心靈捕手:勒索軟體是如何運用心理戰術達到攻擊目的?
對於用戶來說,勒索軟體是網路攻擊者使用的最可怕的一種武器。據估計,僅在美國,因勒索軟體造成的損失就達到了75億美元,而在加拿大,因勒索軟體造成的損失就也達到了23億美元,毫無疑問,全球都能感受到勒索軟體的存在,而造成的損失更是難以估量。
但除了直接和間接的經濟損失外,勒索軟體還運用了深層的心理犯罪機制來攫取最大利益,這讓它區別於其他形式的網路攻擊。與其他所有類型的惡意軟體相比,勒索軟體在發起攻擊時並不會隱藏其活動,而是向受害者說明他們已經被攻擊,並強迫受害者採取行動(比如支付贖金)。
勒索軟體在攻擊時準確地利用了受害人的恐懼、認知、是否交贖金的動機和被鎖定的資料價值,這些因素都會隨著時間的流逝而發生變化,比如有的受害者據直接選擇不付贖金,也有受害人會選擇安全商,進行異地備份並創建解密器。在本文中,我們將探討勒索軟體的攻擊者所使用的心理機制是如何隨著時間而發展的,從而攫取最大利益。
使用勒索軟體的攻擊者要發起心理攻擊需要具備什麼條件?
勒索軟體的基本功能包括初始感染、快速加密和受害者通知,在這種情況下,受害者被告知他們失去了訪問數據的許可權,為了訪問這些數據,受害者必須支付贖金。從心理上講,罪犯如果要達成目的,需要確保的是:
1. 勒索軟體鎖定的是受害者的關鍵數據,且短期內不可破解;
2. 對受害者施加影響,讓受害者覺得支付贖金是他們唯一可行的選擇;
3. 營造緊迫感:為了最大程度地提高利潤,支付贖金的速度至關重要,以免出現破解軟體。
自從1989年第一個勒索軟體出現以來,索取贖金的方法就在不斷的「試驗和錯誤」中不斷演變,試圖最大限度地提高利潤,減少相關的風險。
早期勒索軟體索取贖金的方法
第一款勒索軟體出現於1989年,哈佛大學畢業的Joseph L.Popp創建,名為「艾滋病信息木馬」(AIDS Trojan)。這款勒索軟體使用對稱加密,解密工具沒花多少時間就修復了文件名,但這一舉動激發了隨後近乎30年的勒索軟體工具。據 Popp 本人回憶,1989 年,他設計勒索軟體的初衷是為了抗擊艾滋病。為了募集抗艾資金,他弄巧成拙,給世界衛生組織論壇的與會代表發送了 20,000 份病毒加密磁碟。當代表們運行磁碟文件時,電腦被凍結,屏幕信息要求匯錢之後才能打開磁碟,取回電腦里的文件。當時,受害者一旦執行惡意軟體,該惡意軟體就會隱藏文件目錄,如果受害者希望解密數據,則需要支付189美元。有報道稱,一些醫療機構在遭到AIDS Trojan攻擊後,長達10年的研究資料瞬間化為烏有。
像現在的許多勒索軟體一樣,Popp當時也使用了多種通知受害者的方式,並嚇唬和恐嚇受害者:
目前勒索軟體索取贖金的方法
勒索軟體在經歷了許多年之後才開始流行,並開始採用其他心理機制。首先被引入的是一種計時器,它倒計時到不久的將來的某一時刻(例如,從感染開始的48小時內),之後文件將被刪除,並且完全無法恢復,不管受害者隨後是否想要支付贖金。
其實這種倒計時心理機制在營銷界已被廣泛運用,其目的就是用於營造緊迫感。但是,這種營造的緊迫感往往也會給攻擊者自己挖坑,比如許多勒索軟體受害者無法在給定的時間內付款,或者因為受害者不知道在這期間該怎麼做,或者因和攻擊者溝通而浪費了截止日期,以致他們中的許多人錯過了截止日期,迫使攻擊者執行刪除文件或鎖定文件的操作。如上所述,雖然倒數計時方法有助於達成攻擊的成功率,但對攻擊者來說也有不利的一面:就最大限度地攫取利潤而言,這並不是很有效,往往無法收取到贖金。現在,新形式的勒索軟體現在常常試圖通過提供更低的贖金價格來激勵受害者,只要受害者支付贖金的速度快,則所交的贖金也越少,反之時間耗的越長,則交的贖金越多。
使用令人害怕的聲音和圖像來嚇唬受害者
雖然利用倒計時和贖金數量會促使受害者採取行動,但使用令人害怕的聲音和圖像來嚇唬受害者也是攻擊者使用的重要手段。因為融合了恐怖的視覺效果和令人震驚的聲音,會增加攻擊效果和贖金的收回概率。
對比其他勒索軟體,Cerber勒索軟體增加了新的功能。首先,Cerber通過電子郵件附件的形式進入受害者計算機。一旦被打開,就像其他勒索軟體一樣加密文件並向受害者索要贖金。同時,它會進一步確認計算機聯網狀態,並將受感染的計算機用於其他目的。例如,實施分散式拒絕服務攻擊或作為垃圾郵件程序使用。
