自去年以来,许多公司和政府组织都面临勒索软件攻击。
由于黑客攻击,他们不仅损失了勒索软件的运营商要求解密密钥的钱,而且还暂停了他们的工作——在殖民地管道遭到袭击后,燃料供应暂时中断,因此美国一些州宣布紧急状态。
在多次高调攻击之后,不同国家特别是美国的当局有效地将勒索软件病毒的威胁等同于恐怖主义。
找到黑客问题的解决方案可能会导致对加密货币进行更严格的监管——这是获得赎金最喜欢的方法。在美国,他们已经在谈论需要更密切地监控加密货币交易并收紧 KYC / AML 程序。
ForkLog 已经弄清楚勒索软件威胁的增加与什么有关,以及它将对加密货币行业产生什么影响。
勒索软件病毒已经存在很长时间了,但最近由于攻击造成的损害增加以及针对公司而非普通用户的关注,它们受到了密切关注。
专家将勒索软件活动的增加归因于勒索软件作为服务模型的传播以及加密货币的日益普及。
美国总统政府称追踪加密货币交易是对抗勒索软件病毒的可能选择之一。有些人甚至建议禁止加密货币。
专家指出,该行业有一切机会打击犯罪分子使用加密货币——例如,跟踪可疑交易,而这不能用现金来完成。
什么是勒索软件病毒?
勒索软件的运作原理极其简单:攻击者感染设备、加密货币数据或阻止计算机系统运行,并索要赎金以获取解密密钥。
这种类型的网络犯罪之所以如此流行,部分原因是由于相对简单的攻击模式。
最常见的感染方案是网络钓鱼。黑客发送包含恶意文件或链接的电子邮件。
ESET 专家告诉 ForkLog,这些信件通常由知名的全球品牌签署,例如送货服务、银行或与受害者关系密切的交易对手,诈骗者在准备有针对性的攻击阶段会提前发现这些信息。
勒索软件的历史始于 1980 年代后期。最早的此类病毒之一是艾滋病特洛伊木马。它的作者被认为是在哈佛大学任教的 Joseph Popp 博士。该病毒包含在软盘中,该软盘由 PC Cyborg Corporation 以艾滋病教育计划为幌子分发。
90后电脑重启后,软盘上的病毒对文件进行加密货币并隐藏文件夹,要求支付189美元的“许可证更新”。
图片:维基百科。
随着时间的推移,勒索软件病毒有所改善,但真正大规模的攻击始于 2010 年之后。除了黑客改进了恶意软件并找到了新的黑客方法之外,互联网开始以前所未有的速度在世界范围内传播,这意味着潜在受害者的数量增加了成百上千倍。
还有一些新方法可以获得赎金,而不会被执法人员抓住。总之,马上。
2013 年,黑客开始通过发送带有恶意附件的电子邮件、僵尸网络和受感染站点来传播针对 Windows 用户的 CryptoLocker 病毒。正如 ZDNet 参考戴尔 SecureWorks 数据所写的那样,至少有 25 万受害者在其存在的第一时间遭受了 CryptoLocker 的折磨。
恶意软件加密货币了某些文件,受害者收到了赎金信息和倒计时。CryptoLocker 运营商接受通过 MoneyPak 卡或比特币付款。该消息还表示,如果不按时支付赎金,“将永远无法恢复文件。”
图片:ArsTechnica。
后来,黑客通过特殊服务增加了在截止日期后购买解密密钥的能力,但价格从 2 BTC 增加到 10 BTC。
据 ZDNet 追踪了 CryptoLocker 受害者向其发送赎金的几个比特币地址,在 2013 年 10 月 15 日至 12 月 18 日期间,有 41,928 BTC 通过黑客的钱包。
2014 年 6 月,美国司法部宣布消灭用于分发 CryptoLocker 等恶意软件的 Gameover Zeus 僵尸网络,俄罗斯人 Yevgeny Bogachev 被指控参与该僵尸网络和勒索软件的运行。作为行动的一部分,执法人员还宣布销毁 CryptoLocker。
随后,世界又面临了几次更大规模的勒索软件攻击。据估计,WannaCry 恶意软件造成的损失超过 10 亿美元,而 Petya 病毒不仅加密货币数据,还擦除文件,影响了各家公司和政府机构的许多系统。
虽然执法和网络安全公司一直在单独与勒索软件作斗争,但它们已被其他将此类犯罪提升到一个全新水平的团体所取代。
Cybersecurity Ventures 表示:“尽管当局成功镇压了几个勒索团体,但这种特殊类型的恶意软件最终被证明是九头Serpent——一个头被砍掉,几个出现在它的位置上。”
新视野
据卡巴斯基实验室分析师称,2016 年是一个转折点,“在短短几个月内,针对企业的网络勒索攻击数量增加了两倍。” Statista 数据显示,今年发生的攻击次数最多。
数据:统计。
