如果有留意資安消息,近年必定會聽過勒索程式,甚至不幸成為受害者之一,可算是近代最危險的惡意程式。但其實這類型的惡意程式已經出現了超過30年,其前身正是曾經紅極一時的螢幕遮蔽工具,以下將追蹤勒索程式的開發歷史。
勒索程式字典
密碼學(Cryptography) – 防止外人讀取機密資料的技術,加密也是密碼學的其中之一。
對稱加密(Symmetric encryption) – 使用一條金鑰進行加密和解密資料的數據加密方法
非對稱加密(Asymmetric encryption) – 使用兩條金鑰的數據加密方法,一條公眾鑰用於加密資料,一條私人鑰用作解密,知道公眾金鑰無法進行解密。
RSA – 普遍用於非對稱加密的運算法
加密勒索(Ransomware) – 任何惡意程式強迫用戶向攻擊者支付贖金,勒索程式可以包括遮蔽工具(Blocker)、加密工具(Cryptor)和清除工具(Wiper)。
遮蔽工具(Blocker) – 利用遮蔽或模擬遮蔽一台電腦或流動裝置的一種勒索程式,這種程式會持續在所有視窗的最上層展示勒索的訊息。
加密勒索程式(加密工具) – 透過加密用戶的檔案令他們無法使用的勒索程式
清除工具(Wiper) – 刪除受害者裝置內資料的惡意程式,有時候勒索程式會模擬加密勒索程式,其實是清除工具永久破壞檔案。所以即使支付贖金,也無法復原資料。
RaaS (Ransomware-as-a-Service) – 勒索程式製作者出租勒索程式,令任何人想散播病毒都能減少工序,類似一種網絡犯罪專營權。
1989年:首次勒索攻擊
生物學研究人員Dr. Joseph L. Popp製作首隻已知的加密工具(Cryptor),他借世界對愛滋病的好奇心廣泛散播病毒,所以他的惡意程式被稱為AIDS Trojan。
在1989年互聯網仍未普及,Popp使用了高原創性的散播方法,他取得了訂閱WHO AIDS和PC Business World雜誌的郵件清單,然後向受害者寄出貼上愛滋病介紹資料磁盤的磁碟,並附有詳盡的安裝指示,許可協議更列明安裝程式,使用者同意向公司支付$378,但有幾多人會觀看許可協議?
事實上該安裝工具會把惡意程式傳到硬盤,在經過數次系統重開後AIDS Trojan便會開始活動,對C:內的檔案名稱進行加密(包括副檔名),檔案名稱會變成一堆隨機字符,令他們無法正常地打開。
同時間惡意程式會在螢幕上顯示訊息,表示軟件已過試用期,用戶需要支付訂閱費$189一年或$378終生使用,金錢會轉帳到巴拿馬的一個帳號。
此惡意程式使用了對稱加密,所以復原檔案的金鑰就藏在編碼之內,因此很容易解決問題,只要取得金鑰、刪除惡意程式,和使用金鑰復原檔案名稱。在1990年Virus Bulletin的編輯顧問Jim Bates製作了AIDSOUT和CLEARAID程式去完成有關動作。
Joseph Popp最終被捕,但法庭發現他精神不適合受審,而他在10年後出版了一本書Popular Evolution: Life-Lessons from Anthropology。
1995-2004:Young、Yung和未來的勒索程式
可能因為AIDS Trojan未能為製作者帶來財富,當時以加密進行勒索並未成功「帶起熱潮」,而有趣的是,它在1995年的科學界中回歸。密碼學家Adam L. Young和Moti Yung著手研究最強力的電腦病毒會是甚麼模樣,然後他們想出使用非對稱加密的勒索程式這個概念。
替代使用一條會放入程式編碼之中,用作加密的金鑰,他們的模型使用兩條金鑰,一條公眾;一條私人,達到解密金鑰保密的效果。此外,他們假設受害者會支透過電子貨幣支付贖金,而當時並未存在。
