從研華遭黑客勒索750個比特幣說起，物聯(lián)網(wǎng)時代該如何保護自己的數(shù)據(jù)

本文來源：物聯(lián)傳媒

本文來源：市大媽

日前，工業(yè)物聯(lián)網(wǎng)廠商研華科技正遭遇一場來自Conti勒索軟件團伙襲擊。

根據(jù)安全站點Bleeping Computer報道，其取得了勒索信件的副本顯示，黑客提出了750個比特幣的贖金要求（約合8280萬人民幣），并且支付贖金后才會移除所有植入該公司網(wǎng)絡(luò)的木馬程序，刪除所盜走的資料。

不過，此次勒索似乎沒有成功，因為黑客于11月26日公布了宣稱是從研華竊取的3GB文件和文件目錄清單文本檔，這些資料占他們所偷走資料的2%。

研華針對此事回復(fù)稱，黑客攻擊少數(shù)服務(wù)器時，可能偷走了價值性不高與機密性不高的工作資料。

類似的勒索軟件攻擊事件其實時常發(fā)生。如：

· 可穿戴設(shè)備制造商Garmin在遭受WastedLocker勒索軟件全面攻擊后，關(guān)閉了其一些連接的服務(wù)和呼叫中心，導(dǎo)致了全球性中斷，其主要產(chǎn)品服務(wù)和網(wǎng)站均癱瘓，攻擊者向Garmin索要高達1000萬美元贖金以恢復(fù)數(shù)據(jù)和業(yè)務(wù)。

· 阿根廷電信運營商曾被REvil團伙攻擊內(nèi)部網(wǎng)絡(luò)，并且已加密多個重要文件，要求阿根廷電信支付750萬美元贖金以解鎖被加密文件。從黑客要求支付的頁面顯示，要求支付109345.35枚Monero代幣（約753萬美元），并稱三天后總金額需要翻一番。REvil團伙主要擅長攻擊VPN服務(wù)器切入點，今年五月份還對斯里蘭卡電信進行攻擊。

· DoppelPaymer使用Citrlx ADC缺陷入侵了云服務(wù)提供商不列塔尼電信，攻擊針對維修部的CVE-2019-19781漏洞的服務(wù)器。

· Slldinokibi勒索軟件襲擊國際外幣兌換公司Travelex，導(dǎo)致2020年第一個月的外匯交易完全混亂，據(jù)稱要求600萬美元的贖金。此后，該勒索軟件又襲擊了紐約機場的管理服務(wù)器、加密了新澤西猶太教堂的網(wǎng)絡(luò)上的許多計算機

· 迷宮勒索軟件襲擊佐治亞州卡羅爾頓的電線電纜制造商Southwire，之后發(fā)布了14GB的被盜文件。

Conti是啥？

話題再回到本次勒索事件中的Conti本身，其最早一次被發(fā)現(xiàn)的攻擊是在2019年12月底，在2020年6月的攻擊中再次被發(fā)現(xiàn)。Conti屬于新興的雙重勒索軟件陣營，在勒索軟件加密系統(tǒng)之前，會先下載未加密的機密資料，用以在受害者拒絕支付贖金以換取解密密鑰時，作為進一步的勒索籌碼，已有部分案例顯示有受害者最終是為了保護資料而選擇支付贖金。

該勒索軟件與臭名昭著的Ryuk Ransomware共享代碼，并在2020年7月后者活動減少后，開始通過TrickBot木馬打開的反向外殼進行分發(fā)。

Conti作為一家私有的勒索軟件即服務(wù)（RaaS），通過招募經(jīng)驗豐富的黑客來部署勒索軟件以換取大量的勒索份額，并于2020年8月開設(shè)了自己的數(shù)據(jù)泄露站點。

長達30年的勒索軟件發(fā)展史，新的勒索軟件市場泛濫

第一個勒索軟件可以追溯到1989年，當(dāng)時有2萬張?zhí)柗Q包含"艾滋病信息介紹"的軟盤被分發(fā)給了國際衛(wèi)生組織國際艾滋病大會的與會者。在受害者遭遇90次設(shè)備重啟后，該軟件會隱藏目錄并在受感染設(shè)備上加密文件。贖金金額被定為189美元，受害者被要求必須向巴拿馬郵政信箱里存入所要求的金額。

10多年之后，也就是在2005年5月，更多勒索軟件開始出現(xiàn)，如GpCode、TROJ.RANSOM.A、Archiveus、Krotten等。隨著新的匿名支付方式（如比特幣）在到來，勒索軟件也開始了采用了新的支付方式。

在過去的10多年中被檢測到的勒索軟件樣本總體可以分為兩類：

• 鎖定型勒索軟件：該類型勒索軟件會鎖定受感染設(shè)備，以阻止受害者的使用。

該類型的勒索軟件主要在2008年至2011年期間被使用，目前已被大多數(shù)網(wǎng)絡(luò)犯罪分子所拋棄。因為即便不支付贖金，消除感染也是非常簡單的。 事實上，這種勒索軟件有一個很明顯的弱點，它只會顯示一個拒絕訪問設(shè)備的窗口，但這種鎖定很容易就能夠被繞過。

