勒索病毒攻击历史和演变

ultradebug · 2022-1-25 13:17:27

欢迎回来，有抱负的网络战士！

最近的事件再次强调了SCADA安全的重要性！2021年5月7日，殖民地管道遭到赎金袭击，并被迫关闭一条输送45%汽油到美国东海岸主要城市(纽约、费城、华盛顿特区等)的管道。这造成了汽油短缺和囤积在一些大都市地区，因为消费者恐慌。最终，殖民管道向攻击者支付了500万美元用于获取他们的数据。

想象一下，如果对手能够对电网或发电厂做同样的事情，会发生什么呢？要了解有关历史上最重要的SCADA黑客的更多信息，请单击此处。

虽然洗劫软件目前在我们的数字景观中猖獗，但它还远远不是新的。在这篇文章中，我们将考察历史上最重要的赎金攻击，以更好地理解这种日益重要的数字攻击模式的发展。有各种迹象表明，这种攻击系统和支付赎金的方法只会在未来增加。

勒索病毒的工作原理

第一步是恶意软件获得对网络/系统的访问。这可以是多种方式，如：
1.电子邮件附件
2.关于社会媒体的信息
3.弹出式
4.众所周知的脆弱性(EternalBlue)

然后，赎金必须对数据进行加密。早期的勒索软件攻击编写了自己的加密算法，使得它们很容易解密(密码分析可以很容易地破坏大多数本地加密)。现代勒索软件使用现成的加密库进行加密，例如AES，这使得没有密码几乎不可能解密。

勒索病毒攻击历史和演变 - ultradebug_UltraDebug

最新的发展是勒索软件作为一项服务(RAAS)。像Cryptwall、Locky和Tesla Crypt这样的赎金攻击都是作为一种服务的赎金。

第一轮赎金(1989年)
第一次已知的赎金袭击发生在1989年。这种赎金是通过磁盘分发给艾滋病研究行业的人的。
Cryptolocker(2013年)
Cryptolocker于2013年面世，成为当时最赚钱的洗劫工具之一。它感染了全世界25万个系统，通常通过电子邮件附件感染主机。在它的一生中，它赚了300多万美元。最后，它被一项国际执法努力摧毁。我们现在有了一个解密密码器加密的工具，实际上，它可以消除这种恶意软件的威胁。

CryptoWall(2014-2016年)
2014年出现了“超级密码”，针对的是数十万个系统。

它利用公共域上的恶意广告将人们引导到受CryptoWall感染的站点，在那里恶意软件将被下载到他们的系统中。它利用了Java漏洞。

在整个生命中，它感染了60多万套系统，并获得了1 800万美元的赎金。

加密墙是通过电子邮件与ZIP附件，病毒是隐藏为PDF文件。PDF文件通常伪装成账单、定购单、发票等。

当受害者打开恶意PDF文件时，他们会用CryptoWall病毒感染计算机，并在%AppData%或%temp%文件夹中安装恶意软件文件。

勒索病毒攻击历史和演变 - ultradebug_UltraDebug

如果您的计算机上有任何驱动器字母，CryptoWall将扫描它以查找数据文件。

使CryptoWall与众不同的部分原因是它被编码在32位和64位系统上运行，这增加了病毒在任何发生感染的计算机上运行的几率。

CryptoWall 2.0(2015年1月)

2015年推出了“超级密码2.0”，并通过电子邮件附件、PDF文件和各种开发工具包交付。CryptoWall2.0有一些比Cryptwall1.0更先进的技术，特别是在混淆和反仿真方面。它使用Tor混淆命令和控制(C&C)通道，还包括反虚拟机(以阻止拆解或研究它的尝试)和反仿真。此外，根据需要，它可以在32位和64位模式之间切换。

好莱坞长老会(2016)

好莱坞长老会医疗中心在2016年被赎金袭击。

行政当局为归还档案支付了17,000美元

旧金山MTA(2016)

2016年11月25日，旧金山地铁成为赎金的受害者。

它在行政当局支付100比特币(按目前汇率计算500万美元)之前，中断了两天的票务和公共汽车管理系统。

WannaCry(2017年)

WannaCry Ransomware最早出现于2017年5月，在150多个国家感染了30多万台电脑。与大多数早期恶意软件不同，WannaCry不需要任何用户交互。相反，它使用刚刚发布的“永恒蓝”漏洞来感染未修补的Windows 7系统(2017年3月由影子经纪商发布的“永恒蓝色”)。调查人员和恶意软件分析人士怀疑朝鲜政府资助的黑客组织Lazarus。

一旦Wannacry感染了主机，赎金从300美元开始，如果你在6小时内支付，如果你延迟支付，将加倍到600美元。如果赎金7天内没有支付，Wannacry威胁要永久删除你的文件。