但是,根据 Check Point Research 的说法,勒索软件在 2021 年有所增加。今年前四个月,受勒索软件攻击影响的公司比 2020 年初多 102%。
数据:检查点研究。
年初以来,多起使用勒索病毒的高发事件——Colonial Pipeline、JBS、宏碁等多家公司和部门成为网络犯罪分子的受害者。对此,据路透社报道,美国已将此类黑客行为的调查优先级提升至恐怖主义案件级别。
分析师对勒索软件攻击的总数持不同意见。很难获得可靠的数据,因为许多公司不披露细节,甚至不披露黑客入侵的事实。
然而,几乎所有的专家都一致认为损害程度增加了。
根据 Chainalysis 的数据,勒索软件勒索软件的平均赎金规模增加了四倍多,从 2019 年第四季度的 12,000 美元增加到 2021 年第一季度的 54,000 美元。
数据:链式分析。
Cybersecurity Ventures 估计,2021 年勒索软件造成的损失将达到 200 亿美元,到 2031 年将增长到约 2650 亿美元。
专家表示,此类攻击威胁越来越大的原因之一是勒索软件转变为整个基础设施,其中恶意软件开发人员只是系统的一部分。
勒索软件大流行的原因
勒索软件即服务 (RaaS) 是一种模型,允许你将网络攻击的组织组织为服务。在大多数情况下,它是这样工作的:黑客开发恶意软件并将其提供给客户端。根据参与黑客组织的程度,开发人员会收取他们收到的赎金的百分比。
独立专家 Alexander Isavnin 在与 ForkLog 的对话中指出,由于现有的“恶意软件出租市场”,攻击数量显着增加:
“有人在发展,有人在寻找有偿付能力的受害者,而且以前存在提取犯罪所得资金的基础设施。很明显,犯罪分子是第一个使用最先进手段的人——他们是第一个使用加密货币的人。”
卡巴斯基实验室网络安全专家 Dmitry Galov 告诉 ForkLog,基于 RaaS 模型的攻击的一个例子是对美国殖民管道的黑客攻击。
参与攻击殖民地管道的组织“不仅开发了攻击工具,还为其实施创建了完整的基础设施。” 她协助她的客户与受害者谈判并获得赎金,还为其他攻击者提供特殊计划,这些计划是根据一系列正式要求并根据面谈结果在竞争的基础上预选的。
“勒索软件的世界应该被理解为一个生态系统,并以此来看待,”分析师强调。
攻击的参与者通常彼此不认识。他们通过各种论坛和平台进行互动,使用加密货币支付服务费用。
因此,逮捕任何参与者对勒索软件的运行几乎没有影响,因为无法识别其他肇事者。
证实这一观点的例子之一是乌克兰执法人员最近发布的关于识别勒索软件 Clop 背后黑客组织代表的消息。
在此消息发布一周后,Clop 黑客发布了一批新数据,据称是由于对两名新受害者进行黑客攻击而获得的。
事实证明,搜索不是针对该组织的代表进行的,而是针对交易所代表进行的,勒索软件病毒运营商的比特币正是通过该交易所的代表进行的,币安交易所帮助识别了这些比特币。显然,黑客仍然逍遥法外。
根据 Intel471 研究人员的说法,在 RaaS 模型上工作的团队中包括 Doppel Paymer、Egregor / Maze、Netwalker、REvil、Ryuk 等知名团队。
由于受害者关注点的变化,勒索软件活动的威胁也越来越大——黑客越来越多地开始针对公司和各种组织,而不是普通用户。
“近年来,勒索软件攻击已成为对任何组织的真正威胁,包括社会设施和工业企业。与此同时,那些攻击企业的攻击者群体往往试图获得最大数量的企业网络,然后研究它是一家什么样的公司,”卡巴斯基实验室的网络安全专家德米特里加洛夫说。
黑客越来越多地采用双重勒索策略。他们不仅会加密货币数据或设备,还会预先提取个人或商业信息,如果不支付赎金,他们就会威胁要发布这些信息。
许多受攻击影响的组织更愿意付费。媒体援引 Proofpoint 的一项研究称,52% 的勒索软件受害者已经支付了赎金。
ForkLog 告诉 ESET,专家不建议向黑客做出让步,因为“无法保证犯罪分子在收到钱后会兑现解密的承诺”:
“此外,统计数据显示,超过一半的付款人在一年内再次成为受害者。”
Cybereason 数据也证实了这一点。根据对 1,263 名网络安全专业人员的调查,支付赎金的人中有 80% 再次遭到攻击。
美国当局敦促不要支付勒索者,甚至有人主张立法禁止此类勒索。
? 如果你是#ransomware 攻击的受害者,支付赎金并不能保证你会从网络犯罪分子那里获得解密密钥或数据。无需付费——经常备份你的数据并修补你的计算机https://t.co/BuYmxnWdyK #Cybersecurity pic.twitter.com/VdwqP8cymn
