本文來(lái)源：物聯(lián)傳媒

本文來(lái)源：市大媽

日前，工業(yè)物聯(lián)網(wǎng)廠商研華科技正遭遇一場(chǎng)來(lái)自Conti勒索軟件團(tuán)伙襲擊。

根據(jù)安全站點(diǎn)Bleeping Computer報(bào)道，其取得了勒索信件的副本顯示，黑客提出了750個(gè)比特幣的贖金要求（約合8280萬(wàn)人民幣），并且支付贖金后才會(huì)移除所有植入該公司網(wǎng)絡(luò)的木馬程序，刪除所盜走的資料。

不過(guò)，此次勒索似乎沒有成功，因?yàn)楹诳陀?1月26日公布了宣稱是從研華竊取的3GB文件和文件目錄清單文本檔，這些資料占他們所偷走資料的2%。

研華針對(duì)此事回復(fù)稱，黑客攻擊少數(shù)服務(wù)器時(shí)，可能偷走了價(jià)值性不高與機(jī)密性不高的工作資料。

類似的勒索軟件攻擊事件其實(shí)時(shí)常發(fā)生。如：

· 可穿戴設(shè)備制造商Garmin在遭受WastedLocker勒索軟件全面攻擊后，關(guān)閉了其一些連接的服務(wù)和呼叫中心，導(dǎo)致了全球性中斷，其主要產(chǎn)品服務(wù)和網(wǎng)站均癱瘓，攻擊者向Garmin索要高達(dá)1000萬(wàn)美元贖金以恢復(fù)數(shù)據(jù)和業(yè)務(wù)。

· 阿根廷電信運(yùn)營(yíng)商曾被REvil團(tuán)伙攻擊內(nèi)部網(wǎng)絡(luò)，并且已加密多個(gè)重要文件，要求阿根廷電信支付750萬(wàn)美元贖金以解鎖被加密文件。從黑客要求支付的頁(yè)面顯示，要求支付109345.35枚Monero代幣（約753萬(wàn)美元），并稱三天后總金額需要翻一番。REvil團(tuán)伙主要擅長(zhǎng)攻擊VPN服務(wù)器切入點(diǎn)，今年五月份還對(duì)斯里蘭卡電信進(jìn)行攻擊。

· DoppelPaymer使用Citrlx ADC缺陷入侵了云服務(wù)提供商不列塔尼電信，攻擊針對(duì)維修部的CVE-2019-19781漏洞的服務(wù)器。

· Slldinokibi勒索軟件襲擊國(guó)際外幣兌換公司Travelex，導(dǎo)致2020年第一個(gè)月的外匯交易完全混亂，據(jù)稱要求600萬(wàn)美元的贖金。此后，該勒索軟件又襲擊了紐約機(jī)場(chǎng)的管理服務(wù)器、加密了新澤西猶太教堂的網(wǎng)絡(luò)上的許多計(jì)算機(jī)

· 迷宮勒索軟件襲擊佐治亞州卡羅爾頓的電線電纜制造商Southwire，之后發(fā)布了14GB的被盜文件。

Conti是啥？

話題再回到本次勒索事件中的Conti本身，其最早一次被發(fā)現(xiàn)的攻擊是在2019年12月底，在2020年6月的攻擊中再次被發(fā)現(xiàn)。Conti屬于新興的雙重勒索軟件陣營(yíng)，在勒索軟件加密系統(tǒng)之前，會(huì)先下載未加密的機(jī)密資料，用以在受害者拒絕支付贖金以換取解密密鑰時(shí)，作為進(jìn)一步的勒索籌碼，已有部分案例顯示有受害者最終是為了保護(hù)資料而選擇支付贖金。

該勒索軟件與臭名昭著的Ryuk Ransomware共享代碼，并在2020年7月后者活動(dòng)減少后，開始通過(guò)TrickBot木馬打開的反向外殼進(jìn)行分發(fā)。

Conti作為一家私有的勒索軟件即服務(wù)（RaaS），通過(guò)招募經(jīng)驗(yàn)豐富的黑客來(lái)部署勒索軟件以換取大量的勒索份額，并于2020年8月開設(shè)了自己的數(shù)據(jù)泄露站點(diǎn)。

長(zhǎng)達(dá)30年的勒索軟件發(fā)展史，新的勒索軟件市場(chǎng)泛濫

第一個(gè)勒索軟件可以追溯到1989年，當(dāng)時(shí)有2萬(wàn)張?zhí)柗Q包含"艾滋病信息介紹"的軟盤被分發(fā)給了國(guó)際衛(wèi)生組織國(guó)際艾滋病大會(huì)的與會(huì)者。在受害者遭遇90次設(shè)備重啟后，該軟件會(huì)隱藏目錄并在受感染設(shè)備上加密文件。贖金金額被定為189美元，受害者被要求必須向巴拿馬郵政信箱里存入所要求的金額。

10多年之后，也就是在2005年5月，更多勒索軟件開始出現(xiàn)，如GpCode、TROJ.RANSOM.A、Archiveus、Krotten等。隨著新的匿名支付方式（如比特幣）在到來(lái)，勒索軟件也開始了采用了新的支付方式。

在過(guò)去的10多年中被檢測(cè)到的勒索軟件樣本總體可以分為兩類：

• 鎖定型勒索軟件：該類型勒索軟件會(huì)鎖定受感染設(shè)備，以阻止受害者的使用。

該類型的勒索軟件主要在2008年至2011年期間被使用，目前已被大多數(shù)網(wǎng)絡(luò)犯罪分子所拋棄。因?yàn)榧幢悴恢Ц囤H金，消除感染也是非常簡(jiǎn)單的。 事實(shí)上，這種勒索軟件有一個(gè)很明顯的弱點(diǎn)，它只會(huì)顯示一個(gè)拒絕訪問(wèn)設(shè)備的窗口，但這種鎖定很容易就能夠被繞過(guò)。

