勒索软件变得越来越复杂和有效,使其难以检测和预防。通常用于支付赎金的加密货币的可用性,以及它们为攻击者提供的匿名性,也使得恶意行为者更容易参与勒索软件攻击。根据 AAG 的一篇文章,到2022 年,勒索软件约占所有网络犯罪的 20%。
网络犯罪分子通常使用社会工程策略来诱骗用户下载和打开恶意文件或链接,这些文件或链接通常伪装成无害或可取的东西。一旦恶意文件被下载并打开,勒索软件就会在网络中快速传播,加密数据并使用户无法访问。此外,勒索软件可以通过漏洞利用工具包传播,这些工具包是扫描易受攻击系统并将恶意代码注入其中的自动化工具。
勒索软件如何传播
以下是勒索软件传播的一些主要方式;
社会工程学/网络钓鱼
网络钓鱼是勒索软件最常见的入口点。攻击者会试图引诱毫无戒心的受害者下载恶意文件、点击恶意链接,甚至交出凭据。攻击者还可以使用社交媒体通过向朋友、家人和熟人发送消息来传播勒索软件,消息中嵌入了恶意链接。
恶意广告
攻击者可以使用嵌入代码的恶意广告,这些代码可以将勒索软件程序安装到毫无戒心的用户计算机上。恶意广告可以在各种网站、社交媒体平台和其他在线服务中找到。据 ProPrivacy 称,在 COVID-19 大流行高峰期间,恶意广告攻击增加了 70% 以上。
无文件攻击
攻击者可以使用恶意脚本将勒索软件下载到易受攻击的机器上并在不使用文件的情况下执行。他们可以使用合法的操作系统工具和实用程序来下载和运行勒索软件,传统防病毒软件无法检测到这些软件。无文件攻击正迅速成为传播勒索软件和其他恶意软件的流行方法,因为它们更难检测且更易于部署。据 Watchguard 称,2019 年至 2020 年间,无文件恶意软件攻击率增长了近 900%。
远程桌面协议
勒索软件可以通过远程桌面协议 (RDP) 传播,方法是利用协议中的已知漏洞,允许攻击者获得对系统的未授权访问。一旦进入内部,攻击者就可以部署恶意代码来执行勒索软件,勒索软件会对系统上的数据进行加密,并可以传播到同一网络上的其他系统。根据 Palo Alto 的 2020 年事件响应和数据泄露报告,50% 的勒索软件攻击是使用 RDP 实施的。
路过式下载
勒索软件通常通过路过式下载传播。当用户访问包含自动下载并执行勒索软件程序的恶意代码的网站时,就会发生这种情况。
盗版软件
传播勒索软件的一种常见方法是通过伪装成合法软件的恶意下载。根据 BleepingComputer.com 上最近的一篇帖子,一名学生试图非法下载数据可视化软件,导致欧洲生物分子研究所发生大规模 Ryuk 勒索软件攻击。仅仅下载盗版软件就足以让用户面临感染勒索软件的风险。恶意行为者可能会发送包含声称提供付费软件免费版本的链接的电子邮件,但会下载恶意代码,将勒索软件安装到用户的系统上。
恶意软件混淆
勒索软件还可以通过恶意软件混淆进行传播,这是将恶意代码隐藏在合法代码中的过程。攻击者使用代码加密、数据加密和代码混淆等复杂技术,使安全解决方案难以识别勒索软件源代码。
勒索软件即服务
勒索软件即服务 (RaaS) 是一种商业模式,勒索软件的创建者将代码提供给客户,然后客户负责将勒索软件分发给潜在的受害者。客户通常会为他们能够收取的任何成功的赎金付款支付佣金。RaaS 通常包括帮助恶意行为者定制攻击的工具,以及技术支持、客户服务和支付处理服务。
零日/未修补漏洞
勒索软件通常会利用系统软件或操作系统中的零日/未修补漏洞进行传播。根据 TechCrunch 上的一篇文章,今年早些时候,美国最大的医疗保健提供商之一社区卫生系统 (CHS) 遭到勒索软件攻击,该攻击利用零日漏洞窃取了 100 万患者的数据。
公共 Wi-Fi 热点
许多员工使用公共 Wi-Fi 热点在咖啡馆远程工作。但是,这样做可能很危险,因为众所周知,黑客会利用网络中的安全漏洞劫持公共 Wi-Fi 热点。一旦获得访问权限,他们就可以向连接到网络的人分发包含勒索软件的网络钓鱼电子邮件。
网络传播
勒索软件可以通过网络传播进行传播,当一段恶意代码(有时称为“蠕虫”)被发送到易受攻击的设备,然后复制并传播到网络上的其他设备时,就会发生这种情况。恶意代码可以通过易受攻击的软件、协议或应用程序传播,或者通过电子邮件、恶意链接和消息传播。一旦恶意代码出现在网络上,它就可以搜索其他易受攻击的设备并将自身复制到这些设备上,使其更难以检测和删除。随着恶意代码的传播,勒索软件将执行,加密目标设备上的数据,然后要求付款以恢复访问。
