2022年3月8日,美國聯邦調查局(FBI)、網絡安全和基礎設施安全局(CISA)聯合發布警告稱,Ragnar Locker勒索軟件正大規模入侵美國關鍵基礎設施。截至2022年1月,聯邦調查局已在10個受該勒索軟件影響的關鍵基礎設施部門確定了至少52個實體,包括關鍵制造業、能源、金融服務、政府和信息技術部門的實體。該事件攻擊者的攻擊特點是什么,勒索軟件在重拳打擊之下為何依然活躍,為什么關鍵基礎設施容易“失守”,可以采取哪些措施予以有效防范,這些勢必引起深思。
一
Ragnar Locker勒索軟件的新動作
Ragnar Locker勒索軟件是Ragnarok勒索團伙運營的勒索病毒,于2019年12月底首次被發現。2020年6月,該團伙與臭名昭著的迷宮 (Maze) 勒索軟件團伙合作,分享彼此專業知識,提升攻擊技術水平。作為近兩年崛起的勒索軟件,至少有44個組織/企業被Ragnar Locker采用“雙重勒索”模式進行攻擊,以下為部分典型攻擊案例:
(1)2020年4月,歐洲能源巨頭—葡萄牙跨國能源公司EDP遭攻擊,被索要1580的比特幣贖金(折合約1090萬美元)。幕后黑手聲稱已經獲取了10TB的敏感文件,如果不支付贖金,將公開泄露這些數據。
(2)2020年11月,意大利白酒巨頭—Campari Group遭攻擊,2TB未加密文件被盜(包含銀行對賬單、文件、合約等),勒索團伙并十分囂張地通過投放臉書廣告公然要求支付高達1500萬美元的贖金。
(3)2020年12月,日本視頻游戲巨頭—Capcom遭攻擊,并竊取了Capcom存儲在日本、加拿大與美國子公司網絡上多達1TB的機密情報,涵蓋390,000名客戶、業務合作伙伴和其他外部方的個人數據。
(4)2021年5月,全球第二大電腦內存制造商—臺灣的ADATA(威剛)遭攻擊,并對外聲稱,在部署勒索軟件Payload之前就已經成功地從威剛公司的網絡系統中竊取了1.5TB的敏感數據。此外,該團伙對外發布了被盜文件和文件夾的部分截圖,并繼續威脅稱,如果拒絕支付贖金,將泄露其余敏感數據。
有報道稱,2021年8月Ragnarok勒索軟件團伙宣布解散,并免費發布解密密鑰。目前尚不清楚 Ragnarok 決定退出的原因,或許是迫于美國政府越來越大的壓力,采取了類似的自毀策略。但是,2022年,該團伙又浮出水面,而這一次的攻擊目標轉向美國關鍵基礎設施。
二
Ragnar Locker勒索軟件的攻擊特點
(一)具有高度針對性
據美國聯邦調查局報道,Ragnar Locker自2019年首次被發現后,于2020年上半年開始頻繁攻擊全球大型知名企業/組織,具有高度針對性,每個樣本都是針對目標組織量身定制。而且該勒索組織的終止托管服務提供商(MSP)使用遠程管理軟件,包括ConnectWise、Kaseya,遠程管理受感染的企業,利于躲避系統檢測,確保遠程登錄的管理員不會干擾或阻止勒索軟件部署過程。
(二)使用虛擬機對計算機進行加密
從虛擬機內部對計算機進行加密,也是該勒索軟件特有的技術。Ragnar Locker使用VMProtect、UPX和自定義打包算法,并在目標站點上攻擊者的自定義Windows XP虛擬機中部署。首先會檢查當前的感染情況,以防止對數據進行多次轉換加密,從而可能破壞數據。并迭代所有正在運行的服務,并終止托管服務提供商通常用于遠程管理網絡的服務。然后,嘗試以靜默方式刪除所有卷影副本,從而阻止用戶恢復加密文件。最后,會加密所有感興趣的可用文件,不選擇要加密的文件,而是選擇不加密的文件夾。以讓計算機繼續“正常”運行,同時惡意軟件會對包含對受害者有價值數據的已知和未知擴展名的文件進行加密。
(三)繞開獨聯體國家
據美國聯邦調查局報道,Ragnarok勒索團伙專注于地理定位。該團伙使用Windows API GetLocaleInfoW識別受感染計算機的位置。如果受害者的位置被確定為阿塞拜疆、亞美尼亞、白俄羅斯、哈薩克斯坦、吉爾吉斯斯坦、摩爾達維亞、塔吉克斯坦、俄羅斯、土庫曼斯坦、烏茲別克斯坦、烏克蘭或格魯吉亞這些獨聯體國家,那么勒索軟件感染的進程自動終止。究其原因,是因為Ragnar Locker會針對獨聯體國家,在勒索軟件中嵌入一些Unicode形式的自定義語言字符串。依據Windows中選擇的語言判斷所在國家,防止特定國家的用戶感染勒索軟件,當然,并非所有這些國家的人都會在Windows中使用獨聯體國家的語言,也可能使用英語,如果選擇其他語言作為默認語言,則無法避免被感染。
