WannaCry爆發(fā)一周年,騰訊安全深度揭秘“勒索病毒黑色產業(yè)鏈”

距離去年5月12日勒索病毒爆發(fā)一周年了。一年前,一個叫“WannaCry”的勒索病毒突然大規(guī)模爆發(fā),席卷全球150多個國家,造成高達80億美元的經濟損失。一年后,這個大型勒索病毒事件帶來的負面影響仍然難以消除:其背后的“永恒之藍”漏洞利用頻頻復現(xiàn);大型企事業(yè)單位屢次遭遇勒索病毒攻擊;勒索變種層出不窮,并開始從發(fā)達城市向偏遠地區(qū)擴散。

勒索病毒已發(fā)展成為威脅網絡安全的重大毒瘤,嚴重威脅著企業(yè)和個人用戶的文檔和數(shù)據(jù)安全。過去一年,騰訊安全通過精研勒索病毒防御技術和對黑產的深入調查探訪了解到,勒索病毒攻擊方式不斷升級,并呈現(xiàn)出組織團伙化、產業(yè)鏈條化特征。

WannaCry仍在活躍 勒索病毒攻擊呈現(xiàn)新趨勢

騰訊御見威脅情報中心監(jiān)控顯示,在過去的一年,經過安全廠商的圍剿堵截,WannaCry勒索病毒攻擊在短時間內急速下降后已趨平穩(wěn),但并未徹底消失。直到今天,由于病毒變種不斷出現(xiàn),WannaCry依然在持續(xù)傳播。

與以往勒索病毒主攻北上廣深地區(qū)不同,近期受WannaCry影響最為嚴重的地區(qū)為廣西和浙江,其次是江蘇和湖北。經歷WannaCry爆發(fā)初期,國內安全產商不斷精研安全能力,全民防御意識有所提升,導致WannaCry變種在后續(xù)的攻擊中逐漸將目標轉向防御能力相對偏弱的地區(qū)。

　　(圖:近期WannaCry勒索病毒在國內的攻擊地域分布)

從WannaCry近期攻擊行業(yè)分布上看,學校、傳統(tǒng)工業(yè)、政府機構為主要目標群體,其中學校被攻擊的比例更是占到35%?；蛴捎诖祟悪C構長期依賴互聯(lián)網提供的基礎設施服務,但相對缺少專業(yè)安全運維服務,導致整體安全防御能力薄弱,極易被病毒入侵。

　　(圖:近期WannaCry勒索病毒攻擊行業(yè)分布)

不單單是WannaCry,進入2018年以來,越來越多的勒索病毒開始將攻擊目標轉向企業(yè)服務器。由于企業(yè)用戶數(shù)據(jù)價值一般情況下遠高于個人用戶,一旦數(shù)據(jù)被加密會更傾向于繳納贖金。于是,勒索病毒的攻擊方式從最初的廣撒網逐漸轉變?yōu)橄蚋邇r值目標發(fā)起定向攻擊。

勒索病毒產業(yè)鏈條化解密公司竟成勒索中間代理

伴隨勒索病毒攻擊方式進一步升級,勒索病毒在經歷單打獨斗的發(fā)展時期后,已呈現(xiàn)出組織團伙化、產業(yè)鏈條化的特征。

騰訊御見威脅情報中心分析發(fā)現(xiàn),一次完整的勒索病毒攻擊流程涉及勒索病毒作者、勒索者、傳播渠道商、代理、受害者5個角色,從業(yè)人員之間的分工十分明確。勒索病毒作者負責勒索病毒編寫制作,對抗安全軟件;勒索者定制專屬病毒,并聯(lián)系傳播渠道商進行投放;代理向受害者假稱自己能夠解密各勒索病毒加密的文件,實則與勒索者合作,共同賺取受害者的贖金。

　　(圖:勒索病毒黑產流程圖)