這兩位網絡安全先知在1996年IEEE Security and Privacy Conference上展示他們的想法,但他們並沒有受到好評。然後在2004年出版的Malicious Cryptography: Exposing Cryptovirology一書上,Yong和Yung二人系統化了他們的研究成果。
2007 – 2010:遮蔽工具的黃金年代
當加密勒索工具還未興起之前,世界上出現了另一種勒索程式:遮蔽工具(Blocker)。這是一種相對原始的惡意程式,以從Windows啟動開始使自動增加視窗以影響操作系統正常運作的方式進行,而為免被刪除,很多都封鎖了Registry編輯器和Task Manager。
這種惡意程式使用各式各樣的方法干援用戶使用他們的電腦,由使用無法關閉的視窗以至更改桌面牆紙,而付費的方法是向一個繳費號碼發送短訊。
解決遮蔽工具勒索程式通常無需要防毒軟件,而是需要用戶具備一點知識,要手動移除惡意程式,從Live或救援光碟開機,進入安全模式或使用不同的帳號登入Windows。不過編寫這種木馬程式相當易,甚至有自動生產器出現。
有時候惡意程式會把色情廣告放在桌面然後指受害者瀏覽禁止的內容(這招式現今仍被使用),由於勒金價錢的要求相對能夠支付,所以不少人選擇息事寧人支付贖金。
2010:加密勒索程式以非對稱加密
在2011年,加密勒索程式的開發者採取更進一步的方法,正如Young和Yung所預料,開始使用非對稱加密方式,例如GpCode加密工具的修改版本,就正是以RSA加密法為基礎。
2013:加密封鎖混合勒索
2013年底出現了結合了封鎖工具和加密惡意程式的混合式勒索軟件,這概念增加了網絡犯罪份子獲得金錢的機會,因為即使移除了惡意程式和遮蔽,受害者仍無法復原受影響的檔案。其中最惡名昭彰混合勒索程式就是CryptoLocker,這個惡意程式以濫發電郵的形式散播,而幕後的網絡犯罪份子則接受Bitcoin支付贖金。
2015:加密工具取代遮蔽工具
於2015年,Kaspersky觀察到滾雪球式的加密惡意程式感染數字,總數高達5.5倍,顯示加密工具開始取代遮蔽工具。加密工具的掘起有以下幾個原因,首先用戶的資料明顯比系統檔案和應用程式有價值,因為後者通常可以重新安裝,通過加密,網絡犯罪份子可以要求更高價錢的贖金,而且更大機會取得付款。
其次是在2015年,加密貨幣廣泛被用作匿名匯款,所以攻擊者無需擔心被追蹤,Bitcoin和其他加密貨幣令收取大額贖金而不會被追蹤變成可能。
2016:大規模勒索
勒索程式在網絡安全的被重視程度日益增長,2016年看到勒索程式的修改數量增長高達11倍,平均贖金由0.5至數百Bitcoin不等,攻擊目標由個人轉移至商業界別,逐漸形成了新的犯罪行業。
網絡犯罪份子無需自己開發惡意程式,他們只需要在上面上購買,例如終身使用權的Stampado勒索程式,該惡意程式威脅會在一段時間後隨機刪除檔案,以威嚇用反支付贖金。
勒索程式大量湧現的另一個原因是因為RaaS (Ransomware-as-a-Service)模式,隨之而出現加密工具服務(Encryptor RaaS)一詞,這個模式讓勒索程式散播得更廣泛。
除了個人和商業機構以外,勒索者也開始瞄準政府和市政機構,HDDCryptor成功感染超過2000部三藩市市政運輸局的電腦,網絡犯罪份子要求100個Bitcooin(市值大約7萬美元)作為復原系統的贖金,但當局成功憑自己的力量解決問題。
2016 – 2017:Petya、NotPetya和WannaCry
在2016年4月,被稱為Petya的新型惡意程式出現,過往的加密勒索會保留操作系統讓受害者支付贖金,但Petya則完全把受感染裝置變「磚」,它針對MFT (Master File Table),儲存整個硬盤上檔案和資料夾架構的數據庫。