(四)采取“雙重勒索”策略
Ragnarok勒索團伙于2020年年底開始效仿迷宮 (Maze)組織,正式將“雙重勒索”策略加入其運營模式,從Ragnar Locker典型攻擊案例中也可見一斑。雙重勒索是勒索軟件自然演進的結果,該勒索策略先利用惡意軟件盜取數據,然后再使用勒索病毒對獲取的數據進行復雜加密,如果受害者不在指定的期限內繳納贖金,就會選擇撕票——直接將盜取數據公之于眾。這無疑讓受害者承受更大的數據泄露壓力,同時使得受害者被迫支付贖金的可能性大幅提高。
三
幾點認識
(一)通過虛擬機實現從幕后發動網絡攻擊的新水平
Ragnar Locker勒索軟件采用了一種新的攻擊技術,將惡意代碼隱藏在Windows XP虛擬機中,加密主機文件,或者竊取用戶重要數據,不但可肆意運行,還很難被端點的安全軟件檢測或阻止,這是一個創新的伎倆。雖然這種攻擊方式相對傳統方式來說需要消耗更多的網絡資源、存儲資源和計算資源,但隨著當前計算機硬件性能的快速提升以及各種輕量級虛擬化技術出現,給這種攻擊方式帶來了可行性和可操作性。由此可見,勒索軟件內部技術的不斷迭代,越來越多的躲避檢測和查殺的高級技術的出現,促使勒索能力不斷升級,破解難度越來越大,這些新技術的更迭讓勒索軟件“如虎添翼”,試圖以更隱蔽的形式發動更猛烈的攻勢,以獲取更大的利益,這也不難理解為何勒索軟件在重拳打擊之下依然存在并非常活躍。
(二)瞄準關鍵基礎設施,實現低成本高收益的攻擊目的
當今,頂級和高技能的勒索團伙不再不分青紅皂白地以大量小規模受害者為目標,而是向制造業、金融、醫療、能源等關鍵基礎設施行業不斷擴展蔓延,已成為全球網絡安全的新挑戰。瞄準高價值目標,一方面是這些企業數據一旦被泄露或損毀,將造成無法挽回的損失,可造成大面積的社會影響;另一方面受害者還擔心其敏感數據被暴露將面臨自身聲譽受損的風險。以此為基礎,勒索團伙可以提出相當夸張的贖金要求,正如Ragnar Locker勒索軟件一度曾從受害目標那索要上千萬美元的贖金。索取高額贖金的同時,勒索組織付出的成本卻非常低。統計數據表明,針對關鍵基礎設施目標的勒索軟件攻擊所需的費用僅僅為1000美元或更少。而且隨著在暗網上出售的Netwalker等現成的勒索軟件工具的普及,較低的技術門檻進一步促使對關鍵基礎設施目標的攻擊變得越來越頻繁。低成本和高回報率是勒索軟件實施攻擊的最大動力,這將吸引越來越多的數字贖金“游戲”的掠奪者蜂擁而至,同時暗網、虛擬貨幣等技術趨于成熟,更加助推勒索軟件攻擊大面積爆發。
(三)美國采取集中、綜合的措施應對勒索軟件威脅
在全球范圍內,據估計每11秒就會發生一次勒索軟件攻擊,僅2021年贖金損失就達到200億美元。對勒索團伙來說,贖金已成為一種很有吸引力的網絡武器,是對行業和個人最具破壞性的網絡攻擊之一。因此,如何防范和應對勒索攻擊成為各國亟需解決的問題,美國、英國、澳大利亞、韓國都先后出臺了相關政策法規予以防范和打擊。以美國為例,拜登政府強調集中、綜合措施的重要性。重點從四方面入手:一是破壞勒索軟件基礎設施和參與者。美國政府正在充分發揮政府的能力,以破壞勒索軟件參與者、協助者、網絡和金融基礎設施;二是增強抵御勒索軟件攻擊的彈性。政府宣布了鼓勵彈性的具體措施,包括為關鍵基礎設施管理人員舉行的機密威脅簡報會以及工業控制系統網絡安全倡議等。政府呼吁擁有和運營美國大部分關鍵基礎設施的私營部門對其網絡防御進行現代化改造,以應對勒索軟件的威脅;三是打擊濫用虛擬貨幣進行贖金支付的問題。美國認為虛擬貨幣應受到與法定貨幣相同的反洗錢和反恐怖主義融資控制,而且必須強制執行這些控制和法律;四是利用國際合作破壞勒索軟件生態系統并解決勒索軟件罪犯的安全港問題。美國正與國際合作伙伴合作,破壞勒索軟件網絡,提高合作伙伴在本國境內偵查和應對此類活動的能力,包括對允許罪犯在其管轄范圍內活動的國家施加壓力并追究其責任。
