什么是勒索软件？| IBM

什么是勒索软件？

勒索软件是一种恶意软件，它会锁定受害者的数据或设备，并威胁受害者，使其保持锁定状态（或更糟糕的状态），并要求受害者向攻击者支付赎金。根据 IBM Security X-Force Threat Intelligence Index 2023，勒索软件攻击占 2022 年网络攻击总数的 17%。

最早的勒索软件攻击只是要求通过支付赎金换取重新访问受影响数据或使用受感染设备所需的加密密钥。通过定期或连续进行数据备份，组织可以限制此类勒索软件攻击的成本，并且通常可以避免支付赎金要求的情况。

但近年来，勒索软件攻击已经演变为包括双重勒索和三重勒索攻击，这使受害者面临的风险大幅增加 — 即使对于严格维护数据备份或支付初始赎金要求的受害者也是如此。双重勒索攻击增加了受害者面临数据被窃取并将其泄露到网上的威胁；除此之外，三重勒索攻击还威胁受害者要使用窃取的数据来攻击受害者的客户或业务合作伙伴。

2023 X-Force Threat Intelligence Index 发现，从 2021 年到 2022 年，勒索软件在所有网络安全事件中所占的比例下降了 4%，其中的原因可能是防御者能够更成功地检测和阻止勒索软件攻击。但这一积极的发现因平均攻击时间大幅缩短 94%（从 2 个月减少到不到 4 天）而黯然失色，组织几乎没有时间检测和阻止潜在攻击。

勒索软件受害者和谈判者不愿透露赎金金额。然而，根据勒索软件权威指南，赎金要求已增至七位数和八位数金额。赎金只是勒索软件感染总成本的一部分。根据 IBM 的《2022 年数据泄露成本报告》，勒索软件攻击造成的数据泄露的平均成本（不包括赎金）为 454 万美元。预计到 2023 年，勒索软件攻击将给受害者造成总体约 300 亿美元的损失。

勒索软件的类型

勒索软件有两种常见类型。最常见的类型称为加密型 (Encrypt) 勒索软件或加密 (Crypto) 勒索软件，这类勒索软件通过加密来劫持受害者的数据。然后，攻击者向受害者索要赎金，以换取提供解密数据所需的加密密钥。

另一种不太常见的勒索软件称为非加密勒索软件或锁屏勒索软件，这类勒索软件通常通过阻止受害者访问操作系统来锁定受害者的整个设备。受影响设备不会像往常一样启动，而是显示一个提供赎金要求的屏幕。

这两种类型可以进一步分为以下子类别：

泄漏软件（或称 Doxware）是指窃取或泄露敏感数据并威胁受害者要发布相关数据的勒索软件。虽然早期形式的泄漏软件（或称 Doxware）经常在不加密的情况下窃取数据，但当今的变体通常在加密/不加密的情况下均会窃取数据。
移动勒索软件包括影响移动设备的所有勒索软件。移动勒索软件通过恶意应用程序或路过式下载传播，它通常是非加密勒索软件，因为许多移动设备上标配的自动云数据备份可以轻松逆转加密攻击。
如果不支付赎金，擦除式/破坏性勒索软件就会威胁破坏数据，即使支付了赎金，勒索软件也会破坏数据的情况除外。后一种类型的擦除式勒索软件通常疑似是由国家/政府攻击主体或黑客行动主义者而非普通网络罪犯部署的。
假冒安全软件，顾名思义，是指试图通过恐吓用户使其支付赎金的勒索软件。假冒安全软件可能冒充来自执法部门的信息，指控受害者犯罪并要求受害者缴纳罚款；它可能会假装合法的病毒感染警报，鼓励受害者购买防病毒软件或反恶意软件。有时，假冒安全软件是勒索软件，它会加密数据或锁定设备。在其他情况下，它是勒索软件感染媒介，不加密任何内容，只是强迫受害者下载勒索软件。

