勒索软件攻击源自何处：全球三大起源

BTW Media 将“勒索软件攻击源自何处：全球三大起源”作为专题进行追踪，因为已发布的证据将其与互联网基础设施、治理、运营依赖性或市场可见性联系起来。

• 2024 年按行业划分的勒索软件五大目标包括教育、建筑和房地产、中央和联邦政府、媒体、娱乐和休闲，以及地方和州政府。
• 新型勒索软件毒株的三大起源是国家支持的行为者、犯罪组织，以及不总是深思熟虑的安全研究人员。
• 供应链攻击、三重勒索和勒索软件即服务（RaaS）是近年来勒索软件的主要趋势。

尽管勒索软件并非全新的网络安全风险，但全球主要政府仍在密切关注这一威胁。人们购买食品、加油和获得医疗保健的能力已受到勒索软件的影响。

近年来，勒索软件的金融影响也变得更加明显。针对供应链的攻击造成的损害比针对个人的攻击更广泛。为了减缓勒索软件攻击的蔓延，政府和科技公司也加大了应对力度。

勒索软件攻击的历史

勒索软件可以追溯到1989 年，当时“艾滋病病毒”被用来向勒索软件接收者勒索资金。那次攻击的付款被邮寄到巴拿马，然后解密密钥被发回给用户。

1996 年，哥伦比亚大学的 Moti Yung 和 Adam Young 引入了被称为“加密病毒勒索”的勒索软件。这一源于学术界的想法展示了现代密码学工具的演进、强度和创造。Young 和 Yung 在 1996 年 IEEE 安全与隐私会议上展示了第一次加密病毒学攻击。他们的病毒包含攻击者的公钥并加密了受害者的文件。然后，该恶意软件提示受害者将非对称密文发送给攻击者，以解密并返回解密密钥——需付费。

相关阅读：自动驾驶汽车如何工作？

目标行业

勒索软件攻击通常针对关键任务的机构和组织，如医疗保健、金融、制造业和政府机构。在某些情况下，勒索软件攻击除了其他影响外，还会导致医疗机构的死亡率上升。由于制造业包括各种生产类型，如金属制品、汽车和工业设备，它也是勒索软件高度针对的领域。金融机构也时常成为目标。在这种情况下，攻击者仍意图窃取资金和大量敏感用户数据。根据Camparitech的统计，截至 2024 年 5 月，共有 4013 起追踪事件，平均赎金为 408,044 美元。以下是 2024 年按行业划分的勒索软件五大目标：教育、建筑和房地产、中央和联邦政府、媒体、娱乐和休闲，以及地方和州政府。

大多数勒索软件攻击来自何处

大多数勒索软件并非由个人传播；相反，某些恶意团体开发、改进并分发勒索软件。根据微软数字防御报告，这些团体中足足有一半来自俄罗斯。伊朗和朝鲜是其他常见的勒索软件团体温床，而美国是最常见的攻击目标。

了解新型勒索软件毒株的常见起源有助于组织防御攻击。它们是：国家支持的行为者、犯罪组织，以及不总是深思熟虑的安全研究人员。

1. 国家支持的行为者

在这种情况下，恶意行为者从政府机构获得资金、技术和其他形式的支持，以创建新的勒索软件威胁。这些行为者随后使用勒索软件发动攻击，以推进该政府机构的利益。由于政府机构本身并未发起攻击，它可以试图利用这一事实进行似是而非的否认，从而在另一个国家想要报复时提高政治成本。

2021 年 5 月，The Hacker News报道称，安全研究人员发现了一场由伊朗伊斯兰革命卫队（IRGC）运营的国家支持的勒索软件活动。那些发现该活动的人怀疑 IRGC 将其用作一种掩护手段，模仿以经济利益为动机的勒索软件团体的战术、技术和程序（TTPs），以使归属更难确定。

2. 数字犯罪组织

并非每个勒索软件运营都得到政府机构的直接支持。但支持可以多种形式出现。正如Threatpost所指出的，这些“私营掠食者”在享受政府机构某些保护的同时，按照自己的财务议程行事。

根据《华盛顿邮报》报道，REvil 的开发者似乎位于俄罗斯，这个国家历来对在其境内活动的数字犯罪集团视而不见。勒索软件的创建者利用这种保护形成了 RaaS 计划，他们从中抽取 20-30%的赎金，其余部分由附属机构获取，用于执行攻击、窃取数据并引爆加密恶意软件。通过这种安排，REvil 团伙在两年内赚了 1 亿美元。

3. 不深思熟虑的安全研究人员

多年来，安全研究人员有时会出于“教育目的”开发类似勒索软件的程序。Hidden Tear就是这样一个例子。在 2015 年 8 月它出现时，其创建者警告用户“不要将其用作勒索软件”，并澄清说他们“即使你无辜，仅仅因为运行 hidden tears 也会因妨碍司法公正而入狱”。

相关阅读：Jeff Weiner 是谁？领英前 CEO 体现“富有同情心的管理”

将在 2024 年持续的勒索软件趋势

近几年出现了一些关键勒索软件趋势，这些趋势很可能持续到 2024 年及以后。以下是近年来勒索软件的一些主要趋势：

供应链攻击：供应链攻击不是攻击单一的受害者，而是扩大了影响范围。一个例子是 Progress software 的Moveit Transfer 软件中的漏洞，该漏洞导致 Clop 勒索软件团伙发动了大规模勒索软件攻击。过去几年中发生了多起此类事件，包括影响到至少 1500 家管理服务提供商客户的Kaseya 攻击，以及SolarWinds 黑客事件。

三重勒索：过去，勒索软件是指攻击者加密系统上的信息，然后要求赎金以换取解密密钥。而在双重勒索中，攻击者还会将数据窃取到另一个位置。在三重勒索勒索软件中，攻击者还威胁除非付款，否则将泄露数据。包括 Vice Society 在对旧金山湾区快速交通系统的攻击中使用了三重勒索。

勒索软件即服务（RaaS）：每个攻击者都必须编写自己的勒索软件代码并执行一系列独特活动的日子已经一去不复返了。RaaS 是按使用付费的恶意软件。它让攻击者使用一个平台，该平台提供必要的勒索软件代码和运营基础设施，以启动和维持勒索软件活动。

勒索软件是一种恶意软件，可以加密您的所有数据或将您锁定在计算机之外。勒索软件也不会很快消失。勒索软件可能会以几种不同的方式继续演进。防御勒索软件的最佳方法是识别并避免网络钓鱼尝试，在计算机上安装防病毒软件，并备份所有文件。