盘点2019年勒索病毒灾难事件(3)

而且，或许是受到GandCrab家族一年半内赚了20亿美金的鼓舞，MageCortex勒索病毒还特别在勒索信息中留下奋斗格言：“我们正在为赚钱而努力，这项犯罪活动的核心是获得赎金以后，以最原始形式归还您的宝贵数据。”

总之，看着这届黑客的勒索留言，能明确的感受到他们对于割韭菜的渴望。

第二，从垃圾邮件到利用漏洞传播

虽然勒索病毒有垃圾邮件、RDP口令爆破、网页挂马等多种传播途径，但万物皆有漏洞，那可能就是勒索病毒进来的地方。

例如Sodinokibi勒索病毒就集成了多个漏洞进行传播，包括Windows内核提权漏洞(CVE-2018-8453)、Confluence漏洞(CVE-2019-3396)、UAF漏洞(CVE-2018-4878)、Weblogic反序列化漏洞(CVE-2019-2725)等;

又例如，BitPaymer勒索病毒就利用了Apple的0day漏洞;GETCRYPT勒索病毒则利用RIGEK漏洞工具包;别忘了，还有连续利用IE+Flash双重漏洞，假冒Chrome浏览弹窗传播的勒索病毒Spora勒索病毒。

总之吧，勒索病毒利用漏洞打出组合拳，不仅中招率骤升，威胁层级也远超以往，从这个角度来讲，勒索病毒对杀软的拦截查杀技术，提出了更具挑战要求。

勒索病毒利用Apple的0day漏洞传播

第三，打着勒索的幌子，实为获取情报或破坏数据

今年有个案例就与窃取情报有关，9月份MalwareHunterTeam披露了一次不同寻常的勒索病毒事件。

它在感染目标中不断搜寻敏感信息，包括军事机密、银行信息、欺诈/刑事调查文件，行动举止完全不像为了图财。

更可疑的是，该“勒索病毒”还会查找Emma、Olivia、Noah、Logan 和 James 等美国社会保障部列出的2018年最常见的婴.儿名字。

该冒牌“勒索病毒”搜索关键词

除了窃取情报，还有其他更奇怪的攻击案例，有些“勒索病毒”会对文件玩了命似的多次加密，甚至对文件进行无法修复的破坏，完全断了收赎金的后路。

而据分析，这很可能是APT黑客组织，在实施渗透、窃取国家企业机密数据之后，进一步投递的破坏性勒索病毒。为的是以勒索病毒作掩护，毁坏数据，消除入侵痕迹，掩盖真实攻击意图。

第四，手动投毒在变多

手动投毒的好处是精准定位，黑客可以瞄准高价值定制服务器和系统。

(黑客组织正在手动植入病毒)

所以手动植入病毒在增多，像Ryuk勒索病毒的感染和传播过程都是由攻击者手动执行的;

而Globelmposter勒索病毒也不具备主动传播性，是由黑客渗透进入内网后，在目标主机上人工植入;

还有MegaCortex病毒也是攻击者设法获得管理凭据作为“手动闯入”的一部分。

除了精准定位目标之外，这种方式还有其他好处：延长“驻留时间”，即从初始感染到安装勒索软件之间的一段时间。

在这种操作下，攻击者有时间对被感染网络进行分析，从而确定网络中最关键的系统，并获取感染这些系统的密码，随后才释放勒索软件，从而最大限度地造成损害。

更多反思

递增、扩散、高发的网络安全威胁，让我们开始思索：

高级持续性威胁呈常态化发展趋势的当下，“互联网更安全了”也许只是一种错觉，凶猛且异常活跃的勒索病毒，撕碎了人们沉醉的安全假象。在网络这个从未有过绝对安全的世界，相对的安全也变得越发可贵。

网络安全最终是一直延续螺旋上升的“攻防”战，还是裂变出全新的终极模式，没有人可以给出确切的答案，我们唯有在攻防中不断探索，才能遇见安全的未来。

（编辑：ASP站长网）