• 加密型勒索軟件：該類型勒索軟件直接作用于受害者的文件并拒絕受害者使用系統(tǒng)，將文件、目錄和硬盤進(jìn)行加密，讓受害者無(wú)法訪問(wèn)被加密文件中所包含的信息。此后，勒索軟件也多用這種加密方式。

勒索軟件的構(gòu)建需要特定的先進(jìn)技能，巨大利益推動(dòng)了新服務(wù)的興起，使得網(wǎng)絡(luò)犯罪分析無(wú)需具體任何知識(shí)也可構(gòu)建勒索軟件。最終也發(fā)展出了所謂的勒索軟件即服務(wù)（Ransomware as a Service，RaaS），RaaS商業(yè)模式的興起使得攻擊者無(wú)需任何技術(shù)專業(yè)知識(shí)，就可以毫不費(fèi)力地發(fā)起網(wǎng)絡(luò)敲詐活動(dòng)，這也是導(dǎo)致新的勒索軟件市場(chǎng)泛濫的原因。

現(xiàn)實(shí)世界嚴(yán)峻的挑戰(zhàn)不斷，網(wǎng)絡(luò)安全領(lǐng)域也堪憂

2020年，全世界很多領(lǐng)域面臨著各種事件的沖擊，而網(wǎng)絡(luò)安全領(lǐng)域同樣不容樂觀，勒索軟件的勢(shì)頭也在這一年里一度上升，并出現(xiàn)了新的敲詐勒索模式。盡管勒索病毒感染事件約占惡意軟件總事件的3%左右，但相比其他惡意軟件破壞力更大，一旦遭遇勒索，企業(yè)將面臨業(yè)務(wù)中斷、高額贖金的風(fēng)險(xiǎn)。

一份來(lái)自深信服千里目安全實(shí)驗(yàn)室的報(bào)告稱，2020年2月開始，勒索軟件從之前的低潮開始恢復(fù)活力，攻擊勢(shì)頭上升，盡管處在COVID-19大流行期間，但針對(duì)政府、學(xué)校和醫(yī)療衛(wèi)生行業(yè)的攻擊并沒有減弱。

不僅如此，報(bào)告還指出，犯罪團(tuán)伙逐漸在形成規(guī)?；纳虡I(yè)運(yùn)作，形成新的勒索軟件合作生態(tài)。

勒索軟件合作生態(tài)結(jié)構(gòu)圖

以往攻擊團(tuán)伙和勒索軟件制作團(tuán)隊(duì)往往是同一個(gè)，而在如今高度專業(yè)化的合作生態(tài)系統(tǒng)中，攻擊團(tuán)伙很多時(shí)候是獨(dú)立于勒索軟件開發(fā)者和運(yùn)營(yíng)商，以相對(duì)獨(dú)立的角色存在，每個(gè)角色各司其職，專注于自己所負(fù)責(zé)的模塊，他們之間除了業(yè)務(wù)聯(lián)系外幾乎沒有其他交集。他們專注于借助僵尸網(wǎng)絡(luò)部署勒索軟件，給受害者造成的損失面更廣。這種新的勒索軟件合作生態(tài)使得勒索威脅的危害上升了一個(gè)新的高度。

物聯(lián)網(wǎng)產(chǎn)品迅速增長(zhǎng)將使網(wǎng)絡(luò)攻擊的變化無(wú)法預(yù)測(cè)

雖然物聯(lián)網(wǎng)的普及推動(dòng)了技術(shù)的進(jìn)步，但同時(shí)也幫助黑客擴(kuò)大了其攻擊范圍，上至使用物聯(lián)網(wǎng)設(shè)備的工業(yè)控制系統(tǒng)，下至家用聯(lián)網(wǎng)攝像頭，都可能成為黑客攻擊的目標(biāo)，針對(duì)物聯(lián)網(wǎng)設(shè)備的勒索軟件將比傳統(tǒng)的勒索軟件更具破壞性。

據(jù)了解，在傳統(tǒng)的勒索攻擊中，黑客會(huì)加密受害者設(shè)備上的文件，以勒索贖金。而在針對(duì)物聯(lián)網(wǎng)設(shè)備的勒索軟件攻擊中，黑客不僅可加密設(shè)備上儲(chǔ)存的文件，還可完全接管設(shè)備或其內(nèi)部網(wǎng)絡(luò)。同時(shí)，接管設(shè)備后，黑客可以造成諸如聯(lián)網(wǎng)車輛被操控、電源被切斷、敏感信息被泄露，乃至生產(chǎn)線停止運(yùn)行等破壞性后果。因此，黑客可對(duì)受害者獅子大開口，索要極為高昂的"保護(hù)費(fèi)"。

不過(guò)，由于物聯(lián)網(wǎng)行業(yè)碎片化應(yīng)用特色，一時(shí)間黑客也難以發(fā)起大規(guī)模攻擊。但是，隨著物聯(lián)網(wǎng)的普及，黑客仍可能在未來(lái)發(fā)起大規(guī)模攻擊。因此，相關(guān)廠家應(yīng)及時(shí)進(jìn)行遠(yuǎn)程固件更新、確保更新渠道的安全以及加入可靠的身份驗(yàn)證等措施仍然不可忽視。

~END~

免責(zé)聲明：本文內(nèi)容由21ic獲得授權(quán)后發(fā)布，版權(quán)歸原作者所有，本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。文章僅代表作者個(gè)人觀點(diǎn)，不代表本平臺(tái)立場(chǎng)，如有問(wèn)題，請(qǐng)聯(lián)系我們，謝謝！