据国外媒体报道,2017上半年,勒索病毒的传播给全球互联网造成了巨大破坏。WannaCry以及NotPetya两款勒索病毒导致世界范围内各种服务的中断。
据统计,英国三分之一的国民卫生服务受到了WannaCry勒索病毒的影响。而据风险建模公司Cyence估计,WannaCry勒索病毒传播造成的相关损失或将高达40亿美元。一个月后,另一款病毒NotPetya的传播影响到了乌克兰政府、制药公司默克、马士基航运、、知名广告公司WPP以及切尔诺贝利核辐射检测系统。
尽管两次计算机病毒的大规模爆发造成了不可估量的损失,但病毒开发者的获利却寥寥无几。截至目前为止,WannaCry付款账户只收到了149545美元,而NotPetya病毒的始作俑者更是少得可怜,仅仅有11181美元。
信息安全公司Malwarebytes首席执行官Marcin Kleczynski指出,不法分子面临的问题是,“人们对普通的勒索病素已经不太感冒,它只是加密你的文件”。不法分子希望人们在看到自己的数据或是关键的商业文件被加密后,主动支付数百美元进行解密。但事实上,Kleczynski说,越来越多的受害者只是耸耸肩,从备份中恢复数据。
“你看看这些不法分子发布的接收比特币地址,你最多看到几千美元,”他补充说。 “那么这些人进一步将如何获益呢?
Kleczynski和他的同事,指导Malwarebytes研究的Adam Kujawa预测,犯罪分子将会开发出新的方式来要求企业和个人受害者支付酬金,而不是让这些受害者简单地从备份中还原数据而忽略付款请求。
新方式是一种称为“doxware”的勒索病毒。 Kujawa说:“基本上说,它是‘付费,要么我们会拿走加密的所有数据,并将其冠上你的名字公布到网上。’”
这个病毒新形式的名字来自“doxing”,意为通过在互联网上发布私人信息实施欺骗,威胁或恐吓。此前已经发生了一些类似的攻击。名为Chimera勒索病毒曾在2015年袭击了一家德国公司。这种恶意软件加密文件,要求大约200英镑(260美元)进行解密,但同时也附带警告:如果受害者没有付款,“我们将在互联网上发布您的个人资料,照片和视频以及您的姓名。
然而,Chimera这种病毒实际上并不具有在线发布的功能。这种警告只是口头,用途就是吓唬受害者赶紧付钱。但在其他情况下,发布数据的威胁是真实存在的。
五月份,黑客窃取了立陶宛一家整形外科诊所的档案,其中包含了大约25,000名前任客户的个人信息:姓名,地址和整形程序,以及护照扫描件,国家保险号码,此外还有裸照照片。他们通过加密网络Tor将相关数据库连上互联网,并要求个别患者支付酬金从而删除其个人信息。对于仅仅有名称和地址的患者,价格在50欧元上下;而对于那些裸照照片被泄露的受害者而言,价格上涨到2,000欧元。
就在这个星期,HBO也面临着威胁,黑客窃取了1.5TB的视频资料,其中包括“权力的游戏”等热播剧的未播出剧集,同样被索要赎金。
然而,目前这些黑客还是以人工为基础,查找漏洞,挑选他们可以下手的目标,并进行攻击。
但是为什么同样的技术不能被加载到WannaCry和NotPetya中的类似软件中,这些勒索病毒会自动从一台计算机跳转到另一台计算机,对信息进行非法加密。
Kleczynski表示,像WannaCry这样的勒索病毒,在传播方面堪称是“巡航导弹”,但实际造成的攻击却是橡皮子弹。WannaCry借助了一个神秘的黑客组织从美国国家安全局窃取的漏洞,也就是所谓的Shadow Brokers.漏洞补丁仅在几个月前才被发布,许多人根本没有安装它,从而让WannaCry这种恶意软件能够迅速传播。
但是当它侵入计算机以后,其威力就大打折扣。 WannaCry被大量地与解密密钥存放在一起。英国研究人员发现了一个自毁开关能够阻止WannaCry起作用。所有被攻击的机器都可以通过备份还原来解决问题。
如果在线发布信息达到WannaCry勒索病毒传播这样的规模,拿将是历史上大的隐私泄露行为,也是网络犯罪发现的赚钱机会之一。但这只是勒索病毒的一个潜在未来。
Kleczynski说:“想像一下,类似于勒索病毒之类攻击了英国航空公司的票务系统。”
所谓的分布式拒绝服务攻击,实际上是从被黑客入侵的设备上再度发起攻击,这是非常难以防范的,只要它继续下去,每天将使用户损失数百万美元。而Rapid7运输研究总监Craig Smith说:“汽车被勒索软件感染也绝对是可能的。保证汽车安全实属不易。何况勒索病毒传播进物联网并非难事,谁会冒险驾驶一辆被勒索病毒感染的汽车?
也许这不是科幻小说。 12月份,对10个植入式心脏除颤器的调查发现“存在严重漏洞”,其允许攻击者欺骗设备,从而保持通信通道打开,直到电池耗尽。这种情况下,谁会再去重启设备,恢复备份呢?