《从WannaCry到Conti：数说这五年》报告概述

近日，Check Point发布《从WannaCry到Conti：数说这五年》总结了2017年至今的勒索软件发展历程。五年前，2017年5月12日，世界各地成为被称为 "WannaCry "的重大勒索软件攻击的受害者。这次攻击具有前所未有的规模，像野火一样蔓延到世界各地，仅几天时间，席卷150个国家的20多万台Windows电脑，这次攻击的损失达数十亿美元。五年间，勒索软件蓬勃发展，勒索手段层出不穷，双重甚至三重勒索应运而生。

在WannaCry攻击的一个月前，一个名为Shadow Brokers的黑客组织泄漏了一个国家安全局（NSA）的开发漏洞。这个被称为EternalBlue的漏洞是基于Windows SMB的漏洞，允许在远程机器上执行代码。虽然微软在漏洞披露前已公布了修复补丁，但全球许多电脑未及时进行升级修复，降低了攻击难度，EternalBlue成为WannaCry成功的一个关键因素。基于泄露的NSA代码，简单的勒索软件恶意软件配备了非凡的横向移动能力，被升级为观察到的最有影响力的全球网络攻击之一。

虽然没有直接的目标，但WannaCry最引人注目的受害者之一是英国国家卫生服务系统（NHS），该系统运行着大量易受攻击的机器，因此受到的打击极大，三分之一的NHS医院信托机构遭受了攻击。这次全球大流行的其他主要受害者包括西班牙的Telefonica电信服务以及电信供应商、银行、铁路系统，甚至俄罗斯的政府内部。

2017年12月18日，美国政府正式宣布，公开认为朝鲜是WannaCry攻击的主犯，加拿大、新西兰、日本和英国也支持这些说法。2018年9月，美国司法部（DoJ）宣布了对朝鲜公民Park Jin-Hyok的首次正式指控。司法部争辩说，Park是一名朝鲜黑客，作为政府资助的黑客团队的成员，被称为 "Lazarus Group"，也曾参与WannaCry攻击及其他攻击活动。

图1 WannaCry的勒索要求

人们仍在广泛讨论WannaCry勒索软件的主要目标是什么。该恶意软件显然是为了向受害者勒索金钱：他们被迫在7天期限内支付300美元。付款要求以比特币支付，当时，由于美国推行国际制裁，旨在因朝鲜的核武器计划而进一步孤立该国，加密货币对朝鲜有极大吸引力。然而，这次攻击的全球影响以及其他Lazarus Group政权支持的活动表明，除了货币方面，攻击者的真正目的是造成混乱、恐慌和破坏。

WannaCry攻击改变了网络安全游戏规则，它之所以引起波澜，是因为它对网络威胁格局的巨大影响。作为第一个由国家支持的攻击者发动的全球规模、多方位的网络攻击，它标志着网络安全环境的一个转折点，激发了全世界的攻击者，并影响了未来五年的整个威胁格局，直到现在。

民族国家行为者的工具

由于从一开始就受到政治鼓励，WannaCry的爆发点燃了为特定民族国家利益使用勒索软件的想法。2017年夏天，在WannaCry攻击一个月后，乌克兰遭受了NotPetya勒索软件的灾难性网络攻击，严重影响了银行、公共交通、电力公司和政府部门。这次攻击是由俄罗斯军事情报黑客组织Sandworm实施的，目的是在俄罗斯对其西南邻国进行的长达数年的网络战争中对乌克兰进行一次高潮式的打击。然而，攻击从乌克兰迅速蔓延到全球：可能是受到WannaCry不幸成功的启发，NotPetya也使用EternalBlue在计算机之间传播，最大限度地扩大了范围，从而造成了损害。这一次，目标不是牟取暴利，而是为了快速传播和造成破坏，以 "赎金 "为掩护，让受害者无法检索其数据，并使业务瘫痪数月。几家大型上市公司在证券文件中披露，这次攻击使他们损失了数亿美元的业务并耗费了大量精力进行恢复工作，包括全球航运公司马士基、制药公司默克和美国的一些医院。

2020年，伊朗民族国家支持的攻击者也开始在其进攻行动中增加勒索软件变种。勒索软件行动被证明是破坏受害者的有力工具。在2020年和2021年之间，至少有六个伊朗威胁集团，包括MosesStaff、Pay2Key、Black Shadow和APT35，被确认部署了勒索软件变种，主要针对伊朗政权的主要对手：以色列和美国。