注册获取 2023 年勒索软件权威指南

勒索软件如何感染系统或设备

勒索软件攻击可以使用多种方法或媒介来感染网络或设备。其中一些最重要的勒索软件感染媒介包括：

网络钓鱼电子邮件和其他社会工程攻击：网络钓鱼电子邮件操纵用户下载并运行恶意附件（其中包含伪装成看似无害的 .pdf、Microsoft Word 文档或其他文件的勒索软件），或访问通过用户的 Web 浏览器传播勒索软件的恶意网站。在 IBM 的 2021 年网络弹性组织调研报告中，在调查参与者报告的所有勒索软件攻击中，网络钓鱼和其他社会工程策略导致的攻击占 45%，使其成为所有勒索软件攻击媒介中最常见的媒介。
操作系统和软件漏洞：网络罪犯经常利用现有漏洞向设备或网络插入恶意代码。零日漏洞是安全社区未知或已识别但尚未修补的漏洞，构成了特殊的威胁。一些勒索软件团伙从其他黑客那里购买有关零日缺陷的信息，用来制定攻击计划。黑客还有效地利用已修补的漏洞作为攻击媒介，如以下讨论的 2017 年 WannaCry 攻击所示。
凭证盗用：网络罪犯可能会窃取授权用户的凭证，在暗网上购买凭证或通过暴力进行破解。然后，他们可以使用这些凭证登录网络或计算机并直接部署勒索软件。远程桌面协议 (RDP) 是 Microsoft 开发的一款专有协议，旨在允许用户远程访问计算机，它是勒索软件攻击者中常见的凭证盗用目标。
其他恶意软件：黑客经常使用为其他攻击开发的恶意软件向设备发送勒索软件。例如，Trickbot 木马最初是为了窃取银行凭证而设计的，后来在 2021 年用于传播 Conti 勒索软件变体。
路过式下载：黑客可以在用户不知情的情况下利用网站将勒索软件传播到设备。漏洞工具包使用遭破坏的网站来扫描访问者的浏览器，查找可用于将勒索软件插入设备的 Web 应用程序漏洞。恶意广告（已遭黑客破坏的合法数字广告）可以将勒索软件传播到设备，即使用户没有单击广告也会执行此操作。

网络罪犯不一定需要开发自己的勒索软件来利用这些媒介。一些勒索软件开发人员通过勒索软件即服务 (RaaS) 约定与网络罪犯共享其恶意软件代码。网络罪犯（或“关联公司”）使用该代码进行攻击，然后与开发人员分享赎金。这是一种互惠互利的关系：关联公司可以从勒索中获利，而无需开发自己的恶意软件，开发人员可以在不发起额外网络攻击的情况下增加利润。

勒索软件分销商可以通过数字市场销售勒索软件，或直接通过在线论坛或类似途径招募关联公司。大型勒索软件组织已投入大量资金来吸引关联公司。例如，REvil 集团在 2020 年 10 月的招聘活动中花费了 100 万美元。

勒索软件攻击的不同阶段

勒索软件攻击通常会经历以下阶段。

第一阶段：初始访问

勒索软件攻击最常见的访问媒介仍然是网络钓鱼和漏洞利用。

第二阶段：后渗透

根据初始访问媒介，第二阶段可能会在建立交互式访问之前插入中介远程访问工具 (RAT) 或恶意软件。

第 3 阶段：了解和扩展

在攻击的第三阶段，攻击者的重点是了解他们当前可以访问的本地系统和域，以及获得其他系统和域的访问权限（称为横向移动）。

第 4 阶段：数据收集和渗漏

在此阶段，勒索软件运营商将重点转移到识别有价值的数据并进行渗漏（窃取），通常所用方式是自己下载或导出副本。虽然攻击者可能会渗漏他们可以访问的任何和所有数据，但他们通常会关注特别有价值的数据（登录凭证、客户的个人信息、知识产权），这些数据可用于双重勒索。

第 5 阶段：部署和发送通知

加密勒索软件开始识别和加密文件。一些加密勒索软件还会禁用系统恢复功能，或者删除或加密受害者计算机或网络上的备份，以增加为获取解密密钥而支付赎金的压力。非加密勒索软件会锁定设备屏幕、用弹出窗口侵入设备或以其他方式阻止受害者使用设备。

一旦攻击者加密文件和/或禁用设备，勒索软件通常会通过存放在计算机桌面上的 .txt文件或通过弹出通知存放向受害者发出感染警报。勒索通知包含如何支付赎金的说明，通常以加密货币或类似的无法追踪的方式支付，以换取解密密钥或恢复标准操作。