勒索病毒攻击历史和演变 - ultradebug_UltraDebug

MalwareTech(马库斯·哈钦斯)通过识别代码中的命令和控制URL并注册域(显然在匆忙中，他们没有注册域名)找到了杀死开关。不幸的是，马库斯·哈钦斯在美国旅行时被捕了。他对这枚定时炸弹的迅速拆除使他成为了Wannacry的开发商。相反，联邦调查局发现，几年前，哈钦斯开发了一些模块，可能已用于其他黑客。最后，他认罪，没有被判刑。他现在在美国一家大型信息安全公司工作。

勒索病毒攻击历史和演变 - ultradebug_UltraDebug

Petya 2016

皮特娅首次出现于2016年，被认为是先进的赎金。它加密了MFT(主文件表，用于控制和管理NTFS文件系统中的所有文件)。通过加密MFT，文件系统中的所有文件都不可用。然后Petya用一张赎金代替了MFT。这是第一批广泛分布的兰瑟姆服务(RAAS)利用。

NotPetya 2017

NotPetya首次出现于2017年，它还使用了“永恒蓝”(ExternalBlue)的漏洞来访问未修补的Windows 7系统。NotPetya被设计成被误认为是Petya，因此它的名字叫NotPetya。

对主启动记录和其他文件进行加密，使系统无法启动。然后，它向用户发送一条消息，以便重新启动，然后系统就无法使用了。

NotPetya可能是历史上最具破坏性的网络攻击，很可能是由俄罗斯情报机构和国家资助的黑客组织开发的，目的是针对Unkraine。它花费了乌克兰超过100亿美元，但几乎所有的恶意软件都不能仅限于乌克兰。它蔓延到世界各地，并破坏了像这样的公司；

Maersk(世界上最大的航运公司)
默克
联邦快递
吉百利
俄罗斯石油化工公司
辉瑞

与其他勒索病毒不同，NotPetya没有解密受其影响的文件的能力。

巴达比2017年

巴兔于2017年首次出现在俄罗斯、乌克兰和美国。这是NotPetya的新版本和改进版。它最初出现在俄罗斯网站上，假装是AdobeFlashInstaller(见下图)。

它可能是由沙德沃姆开发的，也是俄罗斯政府资助的黑客组织。BlackEnergy3.

它与NotPetya共享它的大部分代码，这意味着相同的作者，但它可能是一个循环代码的机会主义代码。它首先加密文件，然后用两个不同的密钥加密主启动记录。与NotPetya不同的是，如果支付赎金，它就会对文件进行解密。

巴达兔要求支付0.05BTC(按目前汇率计算约2500美元)，并给用户40个小时的支付时间。

勒索病毒攻击历史和演变 - ultradebug_UltraDebug

GandCrab 2018

“GandCrab”首次出现于2018年1月，很快成为2018年最成功的洗劫工具。它最初是作为勒索病毒的一种服务(RAAS)，经过多次迭代来保持它的最新。

甘地是第一个要求用破折号密码货币付款的赎金。此外，它还使用了不受ICANN批准的.bit TLD。这就增加了跟踪C&C服务器的难度。

通过多种方法向受害者分发了GandcCab。最受欢迎的是垃圾邮件，用户被骗打开ZIP档案，其中包括下载甘地螃蟹的脚本。

Phobos 2019

2019年初，火卫一首次出现，目前仍处于活跃状态。这种勒索病毒倾向于攻击具有较弱RDP安全性的较小组织。

Sodinoki 2019年4月

索迪诺基于2019年4月首次露面，目前仍在活动。即使在公司支付赎金之后，也很难发现和重新安装。

Snake 2020

蛇赎金首次出现于2020年1月，目前仍处于活跃状态。这是第一个明确开发的勒索病毒攻击SCADA/ICS站点。

与其他赎金不同，Snake专门选择目标，而不是大多数赎金中常见的猎枪方法(这在很大程度上是SCADA/ICS部门可供使用的各种系统和协议的结果)。

黑蛇被成功攻击和洗劫；

欧洲最大的私立医院，弗雷斯纽斯

意大利能源公司
日本汽车制造商本田
还有其他几家不愿公布自己名字的大公司。

想了解更多关于这个独特的赎金的信息，在这里读。

勒索病毒可能是我们数字环境中最主要的恶意软件威胁。它感染系统，然后加密关键文件，直到受害者支付赎金。随着时间的推移，赎金急剧增加--通常在200到300美元左右--现在高达5000万美元。通过了解这种恶意软件的机制和演变，我们可以更好地保护我们的系统，并预测下一波赎金。

账号		自动登录	找回密码
密码			立即注册

[Windows] 勒索病毒攻击历史和演变

相关帖子