勒索軟件不賺錢，黑客換了4種姿勢

最近，雷鋒網看到了好幾則關于勒索軟件（病毒）的消息，一是火絨說，國內勒索病毒疫情嚴重，每日十多萬臺電腦被感染。

好像很可怕的樣子。。。

然后，騰訊和360說，他們發現了一款奇葩的勒索病毒，用戶中招之后其電腦文件被加密，卻無需繳納數字貨幣贖金，而是被要求玩 1 小時的吃雞游戲，之后被加密的文件將自動解鎖。

咦，等等，畫風有點不對，說好的“以牟利為出發點”呢？現在，黑客都有閑情逸致干這個了？

偶然間，雷鋒網向一位做過市場調查的安全研究員咨詢“勒索病毒這么多，損失是不是很大”時，對方愣了一下，實誠地跟我說：“雖然勒索病毒這么多，你聽說過很多成功付款的案例嗎？”

。。。。編輯陷入了深深的思考中。

直到 4 月 12 日，編輯去了賽門鐵克的《互聯網安全威脅報告》發布會，他們提到的趨勢與觀點竟與上述安全研究員的結論類似，我才發現，很多事情原來就是從黑客靠“純勒索”賺不到錢開始的。。。

**這是為了賺錢，黑客喪心病狂轉變的分界線**

1.賺不到錢沒關系，加密貨幣劫持攻擊走起

如果你對之前的“純勒索”稍微有點了解，就會發現黑客大概率是要求以比特幣形式支付贖金的，過去一年，加密貨幣價值激增，“純勒索”生意不景氣怎么辦？

黑客的選擇

加密貨幣劫持攻擊——“淘金”

2017年，在全球終端計算機上所檢測到的惡意挖礦程序暴增 8500 %。在加密貨幣挖礦攻擊中，中國在亞太區排名第13位，全球排名第40位。

即便是 Mac 電腦也未能幸免此類攻擊，針對 Mac 操作系統的挖幣攻擊增長了 80 %。這是由于通過利用基于瀏覽器的攻擊手段，攻擊者無需將惡意軟件下載到受害者的 Mac 或個人電腦上，便能輕松發動網絡攻擊。

哦，對了，挖比特幣劃不來，大家又瞅準了更隱蔽的門羅幣。。。

這其中，三分之二的受害者是個人消費者，但針對企業的攻擊也在逐漸增加。

賽門鐵克大中華區首席運營官羅少輝預測，加密貨幣劫持有三個趨勢：

僵尸網絡

將企業作為目標

云端劫持

為什么是這三種趨勢？

當然是為了賺更多的錢。

第一，利用已經感染惡意軟件的計算機與物聯網設備所組成的傳統僵尸網絡或基于瀏覽器的網頁惡意挖礦程序，進行分布式挖礦，這意味著黑客能建立更大的挖礦規模，并且統一、快速找到更多的“礦工”。

第二，對企業進行攻擊，可以得到服務器與超級計算機的控制權，擁有更強的運算能力。

第三，云服務為高強度挖礦提供了可能性。

2.用勒索攻擊做幌子，其實搞的是針對性攻擊

出于多種原因，針對性攻擊組織同樣對勒索軟件產生興趣，他們或將利用勒索軟件提升外幣價值，又或利用虛假勒索軟件，為其他攻擊進行掩護。

我們來看看其中的典型代表：

KillDisk

KillDisk 是由一個叫「TeleBots」的團伙開發，該團體也開發了同名的后門木馬，并為 2016 年破壞烏克蘭公司的網絡攻擊負責。除此之外，烏克蘭銀行也被使用包含該木馬的惡意電子郵件攻擊。

點評：KillDisk 是針對性攻擊的完美掩蓋，勒索軟件攻擊非常常見，并且不容易引起懷疑；加密或格式化計算機能夠為入侵系統打掩護。

WannaCry 

WannaCry 勒索病毒全球大爆發，至少150個國家、30萬名用戶中招，造成損失達80億美元，已經影響到金融，能源，醫療等眾多行業，造成嚴重的危機管理問題。中國部分Windows操作系統用戶遭受感染，校園網用戶首當其沖，受害嚴重，大量實驗室數據和畢業設計被鎖定加密。部分大型企業的應用系統和數據庫文件被加密后，無法正常工作，影響巨大。

點評：財政困難政府的外幣來源。

NotPetya

NotPetya 是源自類似 Petya 的全新形式勒索病毒，可以將硬盤整個加密和鎖死，從內存或者本地文件系統里提取密碼。此前，歐洲再度爆發大規模網絡安全事件，包括全球最大的廣告公司WPP在內的歐洲企業以及烏克蘭基輔機場的網絡系統受到攻擊，陷入癱瘓，相關用戶被要求支付300美元的加密式數字貨幣以解鎖電腦。

點評：利用勒索軟件作為偽裝，掩飾真正的破壞性攻擊行為。

3.勒索軟件成為“商品”

2016年，勒索軟件的豐厚利潤讓無數攻擊者趨之若鶩，市場一度飽和。于是，頗具商業頭腦的黑客就開始調整勒索軟件市場，將勒索軟件作為“商品”出售。

4.植入式惡意軟件增長 200 %，黑客轉向軟件供應鏈

前不久，雷鋒網宅客頻道還報道過，某組織在世界范圍內進行了一個PIP軟件倉庫的實驗，，不需要其他投入，只要一個免費的郵箱，一臺能連上互聯網的機器，就能對程序員進行這場網絡安全的測試。

普通的程序員要用一些工具去做××軟件，可能會先查詢一下，程序員是非常單純的，比如，他可能要個pip install zlib，但是事實上這個東東的正經名字叫做zlib3，很多程序員敲的時候，沒有意識到，就敲了zlib 開始搜索。所以，XXXX就在 python pip 源上傳“惡意測試”包 zlib，總數約 20 個。

然后實驗者就開始等待了……

100 天之內這場測試獲得了全球X0000臺主機的控制權，其中XX000臺是最高權限。

還好只是一次實驗。

但事實上，2017 年植入軟件供應鏈的惡意軟件攻擊出現了 200 %的增長，與2016年平均每月發生4次攻擊相比，相當于2017年每個月都發生1次攻擊。

通過劫持軟件更新鏈，攻擊者以此為攻破口，破壞防衛森嚴的網絡。Petya勒索軟件的爆發成為軟件供應鏈攻擊的典型案例。Petya 攻擊以烏克蘭的財務軟件作為切入點，通過使用多種方式在企業網絡中進行大肆傳播，部署惡意載荷。

宅客頻道注：上述結論部分出自《互聯網安全威脅報告》。

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。