2022年初，随着俄罗斯和乌克兰之间的动能战的开始，发现了多个针对乌克兰目标的高级网络攻击。其中一个活动利用了被称为 "HermeticWiper "的恶意软件与名为 "HermeticRansom "的勒索软件相结合。这个基于GoLang的勒索软件的代码和工作流程相对简单，似乎是匆忙构建的，表明它被用作诱饵，防止受害者访问数据，同时用于提高其他并行网络攻击的效率。HermeticRansom与HermeticWiper同时部署，目标是乌克兰、拉脱维亚和立陶宛的金融和政府承包商。

随着这些行动的成功，攻击者成功的定义转变为公众的关注和网络的大规模破坏，勒索软件仍然是实现其政治议程的合理工具，无论是造成真正的破坏，还是实际上以加密货币勒索赎金要求，这都是逃避制裁的成熟工具。

从垃圾电子邮件到全域勒索软件

在2017年的WannaCry时代，勒索软件通常通过大规模的垃圾邮件活动和由Exploit Kits促成的路过式下载来进行大规模传播：每个人都可能成为目标。路过式攻击允许勒索软件攻击者感染那些在不知情的情况下访问过被攻击的网站的受害者，而不需要采取任何额外的行动，严重依赖未打补丁的浏览器和插件，如Internet Explorer和Adobe Flash来成功利用。分发勒索软件的垃圾邮件活动依赖于社会工程技术，使受害者运行勒索软件，并且通常由垃圾邮件携带。GandCrab勒索软件是利用这两种方法的最成功的例子之一，其运营商和相关机构在其多次活动中共收集了约20亿美元的赎金付款。

随着反病毒保护的发展和漏洞工具包的衰落，垃圾邮件分发的勒索软件变得过时了，网络犯罪分子了解到，一个成功的企业受害者可以产生与数百个非企业受害者相同的收入，而且花费更少。2018年，勒索软件的分发从数字游戏转变为更有针对性的 "大猎物狩猎 "方式，高级威胁攻击者寻找，甚至购买进入企业组织的方式。因此，那些以银行木马起家的顶级恶意软件家族，如Emotet、Trickbot、Dridex、Qbot等背后的网络犯罪分子改变了其僵尸网络运营的重点，转而猎取合适的目标进行勒索软件攻击。

一旦在企业环境中实现了初始感染，攻击者就会进行广泛的侦察工作，旨在找到最有利可图的目标。攻击者大量时间来探索被破坏的网络，以找到高价值的资产，并删除所有可能的备份，从而最大限度地提高损害程度。，随着时间的推移，勒索软件行动本身变成了一个类似企业的业务。如今，多产的勒索软件集团不仅进行复杂的技术操作，包括开发定制的工具和支持的基础设施，评估公司的支付能力、收集受害者的信息有关的商业运作，积极追求利润最大化。

从简单的解锁到多重勒索

WannaCry勒索软件的要求相对较低：勒索软件向每个受害者索要300美元，3天内没有付款，则加倍至600美元。从公开的报告来看，这并不是一个成功的金钱运作，收益约为14.3万美元。随着时间的推移，人们发现，低支付率不仅是WannaCry赎金软件的问题，而且是整个赎金软件商业模式的问题。

在接下来的几年里，攻击者开始开发新的方法来增加收益。首先，切换到企业目标，但随后，也通过对企业进行额外施压来支付。2020年，勒索软件中出现了双重勒索策略，直到现在，双重勒索策略仍被认为是勒索软件世界中的一种常见做法。双重勒索软件是一种多阶段的勒索攻击软件，它将传统的对受害者文件的加密及数据渗透，到攻击者控制的服务器。然后，攻击者向受害者证明可以访问其敏感数据，并威胁受害者在规定时间内支付赎金，否则便公开发布被破坏的数据。这给受害者带来了额外的压力，迫使他们满足攻击者的要求，同时也使受害者面临数据保护监管机构的潜在处罚。为了加强双重勒索程度，大多数勒索软件团伙建立了耻辱博客，在博客上发布不愿意支付赎金的受害者的名字，甚至企业数据。

