勒索軟體不賺錢，黑客換了4種姿勢

最近，雷鋒網看到了好幾則關於勒索軟體（病毒）的消息，一是火絨說，國內勒索病毒疫情嚴重，每日十多萬台電腦被感染。

好像很可怕的樣子。。。

然後，騰訊和360說，他們發現了一款奇葩的勒索病毒，用戶中招之後其電腦文件被加密，卻無需繳納數字貨幣贖金，而是被要求玩 1 小時的吃雞遊戲，之後被加密的文件將自動解鎖。

咦，等等，畫風有點不對，說好的「以牟利為出發點」呢？現在，黑客都有閒情逸緻干這個了？

偶然間，雷鋒網向一位做過市場調查的安全研究員諮詢「勒索病毒這麼多，損失是不是很大」時，對方愣了一下，實誠地跟我說：「雖然勒索病毒這麼多，你聽說過很多成功付款的案例嗎？」

。。。。編輯陷入了深深的思考中。

直到 4 月 12 日，編輯去了賽門鐵克的《互聯網安全威脅報告》發布會，他們提到的趨勢與觀點竟與上述安全研究員的結論類似，我才發現，很多事情原來就是從黑客靠「純勒索」賺不到錢開始的。。。

**這是為了賺錢，黑客喪心病狂轉變的分界線**

如果你對之前的「純勒索」稍微有點了解，就會發現黑客大概率是要求以比特幣形式支付贖金的，過去一年，加密貨幣價值激增，「純勒索」生意不景氣怎麼辦？

黑客的選擇

加密貨幣劫持攻擊——「淘金」

2017年，在全球終端計算機上所檢測到的惡意挖礦程序暴增 8500 %。在加密貨幣挖礦攻擊中，中國在亞太區排名第13位，全球排名第40位。

即便是 Mac 電腦也未能倖免此類攻擊，針對 Mac 操作系統的挖幣攻擊增長了 80 %。這是由於通過利用基於瀏覽器的攻擊手段，攻擊者無需將惡意軟體下載到受害者的 Mac 或個人電腦上，便能輕鬆發動網路攻擊。

哦，對了，挖比特幣划不來，大家又瞅准了更隱蔽的門羅幣。。。

這其中，三分之二的受害者是個人消費者，但針對企業的攻擊也在逐漸增加。

賽門鐵克大中華區首席運營官羅少輝預測，加密貨幣劫持有三個趨勢：

殭屍網路

將企業作為目標

雲端劫持

為什麼是這三種趨勢？

當然是為了賺更多的錢。

第一，利用已經感染惡意軟體的計算機與物聯網設備所組成的傳統殭屍網路或基於瀏覽器的網頁惡意挖礦程序，進行分散式挖礦，這意味著黑客能建立更大的挖礦規模，並且統一、快速找到更多的「礦工」。

第二，對企業進行攻擊，可以得到伺服器與超級計算機的控制權，擁有更強的運算能力。

第三，雲服務為高強度挖礦提供了可能性。

出於多種原因，針對性攻擊組織同樣對勒索軟體產生興趣，他們或將利用勒索軟體提升外幣價值，又或利用虛假勒索軟體，為其他攻擊進行掩護。

我們來看看其中的典型代表：

KillDisk

KillDisk 是由一個叫「TeleBots」的團伙開發，該團體也開發了同名的後門木馬，並為 2016 年破壞烏克蘭公司的網路攻擊負責。除此之外，烏克蘭銀行也被使用包含該木馬的惡意電子郵件攻擊。

點評：KillDisk 是針對性攻擊的完美掩蓋，勒索軟體攻擊非常常見，並且不容易引起懷疑；加密或格式化計算機能夠為入侵系統打掩護。

WannaCry

WannaCry 勒索病毒全球大爆發，至少150個國家、30萬名用戶中招，造成損失達80億美元，已經影響到金融，能源，醫療等眾多行業，造成嚴重的危機管理問題。中國部分Windows操作系統用戶遭受感染，校園網用戶首當其衝，受害嚴重，大量實驗室數據和畢業設計被鎖定加密。部分大型企業的應用系統和資料庫文件被加密後，無法正常工作，影響巨大。

點評：財政困難政府的外幣來源。

NotPetya

NotPetya 是源自類似 Petya 的全新形式勒索病毒，可以將硬碟整個加密和鎖死，從內存或者本地文件系統里提取密碼。此前，歐洲再度爆發大規模網路安全事件，包括全球最大的廣告公司WPP在內的歐洲企業以及烏克蘭基輔機場的網路系統受到攻擊，陷入癱瘓，相關用戶被要求支付300美元的加密式數字貨幣以解鎖電腦。

點評：利用勒索軟體作為偽裝，掩飾真正的破壞性攻擊行為。

2016年，勒索軟體的豐厚利潤讓無數攻擊者趨之若鶩，市場一度飽和。於是，頗具商業頭腦的黑客就開始調整勒索軟體市場，將勒索軟體作為「商品」出售。

前不久，雷鋒網宅客頻道還報道過，某組織在世界範圍內進行了一個PIP軟體倉庫的實驗，，不需要其他投入，只要一個免費的郵箱，一台能連上互聯網的機器，就能對程序員進行這場網路安全的測試。

普通的程序員要用一些工具去做××軟體，可能會先查詢一下，程序員是非常單純的，比如，他可能要個pip install zlib，但是事實上這個東東的正經名字叫做zlib3，很多程序員敲的時候，沒有意識到，就敲了zlib 開始搜索。所以，XXXX就在 python pip 源上傳「惡意測試」包 zlib，總數約 20 個。

然後實驗者就開始等待了……

100 天之內這場測試獲得了全球X0000台主機的控制權，其中XX000台是最高許可權。

還好只是一次實驗。

但事實上，2017 年植入軟體供應鏈的惡意軟體攻擊出現了 200 %的增長，與2016年平均每月發生4次攻擊相比，相當於2017年每個月都發生1次攻擊。

通過劫持軟體更新鏈，攻擊者以此為攻破口，破壞防衛森嚴的網路。Petya勒索軟體的爆發成為軟體供應鏈攻擊的典型案例。Petya 攻擊以烏克蘭的財務軟體作為切入點，通過使用多種方式在企業網路中進行大肆傳播，部署惡意載荷。

宅客頻道註：上述結論部分出自《互聯網安全威脅報告》。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！