值得注意的勒索软件变体

自 2020 年以来，网络安全研究人员已识别出超过 130 个不同的、活跃的勒索软件系列或变体，即具有自己的代码签名和功能的独特勒索软件变体。

在多年来传播的众多勒索软件变体中，有几种变体因其破坏程度、对勒索软件发展产生的影响或它们至今仍然构成的威胁而值得人们注意。

CryptoLocker

CryptoLocker 于 2013 年 9 月首次出现，被广泛认为开启了现代勒索软件时代。CryptoLocker 通过僵尸网络（被劫持的计算机网络）进行传播，是最早对用户文件进行强加密的勒索软件系列之一。在国际执法部门于 2014 年将其销毁之前，通过该勒索软件获得的赎金约 300 万美元。CryptoLocker 的成功催生了众多模仿者，并为 WannaCry、Ryuk 和 Petya（如下所述）等变体的出现奠定了基础。

WannaCry

WannaCry 是第一个引人注目的加密蠕虫病毒，即一种可以传播到网络上其他设备的勒索软件，它攻击了超过 200,000 台计算机（分布在 150 个国家/地区），而这些计算机的管理员未能及时修补 EternalBlue Microsoft Windows 漏洞。除了加密敏感数据外，WannaCry 勒索软件还威胁受害者：如果 7 天内未收到赎金，就会擦除文件。它仍然是迄今为止最大的勒索软件攻击之一，估计损失高达 40 亿美元。

Petya 和 NotPetya

与其他加密勒索软件不同，Petya 会加密文件系统表而不是单个文件，导致受感染的计算机无法启动 Windows。2017 年，经过大幅修改的版本 NotPetya 用于实施大规模网络攻击，主要针对的是乌克兰。NotPetya 是一个即使在支付赎金后也无法解锁系统的擦除恶意软件。

Ryuk

Ryuk 首次出现于 2018 年，常见的是针对特定高价值目标的“大型勒索软件”攻击，其平均赎金要求超过 100 万美元。Ryuk 可以找到和禁用备份文件和系统恢复功能；2021 年发现了一种具有加密蠕虫病毒能力的新变体。

DarkSide

DarkSide 是由一个疑似在俄罗斯境外运营的组织运行的勒索软件变体，它于 2021 年 5 月 7 日攻击了美国的输油管道运营商 Colonial Pipeline，这起案件被视为迄今为止针对美国关键基础设施实施的最严重的网络攻击。因此，为美国东海岸供应 45% 燃料的输油管道不得不暂时关闭。除了发起直接攻击外，DarkSide 组织还通过 RaaS 约定将其勒索软件授权给关联公司。

Locky

Locky 是一种加密勒索软件，具有独特的感染方法：它使用隐藏在电子邮件附件（Microsoft Word 文件）中的宏伪装成合法发票。当用户下载并打开 Microsoft Word 文档时，恶意宏会秘密地将勒索软件有效内容下载到用户的设备上。

REvil/Sodinokibi

REvil 也称为 Sodin 或 Sodinokibi，该团伙帮助普及了 RaaS 勒索软件分发方法。REvil 以追寻大目标和双重勒索攻击而闻名，它是 2021 年针对著名 JBS USA 和 Kaseya Limited 发起攻击的幕后黑手。在整个美国牛肉加工业务中断后，JBS 支付了 1100 万美元的赎金，而Kaseya 超过 1,000 个软件客户受到了严重停机的影响。俄罗斯联邦安全局报告称，其已于 2022 年初解散 REvil 并对其几名成员提出指控。

赎金

直到 2022 年，大多数勒索软件受害者都满足了攻击者的赎金要求。例如，在 IBM 的2021 年网络弹性组织调研报告中，在进行该调研的两年内，经历过勒索软件攻击的参与公司中有 61% 表示他们支付了赎金。

但最近的报告表明，从 2022 年起，这种情况发生了变化。网络勒索事件响应公司 Coveware 发布的调查结果显示，2022 年勒索软件受害者中只有 41% 支付了赎金，而 2021 年为 51%，2020 年为 70%。区块链数据平台提供商 Chainanalysis 报告称，勒索软件攻击者在 2022 年向受害者勒索的资金比 2021 年减少近 40%（ibm.com 外部链接）。专家指出，提升网络犯罪应对准备（包括数据备份）以及增加对威胁预防和检测技术的投资是出现这一逆转背后的潜在推动因素。

执法部门指导

美国联邦各执法机构一致劝阻勒索软件受害者支付赎金要求。根据国家网络调查联合特遣部队 (NCIJTF)（该联合部队由 20 个负责调查网络威胁的美国联邦机构组成）的说法：