更糟糕的是，在2020年底，攻击者新增了勒索手段，持续对受害者施压。它被称为 "三重敲诈"，包括基于额外基础设施破坏威胁的要求，例如对受害者的资源进行DDoS攻击，直到付款，或者利用对第三方的威胁进行敲诈。例如，在2020年10月，芬兰的Vastaamo诊所宣布它是一个长达一年的漏洞的受害者，最终导致了大量的病人数据被盗和勒索软件攻击。除了向医疗机构本身索要赎金外，攻击者还向个别病人发出较小的赎金要求，威胁公布敏感的治疗过程记录。三重勒索的想法很快被其他攻击者采用：例如，最臭名昭著的行为者之一，REvil团伙，向其附属机构提供给记者和同事的语音干扰的VoIP电话，利用第三方对受害者施加更大的压力。

涉及国家安全问题

勒索软件操作的演变总是以增加勒索软件的付款为目的。多年来，勒索软件团伙逐渐以高收入团体为攻击目标，以获取更高的利润。2018-2019年，当大多数政府组织还没有准备好应对日益增长的勒索软件威胁时，勒索软件的附属机构发现，公共部门，尤其是州和市一级部门极易攻破。其中一些城市，如美国的巴尔的摩市，甚至不得不与勒索软件攻击进行两次斗争。

2021年5月，对Colonial Pipeline的勒索软件攻击达到了巅峰水平，它关闭了通往南部和东海岸大片地区的主要汽油和航空燃料管道，导致燃料短缺。这一事件中，一个重要的国家基础设施成为勒索软件的有利条件，迫使美国政府和此后的许多其他国家改变对勒索软件的态度。他们从先发制人的反应性措施转为积极主动的进攻性行动，将勒索软件运营商本身以及资金和支持基础设施作为目标。

在此之后，美国司法部（DoJ）将勒索软件定义为国家安全威胁，将其置于与恐怖主义相同的优先级别。外国资产管制处（OFAC）对参与勒索软件支付的俄罗斯运营的虚拟货币交易所SUEX实施了首次制裁，并发布了关于勒索软件支付制裁风险的最新咨询。几个月后，欧盟和另外31个国家宣布，将加入破坏更多加密货币渠道的努力，以试图削弱勒索软件操作后经常出现的洗钱过程。同月，澳大利亚政府发布了 "勒索软件行动计划"，其中包括组建新的特别工作组，并对勒索软件攻击者进行更严厉的惩罚。

这些措施的出台允许增加预算来打击网络犯罪，并加强各政府和执法机构之间的跨界合作。在执法部门采取新的立场后，多个勒索软件运营商和相关机构在不同国家被抓获。其中最重要的是2021年11月由国际刑警组织领导的名为 "旋风行动 "的国际联合行动。这导致Cl0p的基础设施被查封，并逮捕了洗钱的附属机构，该集团对Accellion漏洞负责，在整个2021年进行了许多双重和三重敲诈。此外，美国司法部和其他联邦机构对REvil采取了进一步行动。这些行动包括逮捕成员，扣押600万美元的赎金，没收设备，以及价值1000万美元的赏金计划。2022年1月，俄罗斯当局报告，已经捣毁了勒索软件犯罪集团REvil，并指控其几名成员。这标志着勒索软件业务演变的新时代。

结论

在过去的五年里，勒索软件业务已经从随机分发电子邮件发展到数百万美元的业务，进行有针对性的和人为操作的攻击，影响到全球及各行各业的组织。虽然西方国家开始严肃对待这一问题，但由于当地执法机构对勒索软件团伙视而不见（这些团伙大多位于东欧），勒索软件经济仍在蓬勃发展。随着目前俄罗斯和乌克兰之间的战争发展，俄罗斯和西方国家执法合作以阻止勒索软件威胁的前景，并不像几个月前看起来那么光明。勒索软件的影子经济完全基于加密货币；在战争展开的同时，美国对加密货币犯罪的制裁力度不断加深。仅在2022年4月，外国资产管制处制裁了虚拟货币交易所Garantex和世界上最大和最著名的暗网市场Hydra Market，这是一项国际合作，以破坏恶意网络犯罪服务、危险毒品和其他非法产品的扩散。

尽管如此，朝鲜支持的WannaCry的例子在这里再次提醒，在严厉制裁下经营经济的国家往往会为了自身利益及目的进行和利用网络行动。因此，勒索软件的黄金时代短期内可能并不会结束。

声明：本文来自天极智库，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。