从“WannaCry”到“Conti”：勒索软件如何搅乱全球威胁格局？

大家好，欢迎来到IT知识分享网。

五年前，也就是 2017 年 5 月 12 日，一个名为“WannaCry”的勒索软件席卷全球，打出了不分国籍的无差别伤害。

这次的攻击规模前所未有，且像野火般迅速在全世界蔓延开来，仅仅几天之内，就有来自 150 个国家，超过 20 万台 Windows 电脑遭到攻击，损失高达数十亿美元。

在“WannaCry”攻击发生的一个月前，黑客组织“影子经纪人”公开了一个由美国国家安全局 (NSA) 开发的漏洞。

这个漏洞被称为 EternalBlue，是基于 Windows SMB 中的漏洞，并允许在远程机器上执行代码。

尽管这个漏洞补丁是在 Shadow Brokers 泄露之前由微软发布的，但全球范围内的许多电脑仍然没有打上这个补丁，因此很容易就受到攻击，使得 EternalBlue 成为 WannaCry 幸运成功的关键。

从泄露的国家安全局代码来看，如此简单的勒索软件却拥有非凡的横向移动能力，被升级为观察到的最有影响力的全球网络攻击之一。

尽管没有直接针对“WannaCry”运动的受害者，但最引人注目的受害者之一，是英国国民健康服务(NHS) 。

该机构运行着大量易受攻击的机器，因此受到的打击尤为严重，三分之一的 NHS 医院信托机构受到了攻击。

这场全球流行攻击的其他主要受害者，包括西班牙的 Telefonica 电信服务公司、电信供应商、银行、铁路系统，甚至俄罗斯的内政部。

政府、医院和其他主要公司都发现自己在与这种攻击作斗争。

当研究人员启用了在恶意软件中硬编码的“自杀开关”后，蔓延就停止了。虽然这对已经加密的系统没有帮助，但它大大减缓了感染的传播。

2017 年 12 月 18 日，美国政府正式宣布，认为朝鲜是“WannaCry”袭击的主要肇事者，加拿大、新西兰、日本和英国也支持这样的说法。

2018 年 9 月晚些时候，美国司法部宣布对朝鲜公民朴金赫的第一项正式指控。

美国司法部称，朴槿惠是一名朝鲜黑客，隶属于政府支持的黑客团队“拉扎勒斯集团”(Lazarus Group) ，还参与了“WannaCry”袭击等活动。

人们一直在讨论 WannaCry 勒索软件的主要目标是什么，显然，它是为了敲诈受害者而设计：受害者被迫在 7 天的期限内支付 300 美元。

当时，加密货币对朝鲜非常有吸引力，因为美国寻求国际制裁，目的是进一步孤立朝鲜的核武器计划。

然而，这次袭击的全球影响，以及其他拉扎勒斯集团(Lazarus Group)政权支持的活动表明，除了金钱方面，袭击者实际上是在追求混乱、恐慌和破坏。

“WannaCry”攻击改变了网络安全游戏，不仅仅是因为它的巨大影响。

它之所以掀起波澜，是因为它对网络威胁领域的巨大影响。

作为第一次由国家支持的行为体发动的全球规模、多向量的网络攻击，它标志着网络安全环境的一个转折点，激励着全世界的行为体，并影响到迄今为止未来五年的整个威胁格局。

1、成为民族国家行为者的工具

“WannaCry”从一开始就受到政治鼓励，它的爆发点燃了为特定民族国家利益使用勒索软件的想法。

2017 年夏天，也就是“WannaCry”袭击事件发生一个月后，乌克兰遭受了 NotPetya 勒索软件的灾难性网络攻击，严重影响了银行、公共交通、电力公司和政府部门。

这次攻击由一群俄罗斯军事情报黑客“桑德沃姆”(Sandworm)发起，目的是在俄罗斯针对乌克兰西南邻国发动的长达数年的网络战中，对乌克兰发动一次高潮性的打击。

然而，来自乌克兰的攻击迅速蔓延到全球: 很可能是受到了“WannaCry”不小心成功的启发，NotPetya 也使用了“永恒之蓝”在计算机之间传播，最大限度地扩展范围，从而造成损害。

这一次，它绝对不是为了赚钱而设计的，而是为了迅速传播和造成破坏，用一个貌似可否认的勒索软件掩盖，使受害者无法恢复他们的数据，并使行动瘫痪数月。

几家大型上市公司在证券备案文件中披露，这次攻击使它们损失了数亿美元的业务和恢复工作，其中包括全球航运公司马士基(Maersk)、制药公司默克(Merck)和美国的一些医院。

