勒索软件即服务 (RaaS) 是一种网络犯罪业务模式,在这种模式下,勒索软件业务的开发者将其软件租赁给其他犯罪分子(称为关联攻击者),或者以收费服务形式执行勒索软件攻击。一些非常危险的勒索软件变体(例如 REvil 和 BlackCat 勒索软件)已通过 RaaS 模式传播。
作为首批被报道的全球性勒索软件攻击之一,WannaCry 出现于 2017 年 5 月。WannaCry 的传播速度极快,一天内就感染了包括美国、英国、印度、中国台湾地区、俄罗斯及乌克兰在内的 150 个国家/地区的超过 23 万台计算机,预估造成数十亿美元的损失。
WannaCry 在备受瞩目的勒索软件攻击中独树一帜,它以蠕虫形式传播,而不是通过网络钓鱼电子邮件或社会工程传播。据信,该攻击由朝鲜或其网络犯罪团伙 Lazarus Group 发起。WannaCry 勒索软件攻击在发起当天即被化解,这是因为恶意软件研究人员 Marcus Hutchins 发现了代码内的一个 kill switch,从而成功阻止了受影响的计算机进一步传播该恶意软件。
勒索软件攻击运作方式示意图。
WannaCry 勒索软件是怎样运作的?
作为勒索软件的一种,WannaCry 会对受害者计算机或服务器上的文件进行加密,使受害者在支付赎金前无法访问或使用这些文件。WannaCry 最初的赎金为价值 300 美元的比特币,若未在规定时限内支付,这一金额将上涨至 600 美元。通过阻止对文件及数据的访问,WannaCry 可轻松地使受攻击企业的 IT 系统瘫痪。
WannaCry 在勒索软件中独树一帜,它以蠕虫形式传播,这类恶意软件无需宿主文件或人为干预即可快速传播。它以植入程序或可传输并安装恶意软件的自包含程序的形式存在于受感染的计算机中。WannaCry 植入程序中的文件包括一个用于对数据进行加密和解密的应用程序、带加密密钥的文件以及勒索软件操纵者用于命令和控制 (C2) 通信的 Tor 副本。在一台设备上建立立足点之后,该恶意软件会传播并影响与受感染设备进行通信的其他未安装补丁的设备。
WannaCry 利用了一个名为“EternalBlue”的漏洞,该漏洞由美国国家安全局 (NSA) 开发,后来黑客组织“Shadow Brokers”在对 NSA 的攻击中窃取了该漏洞。EternalBlue 漏洞利用仅对未安装特定安全补丁的旧版 Microsoft Windows 系统有效,但由于 2017 年仍有大量机器未安装相关补丁,导致该恶意软件得以迅速传播。
WannaCry 利用了 Windows 中服务器消息块 (SMB) 协议管理方式上的漏洞,该协议用于实现网络节点间的通信。该安全漏洞使 SMB 被称为 EternalBlue 的特制数据包诱骗执行任意代码。Microsoft 虽已提前数月发布该漏洞的补丁,但全球仍有数千台计算机未安装该补丁并处于不受保护的状态。
WannaCry 感染产生了哪些影响?
全球多家大型企业受到了严重影响,包括西班牙电信公司 Telefónica 和英国国家医疗服务系统 (NHS),后者因旗下三分之一的医院受到影响而被迫改变救护车的路线。
WannaCry 勒索软件是如何被阻止的?
在检查 WannaCry 源代码时,安全博主兼研究员 Marcus Hutchins 发现,该恶意软件在执行前会查询一个不存在的域,即 iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com。如果未收到来自该虚假域的响应,WannaCry 便开始在受影响的机器上执行加密流程。在 Hutchins 注册该域后,虽然恶意软件仍在传播,但由于域查询返回了真实结果,因此该恶意软件停止了对文件进行加密,这从根本上消除了此威胁。
Windows 操作系统内置的自动更新功能可确保在 2017 年 5 月前,所有安装了最新补丁的 Windows 10 计算机都能抵御 WannaCry 攻击。Microsoft 最终发布了适用于 Windows XP 系统以及早期操作系统版本的 SMB 补丁。
WannaCry 勒索软件是否仍然构成威胁?