“FBI 不鼓励向犯罪分子支付赎金。支付赎金可能会鼓励对手向其他组织发动攻击，鼓励其他犯罪分子参与勒索软件的分发和/或资助非法活动。支付赎金也不能保证受害者的文件能够恢复。”

执法机构建议勒索软件受害者在支付赎金之前向相应机构举报攻击行为，例如向 FBI 的互联网犯罪投诉中心 (IC3) 举报。无论是否支付赎金，一些勒索软件攻击的受害者都可能应法律要求举报勒索软件感染事件。例如，HIPAA 合规部门通常要求卫生保健实体向美国卫生与公众服务部举报任何数据泄露事件，包括勒索软件攻击。

在某些情况下，支付赎金可能是非法行为。根据美国财政部外国资产控制办公室 (OFAC) 2020 年的一份咨询报告，向来自受美国经济制裁的国家/地区（例如俄罗斯、朝鲜或伊朗）的攻击者支付赎金将违反 OFAC 法规，并可能导致民事处罚、罚款或刑事指控。

勒索软件保护和响应

为了防御勒索软件威胁，CISA、NCIJFT 和美国特勤局等联邦机构建议组织采取某些预防措施，例如：

维护敏感数据和系统映像的备份，最好保存在硬盘驱动器或其他可以与网络断开连接的设备上。
定期应用补丁，以帮助阻止利用软件和操作系统漏洞的勒索软件攻击。
更新网络安全工具，包括反恶意软件和防病毒软件、防火墙、网络监控工具和安全 Web 网关以及企业网络安全解决方案（如安全编排、自动化和响应 (SOAR)、端点检测和响应 (EDR)、安全信息和事件管理 (SIEM) 和扩展检测和响应 (XDR)），帮助安全团队实时检测和响应勒索软件。
员工网络安全培训，帮助用户识别和避免网络钓鱼、社会工程和其他可能导致勒索软件感染的策略。
实施访问控制策略，包括多重身份验证、零信任架构、网络分段和类似措施，可以防止勒索软件接触特别敏感的数据，并防止加密蠕虫病毒传播到网络上的其他设备。

虽然某些勒索软件变体的解密工具可以通过 No More Ransom 等项目公开获得，但主动勒索软件感染的修复通常需要采取多方面的方法。请参阅 IBM Security 的勒索软件权威指南查看按照美国国家标准与技术研究院 (NIST) 事件响应生命周期建模的勒索软件事件响应计划示例。

勒索软件简要时间线

1989 年：记录的第一个勒索软件攻击，称为 AIDS Trojan 或“P.C. Cyborg 攻击”，通过软盘分发。此次攻击隐藏了受害者计算机上的文件目录，并要求支付 189 美元的赎金才能取消隐藏。但由于它加密的是文件名而不是文件本身，因此用户很容易在不支付赎金的情况下修复损坏。

1996 年：在分析 AIDS Trojan 病毒的缺陷时，计算机科学家 Adam L. Young 和 Moti Yung 警告称，未来的恶意软件可能会使用更复杂的公用密钥密码术来劫持敏感数据。

2005 年：在 21 世纪初相对较少的勒索软件攻击之后，感染开始上升，主要集中在俄罗斯和东欧。出现第一个使用非对称加密的变体。随着新的勒索软件提供了更有效的勒索手段，更多的网络罪犯开始在全球范围内传播勒索软件。

2009 年：加密货币（尤其是比特币）的推出为网络罪犯提供了一种接收无法追踪的赎金的方式，从而促使勒索软件活动再次激增。

2013 年：勒索软件的现代时期始于 CryptoLocker，这款勒索软件开启了当前一波高度复杂的加密勒索软件攻击，其赎金以加密货币进行支付。

2015 年：Tox 勒索软件变体引入了勒索软件即服务 (RaaS) 模型。

2017 年：第一个广泛使用的自我复制加密蠕虫病毒 WannaCry 出现。

2018 年：Ryuk 通常通过勒索软件追寻大目标。

2019 年：双重和三重勒索勒索软件攻击开始增加。自 2019 年以来，IBM Security X-Force Incident Reponse 团队响应的几乎每一起勒索软件事件都涉及双重勒索。

2022 年：线程劫持（网络罪犯将自己插入目标的在线对话中）成为一种重要的勒索软件媒介。