Cerber因為其獨特的贖金索要通知方式而著稱。多數勒索軟體通過文字訊息索要贖金,而Cerber卻獨樹一幟,通過語音通知受害人。Cerber勒索軟體使用VBScript播放音頻消息,並反覆聲明「注意!你的文檔、照片、資料庫和其他重要文件已加密!」。
在上圖所示的Cerber贖金說明的底部,請注意拉丁文的格言,「默默地向我報價」,翻譯成更熟悉的「不會殺死我的東西,會使我變得更堅強」。攻擊者為什麼選擇包含這種堅毅的格言仍然是一個謎。
但是就確保和加快付款速度而言,這種恐嚇方法的結果尚無定論。要深入研究勒索軟體啟動畫面中使用的心理機制,請參閱此文。
同理心策略
當威脅和恐嚇技術不足以促使人們採取行動或至少不夠快時,勒索軟體攻擊者便改變了他們的心理策略。勒索軟體的最新示例採用了多種方法,從最初表現出的更大的侵略性(旨在說服人們全額支付而不是進行談判)到現在充滿同情心的「軟銷售」。
表現出的更大的侵略性的一個很好的例子是Megacotex的贖金記錄,它警告受害者不要試圖發送部分付款或協商折扣,否則他們將再也看不到他們的數據。2019年5月,發,一種名為MegaCortex的新勒索軟體被發現,根據當時的監測情況,MegaCortex已在美國、加拿大等多地區傳播,該病毒攻擊目標為大型企業,其通過域控伺服器下發勒索病毒。
不過勒索軟體的開發者也明白,不同的受害者可能需要不同的心理攻擊機制,因此他們會選擇同理心已達到目的。例如,Snake勒索軟體試圖以合理的方式提醒受害者,並以問答的形式和令人放心的語言表示關注,例如「別擔心」和「你可以立即啟動並運行」。2020年,出現了一款新的勒索軟體Snake(也被稱為EKANS,是「snake單詞」從後往前的字母組成)。EKANS的主要目標是工業控制系統(ICS)環境,針對的不是單個設備,而是整個網路,它能夠終止與工業控制系統(ICS)操作相關的許多流程應用程序。EKANS是一種用Go編程語言編寫的混淆勒索軟體變體,於2019年12月下旬首次在商業惡意軟體存儲庫中觀察到。它旨在終止受影響計算機上的特定進程,包括與ICS操作相關的多個項,以及刪除卷影副本以消除Windows備份。
值得注意的是,攻擊者的贖金手段已經從原來的暴力恐嚇轉向了更為「人性」的同理心策略,比如「如果你有興趣購買……」。
流氓手段
在2013年或2014年前後的某個時候,一些更有組織的攻擊者開始在加密之前悄悄竊取受害者的數據。Cerber勒索軟體可能就是其中之一,但最近,我們發現直接使用被竊取的數據作為強制支付贖金的手段的趨勢越來越明顯。這項技術最初可能被Maze勒索軟體使用,現在也被DoppelPaymer(BitPaymer勒索軟體的一類新變種,自2019年6月以來,DoppelPaymer涉及了一系列惡意勒索活動,其中就包括美國德克薩斯州埃德庫奇市和智利的農業部的襲擊事件。)、Sodinokibi(自2019年4月被發現以來,Sodinokibi開始被大量使用,並迅速出現許多變體。)和Nemty(NEMTY勒索病毒是一款新型流行勒索病毒,首次發現於2019年8月21號)利用。這一新的轉變包括建立一個可公開訪問的網站,暴露不合作的受害者的數據。
如果受害者不支付贖金,攻擊者就威脅公布他們的敏感數據,這種技術其實會打擊受害者支付贖金的積極性,從而使情況變得更加糟糕。因為受害者認為,即使支付了贖金,他們的數據也會被暴露。
人身威脅:不要贖金只要裸照
最後但並非最不重要的一點是,在某些情況下可能是最危險的,最近的一個變體將勒索軟體與色情行為結合在一起,並要求使用裸照而不是比特幣來支付贖金。該惡意軟體顯示一條消息,要求受害者將裸照發送到特定的電子郵件地址以恢復其文件。比如2017年出現的「nRansomware」勒索軟體需發送最少10張裸照給他們,而黑客還會核查裸照是否屬於受害者本人,只有審核通過後黑客才會給受害者解鎖密碼。而受害者發送給黑客的裸照,則會在Deep Web深網上出售。
總結
網路攻擊,特別是以勒索軟體為代表,已經由原來的單純物理攻擊轉向了心理攻擊,這種攻擊影響是深遠的,已經等同於犯罪。對於許多受害者而言,這會導致憂慮、痛苦、難以置信和無助感。通常,那些經歷過此類網路攻擊的受害者說,這種影響會持續好幾個月。不幸的是,運用心理攻擊展開攻擊將是勒索軟體未來繼續使用的手段。
參考及來源:https://www.sentinelone.com/blog/mind-games-the-evolving-psychology-of-ransom-notes/