雖然極具破壞性,但它的滲透和傳播機制卻相當粗糙,要啟動惡意程式,受害者需要手動下載和執行執行檔,大大降低感染的機會。事實上,如果沒有其他勒索軟件的話可能沒有太大作為,其名字是WannaCry。
在2017年5月,WannaCry感染了全球超過50萬裝置,導致40億美元損失。它通過EternalBlue – Windows內其中一個最危險的安全漏洞,木馬程式滲透網絡並安裝WannaCry在受害者電腦內,然後惡意程式會繼續向本土網絡其他裝置擴散。在被感染的系統內,WannaCry把檔案加密然後索取贖金。
在WannaCry大爆發後不夠2個月,另一款加密工具出現,同樣自EternalBlue修改而成,那就是NotPetya (又稱ExPetr),NotPetya的破壞將會吞噬整個硬盤。此外,被NotPetya加密的檔案即使在支付贖金後,程式也可以拒絕解密,結果專家判定它為清除工具(Wiper),NotPetya做成的總損失超過10億美元。
WannaCry的災難迫使Microsoft迅速為已終止支援的操作系統提供補丁,而支援的系統補丁其實早已推出,但並非所有人都已安裝,讓這兩款勒索程式存在了一段長時間。
2017:解密費用100萬美元
2017年錄得了因為勒索程式的前所未有損失,成為最大單一機構勒索的個案,南韓網絡寄存公司Nayana同意支付100萬美元贖金(從原價下降4.5倍),去解封被Erebus加密工具影響的電腦。讓專家們最驚訝的是公司決定公開宣佈支付贖金,因為大部份受害者都選擇不張揚這類動作。
2018 – 2019:對社區的威脅
在過去幾年有大型勒索對公共事業和社區設施發動攻擊,交通、水務、能源和康健設施的風險持續增加,網絡犯罪份子也認為他們會支付贖金,因為大額贖金的另一面,是數以百萬計人士受影響。
在2018年英國機場Bristol受到加密勒索攻擊,影響航班螢幕顯示足足兩天,職員回到使用白板操作,而機場的處理也十分迅速和有效率,在沒有支付贖金情況下,沒有航班受事件影響而取消。
美國的Hancock Health在受到SamSam勒索攻擊其系統後,支付了4 Bitcoin (約市值55000美元)贖金,CEO在解釋支付贖金的原因時提到雪暴的來臨和記錄中最惡劣的流感季節,該醫療設施沒有時間自行復原受影響的電腦。
在2019年內,總數超過170家美國市政機構成為勒索程式的受害者,索取贖金高達500萬美元,由於這些機構更新操作系統相對困難,所以網絡犯罪份子通常使用較容易入手的舊安全漏洞發動攻擊。
2020:提升規模和資料外洩
除了感染規模不斷擴大,後果和贖金增加以外,2020年令人記憶最深刻的是出現新的混合型勒索程式,在加密數據之前會把它傳到網絡犯罪份子的手上,然後威脅向競爭對手洩露資料或把資料公開,令對個人資料超級敏感的這個年代,對企機帶來致命打擊。這種策略由黑客組織Maze最先於2019年採用,但在2020年成為了真正的趨勢。
2020年最高金額的事故應該是Transform Hospital Group,黑客組織REvil加密和盜取900GB公司的數據,包括病人手術前後的照片,而攻擊者也威脅把照片公開。另外,幕後的操作員也採取了一系列新策略,例如開始拍賣盜取的資料,網絡犯罪份子也聯合起來像一個合作社機構,最初是公開由LockBit加密工具盜取資料的Maze,他們與LockBit緊密合作,為資料外洩提供平台和分享他們的知識。而其他組織也即將加盟,例如RagnarLocker,對受害者資源發動DDoS攻擊,加強對目標公司的壓力。
總結
經歷了30年時間,勒索程式由相對無傷害的玩具進化成所有平或,尤其商業機構的嚴重威脅,要防範攻擊可以參考幾條資安守則,如果不幸被黑客成功手,尋求專家的協助而並非答應網絡犯罪份子的贖金要求。
資料來源:Kaspersky Blog
