自2021年11月1日起���,防御吧安全垂直響應(yīng)服務(wù)平臺(tái)運(yùn)營(yíng)組將以防御賦能和威脅分析視角���,通過(guò)一天一篇的科普專(zhuān)題連載,分享勒索攻擊的攻擊技術(shù)��、行為特點(diǎn)���、演進(jìn)趨勢(shì)等8組關(guān)鍵信息��,介紹防御吧產(chǎn)品如何構(gòu)建防御勒索攻擊的防線���。
今天是本專(zhuān)題的第一篇,主要闡述勒索攻擊已發(fā)展成為分工明細(xì)的產(chǎn)業(yè)化犯罪趨勢(shì)����,用戶應(yīng)予以重視并及時(shí)防護(hù)。更多關(guān)于勒索攻擊的分析和防護(hù)建議�,請(qǐng)持續(xù)關(guān)注���。
早期的勒索攻擊多半是攻擊者從編寫(xiě)勒索病毒到投放勒索病毒一條龍完成的,但如今的勒索攻擊已發(fā)展成為分工明細(xì)的產(chǎn)業(yè)化犯罪活動(dòng)�����。
一次完整的勒索攻擊鏈條里���,或者說(shuō)在一個(gè)勒索攻擊犯罪團(tuán)伙�,一般會(huì)有多種分工角色�����。不同攻擊活動(dòng)間又有很大差異�����,有的攻擊中同一個(gè)人或同一個(gè)組織會(huì)扮演多重角色�����;也有攻擊中分工會(huì)更細(xì)致��。分工確實(shí)成為勒索攻擊犯罪活動(dòng)的顯著特點(diǎn)�����,特別是出現(xiàn)了RaaS(Ransomware as a Service,勒索即服務(wù))這種模式化的新犯罪活動(dòng)����,將勒索攻擊轉(zhuǎn)變?yōu)椤吧虡I(yè)服務(wù)行為”��,通過(guò)會(huì)員����、訂閱或定制,向其他“攻擊者”售賣(mài)勒索攻擊相關(guān)服務(wù)���。RaaS的出現(xiàn)���,不僅降低了勒索攻擊的準(zhǔn)入門(mén)檻(甚至無(wú)需任何網(wǎng)絡(luò)攻防技術(shù)與知識(shí)即可發(fā)起攻擊),也增加了勒索攻擊的防護(hù)難度����,特別是帶來(lái)了巨大的“內(nèi)鬼”作案風(fēng)險(xiǎn)。
1. 勒索軟件開(kāi)發(fā)方: 主要負(fù)責(zé)勒索攻擊中軟件�、工具、生成器等相關(guān)能力的開(kāi)發(fā)�����,是整個(gè)攻擊中的上游制毒者。
在RaaS模式中���,除了勒索攻擊能力的相關(guān)標(biāo)品開(kāi)發(fā)����,也接受勒索攻擊能力的相關(guān)定制開(kāi)發(fā)�����;主要通過(guò)地下平臺(tái)或“暗網(wǎng)”��,實(shí)現(xiàn)勒索軟件的定制����。
2. 勒索攻擊行為發(fā)起方: 是實(shí)現(xiàn)把勒索軟件定向投放到受害場(chǎng)景的行為角色。其有可能是一個(gè)個(gè)體�����,也可能是一個(gè)由組織者和執(zhí)行者組成的團(tuán)伙�����。
2.1 組織者: 通過(guò)合作分成的方式,組織開(kāi)發(fā)者開(kāi)發(fā)/定制勒索軟件或勒索服務(wù)平臺(tái)(RaaS���,勒索即服務(wù))�����;聯(lián)合渠道商傳播勒索軟件����;串聯(lián)代理商與受害者獲得聯(lián)系獲取贖金等�����。
2.2 執(zhí)行者: 勒索攻擊實(shí)施階段的重要節(jié)點(diǎn)事務(wù)執(zhí)行���,主要包括:系統(tǒng)入侵、勒索部署�、竊密加密、勒索贖金等��。
3. 勒索攻擊中的渠道方: 勒索攻擊可能是攻擊者定向發(fā)動(dòng)的����,也可能與其他的一些掌握肉雞資源的犯罪組織合作��。例如常見(jiàn)的方式是利用僵尸網(wǎng)絡(luò)大規(guī)模發(fā)送釣魚(yú)郵件�����,譬如此前全球最大的僵尸網(wǎng)絡(luò)Necurs(于2020年3月11日由微軟宣布被搗毀)����,以及目前仍在活躍且較知名的Mirai�����、Gafgyt��、Mozi等�。基于傳播次數(shù)����,僵尸網(wǎng)絡(luò)仍是目前勒索軟件的主要傳播渠道。
4. 勒索攻擊中的代理方: 主要負(fù)責(zé)拓展和助攻勒索贖金繳納的成功率�;與勒索發(fā)起方同樣是合作分成收益關(guān)系,還有的本身就是和攻擊者沆瀣一氣的團(tuán)伙成員�。代理方一般會(huì)通過(guò)網(wǎng)絡(luò)關(guān)鍵詞、多媒體、信息流等廣告宣傳�,聲稱自己能夠解密各類(lèi)勒索攻擊加密的文件。但實(shí)際存在多種情況:有的是利用受害者不知道如何使用虛擬貨幣交易�����,賺取手續(xù)費(fèi)�;有的則是利用相關(guān)事件,來(lái)詐騙勒索受害者�。此前我國(guó)公安部門(mén)就曾打擊掉一家以數(shù)據(jù)恢復(fù)為名義,實(shí)際上和勒索攻擊勾結(jié)的所謂“數(shù)據(jù)恢復(fù)公司”�����。
值得警惕的新角色“內(nèi)鬼”:
當(dāng)前政企機(jī)構(gòu)要警惕的是在勒索即服務(wù)全面降低了勒索攻擊門(mén)檻后����,內(nèi)鬼對(duì)自身所在單位進(jìn)行勒索攻擊的風(fēng)險(xiǎn)會(huì)提升��,需要增加預(yù)防����。
值得一提的是,勒索攻擊產(chǎn)業(yè)化�、鏈條化后,勒索犯罪團(tuán)伙時(shí)刻都在與安全工作者們隔空對(duì)抗,試圖找到更多繞過(guò)安全機(jī)制的方法��。這也是防護(hù)能力需要持續(xù)升級(jí)改善的根本原因�。安全有效性從不會(huì)一勞永逸,而需要持續(xù)安全運(yùn)營(yíng)���。
勒索攻擊的分工鏈條化�����,增加了攻擊的能力和隱蔽性���。從政企機(jī)構(gòu)網(wǎng)絡(luò)客戶角度,構(gòu)建有效防御體系才能更好應(yīng)對(duì)日趨復(fù)雜的勒索攻擊����,做好防患未然。從社會(huì)治理角度看���,推動(dòng)有效治理僵尸木馬蠕蟲(chóng)�,削弱勒索攻擊的分發(fā)能力�;對(duì)勒索攻擊活動(dòng)進(jìn)行持續(xù)跟蹤分析溯源,形成國(guó)際協(xié)同的司法打擊能力�,都是工作抓手�。特別是要倡導(dǎo)����,在遭遇勒索攻擊成功的情況下,堅(jiān)決不交贖金的理念��,面對(duì)犯罪活動(dòng)不妥協(xié)�����,就是對(duì)正義的支持��。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