WannaCry 勒索软件蠕虫仍然构成了威胁。在较新版本的 WannaCry 中,kill switch 域已从代码中被移除。这些变体仍然会利用 EternalBlue SMB 漏洞,并且会感染未安装补丁的系统和 Windows 计算机。
如何防范 WannaCry 勒索软件之类的攻击?
要防范 WannaCry 之类的攻击,企业必须采用全面的多层网络安全方法。
更新和补丁。及时应用最新的安全更新和补丁不仅能化解 WannaCry 勒索软件攻击,还有助于防范各种其他利用软硬件漏洞的攻击。
Zero Trust 安全。Zero Trust 方法实施“零信任”原则,既能阻止多种攻击,又能限制横向移动。Zero Trust 要求在每个用户、设备和应用程序每次请求访问 IT 资产时,重新对其进行身份认证和验证。最低权限原则是指仅在需要时授予访问权限,而且访问权限有时间限制。
集中式策略管理。当 IT 管理员能够从单个位置实施安全管理时,他们既能制定公司范围内的策略以避免出现安全漏洞,又能利用最新的威胁情报。
防病毒和反恶意软件技术。通过持续监控网络流量,防病毒和反恶意软件解决方案可以过滤掉可能与勒索软件攻击相关的潜在有害流量、电子邮件和附件。
员工培训。由于人为错误是引发很多攻击的关键因素,因此 IT 团队必须持续对员工进行培训,让他们了解最新的网络犯罪手段以及防范攻击时必须采用的最佳实践。
加密。通过对文件进行加密,可以在发生数据泄露或窃取机密信息的勒索软件攻击时有效防止敏感数据被泄露。
身份和访问控制措施。高强度密码和多重身份验证等安全要素有助于防止攻击者对帐户和 IT 环境进行未经授权的访问。
备份。经常进行备份可确保每个文件都有一个存储在勒索软件无法感染的异地位置的副本,从而防范勒索软件攻击。
持续监控。通过持续监控技术环境以搜索潜在威胁,IT 团队可以更早地发现潜在攻击。
网络分段。通过将网络划分为较小的子网,可确保攻击者在网络中某个部分成功实施的攻击无法感染其他网络部分中的文件。软件定义的微分段提供了更强大的安全防护,它会隔离各个工作负载,以阻止黑客在系统内横向移动和访问敏感数据。
安全认证。IT 团队必须维护安全认证并监督监管框架的遵守情况,以确保其所在企业及所有合作供应商均遵循防范勒索软件和其他网络攻击的最佳实践。例如,医疗保健企业和应急响应人员可以遵守国防信息系统局 (DISA) 制定的安全控制措施配置标准,从而确保数据和患者记录的安全。
勒索软件是一种恶意软件,它会对服务器或设备上的文件进行加密,阻止合法用户和企业访问这些文件,直到其支付赎金以换取文件解密密钥。由于勒索软件可以阻止对公司关键信息的访问,因此会迅速对业务连续性造成灾难性破坏。赎金可能从数百美元到数百万美元的加密货币不等,具体取决于受害者以及已加密数据的价值。
虽然 WannaCry 勒索软件以蠕虫形式传播,但大多数勒索软件攻击会使用网络钓鱼电子邮件或虚假网站等社会工程技术,哄骗用户泄露让攻击者可以获得 IT 环境访问权限的相关凭据。此外,像 Meris 僵尸网络等僵尸网络可能会利用恶意软件感染数千乃至数百万台机器,使攻击者获得设备控制权,以帮助传播勒索软件。
客户为什么选择 Akamai
Akamai 是一家专注于网络安全和云计算的公司,致力于支持并保护在线商业活动。我们卓越的安全解决方案、出色的威胁情报和全球运营团队可提供深度防御,保护各地的企业数据和应用程序。Akamai 的全栈云计算解决方案可在海外分布广泛的平台上提供高性能和经济实惠的服务。众多全球企业信赖 Akamai,凭借我们行业领先的可靠性、扩展性和专业技术,企业能够从容拓展业务。