— US-CERT (@USCERT_gov) 2021 年 7 月 1 日
最近,正是美国的组织和公司经常成为攻击的受害者,因此政府和特殊服务部门将目光投向了此类网络犯罪。有了它 – 用于加密货币。
拜登政府已经表示,它考虑将跟踪加密货币交易作为对抗勒索软件病毒的可能选择之一。
比特币和勒索软件
有些人认为加密货币是勒索软件病毒传播的主要原因之一。
程序员 Stephen Dhiel 指出,以前,网络犯罪分子很少有机会获得赎金而不进入执法领域,尤其是在涉及大笔金额时。
加密货币提供了完美的答案,让黑客可以掠夺受害者并勒索无限制和匿名的现金支付,同时完全减少他们被执法部门抓获的风险。(8/)
— 斯蒂芬·迪尔 (@smdiehl),2021 年 5 月 21 日
据 Chainalysys 称,2020 年勒索软件受害者向网络犯罪分子支付了超过 4.06 亿美元的加密货币。分析人士指出,随着进一步调查,这个数字很可能会增加。
数据:Chainalysys。
大多数黑客要求以比特币支付赎金,但也可以使用其他加密货币进行支付。根据 CAC Specialty 的代表 Samantha Levin 的说法,专家们记录了以太坊甚至狗狗币的支付。
攻击者关注以隐私为重点的资产。这些硬币之一是门罗币。去年,REvil (Sodinokibi) 团队宣布他们打算放弃比特币并转向 XMR。
然而,尽管攻击者已经要求用这种加密货币支付赎金,但他们并没有完全摆脱比特币。在最近的一次袭击中,他们要求提供 7000 万美元的军事技术合作。
专家表示,黑客之所以还没有完全转向数字资产,其动向更难追踪,主要原因是受害者获取这些资产并不那么容易。因此,他们根本无法支付赎金。
“与比特币不同,许多这些 [面向隐私的] 加密货币仍然无法在全球范围内使用,”ESET 告诉 ForkLog。
伊利诺伊州众议员比尔福斯特表示,考虑到比特币在美国国会中的地位,比特币勒索软件可能会抹杀第一个加密货币的声誉。
关于黑客的激活,在此之前经常谈论犯罪分子使用加密货币的美国当局开始呼吁对该行业和政府专家进行严格监管 – 以加强对遵守 KYC / AML 的控制国际层面的程序。
有些人甚至建议完全禁止比特币。诚然,具体如何实现并不完全清楚,因为该协议的本质在于其去中心化。Reddit 用户嘲笑这个想法,建议“禁止使用电话来打击侵入性垃圾电话”或“官员打击腐败”。
此外,正如 The Verge 指出的那样,理论上对加密货币的禁令将导致真正的市场参与者的工作停止,而“美国境外的可疑交易所”将继续运作。
另外,比特币作为一种完全匿名的硬币在政府圈子里的“声誉”略有夸大,因为区块链可以让你追踪大部分交易。
6 月,FBI 从 Colonial Pipeline 向勒索软件运营商支付的赎金中退还了 63.7 BTC。在将资金从 Colonial Pipeline 地址转移给 DarkSide 黑客后,该机构立即跟踪了区块链上的交易。其中一些被转移到钱包中,执法人员可以访问其中的私钥。
没有报告他们究竟是如何获得此访问权限的。然而,正如加密货币先驱兼 Blockstream 首席执行官 Adam Back 所指出的那样,该钱包几乎没有被 FBI 入侵。最有可能的是,该机构只是要求提供商或托管公司对其进行访问。
“对区块链的分析使我们能够将支付方案与特定的比特币地址进行比较,并计算出最终账户的真正所有者。这个例子表明比特币的转移是完全可控的,这肯定会阻止网络犯罪分子在未来使用这种支付方式,”ESET 专家说。
在此之前,Elliptic 分析师发现了据称由 DarkSide 拥有的 47 个比特币钱包。
即使是注重隐私的门罗币也不是完全匿名的,并且已经在开发用于跟踪交易的工具。
“最大的神话,最大的误解,是门罗币交易的不可追踪性。根据对钱包的分析,“破解”门罗币的隐私并不难,”其中一位加密货币开发商 Ricardo Spagni 在与 ForkLog 的对话中说。
因此,加密货币行业已经有了跟踪交易的工具,并且交易所在引入类似于传统金融公司使用的 KYC / AML 程序方面无处不在。如果行业不参与寻找应对勒索软件的方法,解决方案很可能来自监管机构本身。
“加密货币实际上比大多数其他形式的价值转移更透明。肯定比现金更透明,”Chainalysis 说。
资讯来源:由0x资讯编译自FORKLOG。版权归作者Каролина Сэлинджер所有,未经许可,不得转载