• 加密型勒索軟件：該類型勒索軟件直接作用于受害者的文件并拒絕受害者使用系統(tǒng)，將文件、目錄和硬盤進行加密，讓受害者無法訪問被加密文件中所包含的信息。此后，勒索軟件也多用這種加密方式。

勒索軟件的構(gòu)建需要特定的先進技能，巨大利益推動了新服務(wù)的興起，使得網(wǎng)絡(luò)犯罪分析無需具體任何知識也可構(gòu)建勒索軟件。最終也發(fā)展出了所謂的勒索軟件即服務(wù)（Ransomware as a Service，RaaS），RaaS商業(yè)模式的興起使得攻擊者無需任何技術(shù)專業(yè)知識，就可以毫不費力地發(fā)起網(wǎng)絡(luò)敲詐活動，這也是導(dǎo)致新的勒索軟件市場泛濫的原因。

現(xiàn)實世界嚴(yán)峻的挑戰(zhàn)不斷，網(wǎng)絡(luò)安全領(lǐng)域也堪憂

2020年，全世界很多領(lǐng)域面臨著各種事件的沖擊，而網(wǎng)絡(luò)安全領(lǐng)域同樣不容樂觀，勒索軟件的勢頭也在這一年里一度上升，并出現(xiàn)了新的敲詐勒索模式。盡管勒索病毒感染事件約占惡意軟件總事件的3%左右，但相比其他惡意軟件破壞力更大，一旦遭遇勒索，企業(yè)將面臨業(yè)務(wù)中斷、高額贖金的風(fēng)險。

一份來自深信服千里目安全實驗室的報告稱，2020年2月開始，勒索軟件從之前的低潮開始恢復(fù)活力，攻擊勢頭上升，盡管處在COVID-19大流行期間，但針對政府、學(xué)校和醫(yī)療衛(wèi)生行業(yè)的攻擊并沒有減弱。

不僅如此，報告還指出，犯罪團伙逐漸在形成規(guī)?；纳虡I(yè)運作，形成新的勒索軟件合作生態(tài)。

勒索軟件合作生態(tài)結(jié)構(gòu)圖

以往攻擊團伙和勒索軟件制作團隊往往是同一個，而在如今高度專業(yè)化的合作生態(tài)系統(tǒng)中，攻擊團伙很多時候是獨立于勒索軟件開發(fā)者和運營商，以相對獨立的角色存在，每個角色各司其職，專注于自己所負(fù)責(zé)的模塊，他們之間除了業(yè)務(wù)聯(lián)系外幾乎沒有其他交集。他們專注于借助僵尸網(wǎng)絡(luò)部署勒索軟件，給受害者造成的損失面更廣。這種新的勒索軟件合作生態(tài)使得勒索威脅的危害上升了一個新的高度。

物聯(lián)網(wǎng)產(chǎn)品迅速增長將使網(wǎng)絡(luò)攻擊的變化無法預(yù)測

雖然物聯(lián)網(wǎng)的普及推動了技術(shù)的進步，但同時也幫助黑客擴大了其攻擊范圍，上至使用物聯(lián)網(wǎng)設(shè)備的工業(yè)控制系統(tǒng)，下至家用聯(lián)網(wǎng)攝像頭，都可能成為黑客攻擊的目標(biāo)，針對物聯(lián)網(wǎng)設(shè)備的勒索軟件將比傳統(tǒng)的勒索軟件更具破壞性。

據(jù)了解，在傳統(tǒng)的勒索攻擊中，黑客會加密受害者設(shè)備上的文件，以勒索贖金。而在針對物聯(lián)網(wǎng)設(shè)備的勒索軟件攻擊中，黑客不僅可加密設(shè)備上儲存的文件，還可完全接管設(shè)備或其內(nèi)部網(wǎng)絡(luò)。同時，接管設(shè)備后，黑客可以造成諸如聯(lián)網(wǎng)車輛被操控、電源被切斷、敏感信息被泄露，乃至生產(chǎn)線停止運行等破壞性后果。因此，黑客可對受害者獅子大開口，索要極為高昂的"保護費"。

不過，由于物聯(lián)網(wǎng)行業(yè)碎片化應(yīng)用特色，一時間黑客也難以發(fā)起大規(guī)模攻擊。但是，隨著物聯(lián)網(wǎng)的普及，黑客仍可能在未來發(fā)起大規(guī)模攻擊。因此，相關(guān)廠家應(yīng)及時進行遠程固件更新、確保更新渠道的安全以及加入可靠的身份驗證等措施仍然不可忽視。

~END~

免責(zé)聲明：本文內(nèi)容由21ic獲得授權(quán)后發(fā)布，版權(quán)歸原作者所有，本平臺僅提供信息存儲服務(wù)。文章僅代表作者個人觀點，不代表本平臺立場，如有問題，請聯(lián)系我們，謝謝！