业反击的一种方式是取下C& C服务器。去年10月,微软在获得美国联邦法院禁用与TrickBot' S服务器相关联的IP地址后,微软扰乱了一个巨大的黑客操作,并与电信提供者密切合作以消除黑客。 15.

网络安全专家不会很快看到勒索软件的结束。人工智能,区块链和其他技术可能会改善检测和保护 - 员工培训可能会改善检测 - 但每次都有前卫的进步,Cyber​​gangs找到了一种新的漏洞系统和提取赎金的方式。 Mularski说:"作为网络安全有所改善,赎金瓶帮派继续找到最薄弱的联系并利用它们。当人们问威利·萨顿为什么他抢劫银行时,他回答说:'那个钱的地方。'今天,赎金软件是钱的。"

理查森,r.和北,小星。赎金软件:进化,缓解和预防,2017年,教师出版物,4276,HTTPS://DIGITALCommons.Kennesaw.edu/Facpubs/4276

Kok,S.H.,Abdullah,A.和Jhanjhi,N.Z.早期检测使用预加密检测算法,7月4日,2020,https://doi.org/10.1016/j.jksuci.2020.06.012

船体,G.,Henna,J。和Arief,B.赎金软件部署方法和分析:从预测模型和人力响应,犯罪学报,2019年2月,https://link.springer.com/article/10.1186/ S40163-019-0097-9.

5.新的目标,使勒索软件黑客能够一次瘫痪数十个城镇和企业,GCN,https://gcn.com/articles/2019/09/12/ransomware-msp.aspx

14.赎金软件攻击以前所未有的速度增加 - 而美国现在乞讨人们不要支付赎金,商业内幕,https://bit.ly/3k59oqh

15.微软取消了可能影响选举,CNN Business,HTTPS://cnn.it / 3dtlxou的大规模黑客操作

如果没有收取副本或分发盈利或商业优势,则授予将部分或课堂使用的部分或课堂使用的数字或课堂上的所有这项工作的金融副本或所有课堂用途进行个人或课堂使用,并且副本在第一页上承担本通知和全面引用的副本。必须尊重由他人拥有的本工作组件的版权必须尊重ACM。允许使用信用案。要复制,要重新发布,请在服务器上发布或重新分配给列表,需要事先具体许可和/或费用。请求从[email protected]或传真发布权限(212)869-0481。

数字图书馆由计算机械协会发布。版权所有©2021 ACM,Inc。