勒索软件新常态

不要让过去一年中勒索软件攻击数量的整体下降欺瞒了你的双眼：对大型企业和组织机构发起的“少而精”的攻击是数据劫持的新行为模式。

趋势科技的数据显示，去年勒索软件攻击的数量下降了91%；但同时，约75%的公司企业储备了加密货币。据Code42的调查研究，其中大多数都向攻击者支付了赎金。总体上，去年超过80%的勒索软件感染都是针对企业的，因为网络犯罪团伙开始将目光放到大型企业身上——那些比随机受害者或消费者更有能力支付大额赎金的企业。

近几个月爆发的GandCrab 勒索软件的进化发展，表明此类更有选择性的攻击能为使用它们的网络罪犯带来更多利益——勒索软件威胁还远未结束。

安全公司CrowdStrike情报副总裁 Adam Meyers 称：

勒索软件仍将持续。几年前我们面对的是DDoS敲诈，当没人再会支付赎金时，此类攻击消散了。但他们转向了勒索软件攻击，并且赚得盆满钵满。

CrowdStrike最近将GandCrab网络犯罪组织（该公司将之命名为“Pinchy Spider”）加入了其四大最新网络犯罪组织监视名单，名单上的四个网络犯罪团伙玩得都很大，赎金动辄几十上百万美元。另外三个勒索大型目标的网络犯罪团伙分别是：SamSam背后的 Boss Spider；BitPaymer背后的 Indrik Spider；以及部署Ryuk的 Grim Spider。

他们的针对性入侵手法特别像来自伊朗、俄罗斯等国的攻击。他们在企业网络内大肆部署勒索软件，部署深度和广度远超以往，索要赎金数额特别巨大。这是勒索软件部署方式的进化，表明网络罪犯已经意识到以破坏性方式对大企业下手能赚得更多。

Pinchy Spider 以其GandCrab 勒索软件即服务(RaaS)模式闻名。该模式中，勒索软件作者与其网络罪犯客户建立合作伙伴关系，抽取60%-70%的勒索所得。

Gandcrab的创建者将其RaaS许可称为 “Dashboard Essential”。老牌安全供应商Sophos最近的研究显示，这种模式下勒索软件黑客新手在2个月的使用期内只需支付100美元便可感染200个受害者。

Sophos首席研究科学家 Chester Wisniewski 称，Gandcrab攻击者索要赎金在 30万到40万美元 之间。该勒索软件作者也提供源代码许可，售价 1,200美元 。该许可允许买家对勒索软件稍作调整以便躲过反恶意软件程序的检测。买家甚至可以用自己的标志替换掉Gandcrab的标志，这是该勒索软件的打包选项之一。

勒索软件罪犯在Shodan搜索引擎的帮助下，从机会性攻击转向了更具针对性的攻击。他们通常先搜索远程桌面协议(RDP)开放的端口，然后在显示可利用商业信息的IP段搜索RDP开放主机。被选中的受害者就已经具有针对性了，他们需要隶属于某家公司的。

只要在初始受害者处建立了据点，他们便利用标准渗透测试 工具 四处探测。Windows远程访问工具PsExec和Mimikatz之类工具被用来从内存中抽取口令。攻击者在进入系统后还会分析受害者，找出他们备份数据的方式，然后禁用备份功能并删除已备份数据。

2月中旬的一次GandCrab攻击尤为持久：感染目标网络的首次尝试失败后，攻击者用合法工具 Sysinternals Process Monitor、Process Hacker 和 LAN Search 再次侦察了受害者的网络。攻击的第三天，攻击者手动卸载了阻碍Gandcrab安装的安全软件；用偷来的RDP凭证将Gandcrab扩散到了受害网络的其他主机上。

偃旗息鼓的SamSam

同时，又名 Boss Spider 的著名勒索软件犯罪团伙SamSam，在美国司法部就去年亚特兰大市勒索软件攻击事件起诉其两名伊朗籍成员 Faramarz Shahi Savandi 和 Mohammed Mehdi Shah Mansouri 后，相对消停了下来。

那次攻击锁定了约 3,800台 工作站和服务器，令亚特兰大市政府停转，造成数百万美元损失，因为该市政府没有向攻击者支付价值约5.1万美元的加密货币赎金。