更讓人意想不到的是,網絡上可搜索到的可支持勒索病毒解密的公司,竟然也是參與勒索病毒黑色產業(yè)鏈的中間代理。

在網絡上搜索勒索病毒解密相關信息時可以發(fā)現(xiàn),網絡上出現(xiàn)了許多提供“勒索病毒解密服務”的公司,排名靠前的大部分顯示為搜索引擎廣告。這類企業(yè)聲稱支持各種勒索病毒家族的解密,其中包括流行的Locky、Cerber、Crysis、GlobeImposter、GandCrab家族等。

　　(圖:網絡上搜索的勒索病毒解密服務)

據(jù)騰訊安全技術專家介紹,除非勒索病毒存在邏輯漏洞,或者這些企業(yè)擁有解密密鑰,否則以正常的算力方法去解密的可能性微乎及微。然而,深圳某公司在服務器中招之后聯(lián)系解密公司求助,解密公司居然憑借極少的信息就給出了內網IP以及對應的解密密鑰,不禁讓人懷疑其與該病毒的勒索者有所關聯(lián)。技術人員假意表達想做中間代理而聯(lián)系勒索者,很快便得到了相應回復。

探訪結果證明,這類解密公司實際上就是勒索者的代理,利用國內用戶不方便購買勒索者要求的數(shù)字貨幣贖金,以相對便宜的價格吸引受害者達成交易。根據(jù)某解密公司官網上公開的記錄,一家解密公司靠做勒索中間代理一個月收入高達300萬人民幣。

對抗勒索病毒重在防御 騰訊“御”系列打造企業(yè)網絡安全閉環(huán)

為防御勒索病毒攻擊威脅,騰訊安全根據(jù)目前企業(yè)易遭受的安全威脅類型,推出“御”系列產品解決方案,整合騰訊安全安全技術能力及大數(shù)據(jù)資源,針對事前、事中、事后提供包括感知、檢測、攔截、溯源在內的全套威脅應對機制,幫助企業(yè)有效抵御網絡攻擊。

4月16日,國內某醫(yī)院的服務器遭受到了最新變種勒索病毒GlobeImposter的攻擊,醫(yī)院的服務器系統(tǒng)遭到入侵,導致部分文件和應用被病毒加密破壞。接到求助后,騰訊企業(yè)安全火速響應,通過針對感染情況的緊急分析和技術流操作,迅速鎖定病源,保障了內網應用的安全運行。騰訊企業(yè)安全“御點”終端安全管理系統(tǒng),將百億量級云查殺病毒庫、引擎庫以及騰訊TAV殺毒引擎、系統(tǒng)修復引擎應用到醫(yī)療企業(yè)內部,有效防御醫(yī)療企業(yè)內網終端的病毒木馬攻擊。

騰訊御界防APT郵件網關系統(tǒng)依托哈勃分析系統(tǒng)的核心技術,結合大數(shù)據(jù)與深度學習,能夠迅速識別APT攻擊郵件、釣魚郵件、病毒木馬附件等;騰訊御見智能態(tài)勢感知平臺,通過對企業(yè)全面的基礎網絡信息進行集中采集、存儲和持續(xù)深層分析,能夠為企業(yè)用戶構建自適應安全體系,彈性應對來自外部和內部的各種威脅,實現(xiàn)企業(yè)全網安全態(tài)勢可知、可見、可控的閉環(huán)。

對于普通個人用戶,騰訊電腦管家整合推出的“文檔守護者”功能,幫助用戶構建一站式文檔保護方案,可實現(xiàn)對包括“WannaCry”在內的430種勒索病毒樣本的免疫,還能提供對未知的勒索病毒的攔截能力,并自動備份全盤文檔,全面保證用戶文檔安全。

對抗勒索病毒仍然長路漫漫,在互聯(lián)網全面介入各個產業(yè)的當下,安全不再是單獨個人和安全產商的事,提高全民網絡安全意識,加強社會多方力量協(xié)作,疊加多元優(yōu)勢,形成合力,才能構筑堅不可摧的網絡安全新防線。

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現(xiàn)的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。