2020 年，伊朗国家支持的行为者也开始在他们的攻击行动中添加勒索软件的变种。

勒索软件被证明是破坏或诋毁受害者的有力工具。

在 2020 年至 2021 年间，至少有六个伊朗威胁组织，包括 MosesStaff、 Pay2Key、 Black Shadow 和 APT35，被确认部署了勒索软件变种，主要针对伊朗政权的主要敌人——以色列和美国。

2022 年初，随着俄罗斯和乌克兰之间的激烈战争的开始，侦测到多起针对乌克兰目标的先进网络攻击。

其中一个活动利用了名为“hermadecuper”的雨刷恶意软件，以及名为“hermadecreransom”的勒索软件。

这个基于 golang 的勒索软件代码和工作流程相对简单，似乎是匆忙构建的，表明它被用作诱饵，以防止受害者访问其数据，同时提高其他同时发生的网络攻击的效率。

无论是造成真正的损害，还是实际上以加密货币敲诈勒索赎金，加密货币都是逃避制裁的一个非常有效的工具。

2、从驱动器和电子邮件垃圾邮件，到域名范围

在 2017 年的“WannaCry”时代，勒索软件通常通过大规模的垃圾邮件活动，以及利用开发工具包进行免下载大规模发布: 每个人、每个人都可能成为攻击目标。

驱动攻击允许勒索软件操作者感染受害者，他们在不知不觉中访问了一个受到破坏的网站，没有任何额外的行动，严重依赖未打补丁的浏览器和插件，如 Internet Explorer 和 Adobe Flash，以成功地利用。

垃圾邮件活动分发勒索软件依靠社会工程技术使受害者运行勒索软件，通常由僵尸网络携带。利用”喷洒和祈祷”两种交付方式的最成功的例子之一是 GandCrab 勒索软件，其经营者和附属机构作为其多项活动的一部分，总共收取了约 20 亿美元的赎金。

随着反病毒保护的发展和利用工具包的减少，勒索软件的垃圾邮件分发变得过时，网络犯罪分子认识到，一个成功的企业受害者可以产生与数百个非企业受害者相同的收入，而不需要付出太多努力。

2018 年，勒索软件的分布从一个数字游戏转变为一个更有针对性的“大游戏猎杀”方法，即先进的威胁参与者找到——甚至买——他们进入企业组织的途径。

结果，顶级恶意软件家族背后的网络罪犯改变了他们僵尸网络操作的重点，转而为勒索软件攻击寻找合适的目标。

这些恶意软件家族最初是像 Emotet、 Trickbot、 Dridex、 Qbot 等木马一样的银行系统。

一旦在企业环境中实现了初步感染，威胁行为者就会开展广泛的侦察工作，以确定最有利可图的目标。

威胁参与者会花费数天，有时甚至数周的时间，探索受到威胁的网络，以定位高价值资产，并删除所有可能的备份，从而最大限度地扩大他们的破坏。

针对企业的这种定制目标行动的审查和复杂性，使勒索软件业务随着时间的推移变成了一种类似企业的业务。

如今，多产的勒索软件集团不仅进行复杂的技术操作，包括开发定制工具和配套基础设施，而且还维持与获得初步利润目标有关的业务操作，估计公司的支付能力，收集受害者信息——所有这些都是为了最大限度地增加利润。

3、从单一勒索到多重勒索

对 WannaCry 勒索软件的需求相对较低: 如果在头 3 天内没有付款，勒索软件要求每个受害者支付 300 美元，并将其翻倍至 600 美元。

从公众的报道来看，这笔交易在资金方面并不是很成功，收益达到了 14.3 万美元。

随着时间的推移，这种低支付率不仅仅是一个 WannaCry 勒索软件的问题，而是整个勒索软件商业模式的问题。

在接下来的几年里，威胁的参与者开始发展创新的方法来增加他们的薪水。

首先，转向公司目标，但随后，还要对他们施加额外的压力，要求他们支付薪酬。

2020年，勒索软件中的双重勒索策略出现了，直到今天，这种策略在勒索软件世界中还是一种常见的做法。双重勒索勒索软件是一种多阶段勒索软件攻击，它结合了受害者文件的传统加密和公司外部数据泄露到攻击者控制的服务器上。

然后，攻击者向受害者证明他们可以访问他们的敏感数据，并威胁说，除非在指定的时间内支付赎金，否则将公开泄露被攻击的数据。这给受害者带来了额外的压力，迫使他们满足攻击者的要求，同时也使受害者面临数据保护监管机构的潜在处罚。

