安全路透社
当前位置:安全路透社 > 网络转载 > 正文

现代勒索软件发展简史

现代勒索软件发展简史

2.jpg本文主要作者Elie Bursztein为 谷歌反欺诈研究小组的首席研究员。

本文主要介绍的是目前全球范围内勒索软件犯罪团伙中的“领头羊”,并分析了他们之所以如此成功的原因。

PC Cyborg—勒索软件的前身

aids-trojan

AIDS trojan是世界上第一个被载入史册的勒索软件,由PC Cyborg犯罪团伙于1989年开发。在那个普通人都接触不到计算机的年代,他们利用软盘(PC中最早使用的可移介质)开发了这款勒索软件。这个软件伪装成评估受艾滋病毒感染风险的工具,采用的是最基本最脆弱的密码学。PC Cyborg要求受害者将189美元汇至位于巴拿马的某个地址。

CryptoLocker——现代勒索软件的兴起

现代勒索软件发展简史

2014年CryptoLocker的出现标志着勒索软件行业开启了全新的时代,具有决定性意义。它是第一个将所有关键技术结合起来的勒索软件,构成了现代勒索软件的基础。

通过强大的公钥密码技术加密用户文件,完全没有无需支付赎金即可恢复文件的漏洞可钻。CryptoLocker案件被彻底破获时,解密工具才面世。

以比特币作为交易货币。尽管CryptoLocker也提供了其它支付方式,但开发者着重强调了比特币支付对受害者来说是最划算的。

设置最晚支付时间,给受害者施加压力。CryptoLocker规定受害者必须在收到通知后的72小时内支付赎金,否则他所有的文件都将被销毁。

对于CryptoLocker整个组织在这次行动中究竟谋取了多少不义之财,人们也是众说纷纭。但可以肯定的是,数目一定是上百万的(维基百科的数字是约300万美元,我们的估算是200万)。CryptoLocker是欧州国际刑警组织、FBI和众多知名信息安全公司联合进行的托瓦尔行动(Operation Tovar)中的其中一个成功案例。

Locky——勒索软件规模化、全球化蔓延

现代勒索软件发展简史

2016-2017Locky收到的赎金

Locky毫无疑问是2016年的勒索软件之王。从上图中可以看出,2016年单月所获赎金最高达到了200万美元,Locky也是历史上少数收益达几百万美元的勒索软件之一。其总额接近800万美元的地位甚至到目前为止都能排上No.1。

现代勒索软件发展简史

Locky影响范围如此之广的主要原因是幕后人员整合了其它恶意分子已经开发好的现成的基础设施来传播勒索软件payload。例如,在Gmail中,我们发现Locky几乎完全依赖Necurs这个大型的僵尸网络来完成恶意负载的传播。这个僵尸网络也常常被其它网络犯罪团伙所利用,其中包括银行木马Dridex。也正因为如此,Dridex和Locky之间基础架构的相似之处在下图中清晰可见。该图显示了2016年某时与两个犯罪组织相关的恶意电子邮件来源IP的地理定位。

现代勒索软件发展简史

利用现成资源让Locky团伙具备充分的时间和精力去研究他们的“核心业务”(勒索软件的开发与迭代),同时发送无数的恶意邮件。根据我们对Gmail邮箱攻击的持续观察,Locky的最高记录仅在三个小时内就发送了1亿多个恶意邮件。

简单总结Locky:利用其他网络犯罪分子的基础设施扩大影响范围,成为2016年勒索软件领域的主力军,并在整个过程中牟取暴利达800万美元。

Cerber——开启”勒索软件即服务”的罪恶时代

现代勒索软件发展简史

2016-2017年Cerber所获非法收入

2017年,Cerber凭借创新的联盟商业模式超越了Locky这个独霸一方的“山大王”。在勒索软件即服务的模式中,Cerber通过网络犯罪领域中技术level较低的菜鸟向任何能够感染他人的用户提供cut的方式掀起大浪。让非团队成员选择自己的感染策略,这也拓宽了Cerber的分销渠道,最终远远地将Locker甩在了身后。另外,这样的模式也使得Cerber成为历史上“收入最稳定”的勒索软件(详见上图)。截至2017 Q2,Cerber每个月至少能够产生20万美元的非法收入。

现代勒索软件发展简史

首先我要在这里感谢我们的眼线,在他们的帮助下我们才得以完成对Cerber传播分支的遥测。每个分支的感染分布的确隐藏着一些重要信息。首先,遥测工作证实了Cerber成功的关键在于招募了团体外的数百名网络犯罪人员来帮助传播恶意程序。传播效果从上图中也能够看出。其次,遥测显示,Cerber的传播联盟规模实际并不大,只有几个分支,也就是说,我们只需要打击几个犯罪团伙就能够彻底打垮Cerber。

简单总结Cerber:Cerber凭借创新的联盟模式成为2017年最大的勒索软件家族,总收益近700万美元。

挑战者——Spora等

现代勒索软件发展简史

图10 2013至2017主要勒索软件家族的非法收入分布

观察上图我们可以发现,从2016年年底开始,新的勒索软件的出现一定程度上削弱了Cerber的风头。在所有的竞争对手中,Spora、SamSam和Al-Namrood“脱颖而出”,他们的不法收入均超过100万美元。这些勒索软件家族存在一个共性:深谙“创新促发展”的道理,比如提供更好的“用户体验。下面这张图片是Spora的界面,受害者可以选择多种支付和解密方式,大大提高了赎金支付几率。

现代勒索软件发展简史

到2017年底,整个市场不再是单个勒索软件集团的“主场”,相反地,这似乎已经变成了一场竞赛,很多攻击者都在想方设法地超越自己的竞争对手,不断改进软件、拓展分销渠道。这样的局势对普通网民来说却是一场灾难。最终哪些勒索软件能够在比赛中名列前茅不得而知,但不得不再次强调的是,2016年的Locker实力极其雄厚、不可小觑。

“随着网络犯罪组织之间的竞争愈演愈烈,谁都想扩张自己的市场份额,勒索软件的复杂性也将日益增加!”

伪装者——Wannacry和Nonpetya

只要提到勒索软件,很多人最为印象深刻的就是那场Wannacry和Nonpetya带来的噩梦。更精确的说法是,Wannacry和Nonpetya实际上属于wipeware(清除软件,其唯一的目的即彻底损毁所有的文件数据),而不是ransomware(勒索软件)。人们普遍认为,这两个恶意软件都受到了某国家政府的支持,故意伪装成勒索软件,隐匿行踪、混淆视听,延长调查周期。wipeware与ransomware差异很小,区分它们非常困难,而且大多数情况下只有通过大量的逆向工作才能实现。以下两个信号能够为读者区分两者提供一定参考:

wipeware只使用随机值作为加密密钥,且对密钥不作保存;

wipeware不需要为每个受害者生成比特币钱包用作成功感染后的赎金收取。

如果遭遇wipeware,支付赎金只会让你血本无归。

“2017年,开始出现全球范围内的受国家政府支持的勒索软件‘伪装者’——wipeware。”

*参考来源:www.elie.net,FB小编柚子编译

未经允许不得转载:安全路透社 » 现代勒索软件发展简史

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册