为了加强双重勒索，大多数勒索软件团伙建立了羞辱博客，他们在博客上公布不愿支付赎金的受害者的姓名，在某些情况下还公布数据。

更糟糕的是，在 2020 年底，演员们想出了更多的方法来对受害者施加更大的压力。

这项被称为”三重勒索”的要求包括基于额外基础设施破坏威胁的要求——例如对受害者资源的 DDoS 攻击，直到他们付款为止，或使用威胁第三方的手段进行勒索。

2020年10月，芬兰的 Vastaamo 诊所宣布它是长达一年的入侵的受害者，最终导致大量病人数据被盗和勒索软件攻击。

除了向医疗服务提供商索要赎金外，攻击者还向个别病人发出了较小的赎金要求，威胁要公布他们敏感的治疗记录。

这种三重勒索的想法很快被其他行为者采纳: 例如，最臭名昭著的行为者之一 REvil 帮为其附属组织提供了一个通过语音加密的 VoIP 电话给记者和同事，利用第三方向受害者施加更多压力。

4、事关国家安全

勒索软件业务的发展总是旨在增加勒索软件支付。

多年来，勒索软件团伙认识到，高调的目标可能会给他们带来更多的收入。

2018-2019年，虽然大多数政府组织还没有为日益增长的勒索软件威胁做好准备，但勒索软件附属机构发现，公共部门，特别是州和市一级的公共部门是容易攻击的目标——这些部门遭到勒索软件攻击的破坏。他们中的一些人，比如美国的巴尔的摩市，甚至不得不与两次勒索软件攻击作战。

2021年5月，随着对殖民地管道的勒索软件攻击，通往南部和东海岸大片地区的主要汽油和喷气燃料管道被切断，燃料短缺，目标的地位达到了顶峰。

在这起事件中，一个重要的国家基础设施成为勒索软件的人质，迫使美国政府和其他许多人改变他们对勒索软件行为者的立场。

随后，在美国，司法部将勒索软件定义为国家安全威胁，并将其与恐怖主义放在同一优先级别。

外国资产管制办公室(OFAC)对俄罗斯经营的一家虚拟货币兑换公司 SUEX 实施了第一次制裁，该公司参与了勒索软件支付，并发布了一份关于勒索软件支付的制裁风险的最新公告。

几个月后，欧盟和另外 31 个国家宣布他们将加入到破坏其他加密货币渠道的行动中来，试图破坏通常伴随勒索软件操作的洗钱的进程。

同月，澳大利亚政府发布了“勒索软件行动计划”，其中包括成立一个新的特别工作组，并对勒索软件行为者实施更严厉的惩罚。

这些措施增加了打击网络犯罪的预算，并加强了各政府和执法机构之间的跨国界协作。随着执法部门的新立场，多个勒索软件经营者和附属机构在多个国家被逮捕。

其中最重要的是 2021 年 11 月由国际刑警组织领导的名为”旋风行动”的国际联合行动。这导致了基础设施的没收和洗钱分支机构的被捕，Cl0p，该组织对破坏 Accellion 在整个2021年造成了无数双重和三重勒索。

此外，美国司法部和其他联邦机构对 REvil 采取了进一步的行动。这些行动包括逮捕成员、没收 600 万美元的赎金、没收设备和价值 1000 万美元的赏金方案。

2022 年 1 月，俄罗斯当局报告称，他们已经捣毁了勒索软件犯罪集团 REvil，并起诉了其中几名成员。这被认为是一个前所未有的善意行为，标志着勒索软件业务发展的新时代。

5、小结

在过去的五年里，勒索软件的运作经历了一个漫长的过程，从随机向数百万美元的企业发送和祈祷电子邮件，到实施有针对性的人为攻击，影响到几乎任何地理位置和任何行业的组织。

虽然西方国家，经过这么多年，开始认真对待这个问题，勒索软件经济仍然蓬勃发展，主要是因为当地执法机构对勒索软件帮派视而不见，这些帮派主要集中在东欧。

随着俄罗斯和乌克兰之间目前的战争，俄罗斯和西方国家为阻止勒索软件威胁而进行的执法合作的前景并不像几个月前看起来那么光明。勒索软件的地下经济完全基于加密货币，随着战争的展开，美国对加密犯罪的制裁不断迅速扩大。

仅在 2022 年 4 月，外国资产管理处批准了 Garantex，一个虚拟货币交易平台，以及世界上最大和最著名的暗网市场—- Hydra 市场，通过国际协调努力，阻止恶意网络犯罪服务、危险毒品和其他非法产品的扩散。

尽管如此，北朝鲜支持的“WannaCry”的例子再次提醒我们，在严厉制裁下经营经济的国家往往会为自己的目的进行和利用网络操作。

鉴于目前的情况，我们无法指望勒索软件的黄金时代在不久的将来结束。

文 | 木子Yanni

嗨，这里是浅黑科技，在未来面前，我们都是孩子。

想看更多科技故事，欢迎戳→微信公众号：浅黑科技。