随着云和大数据时代的到来，再加上今年全球疫情对经济的影响，各行各业纷纷投入数字化转型，全球的互联网上拥有了海量的信息财富，致使2020年的勒索病毒攻击比以往都来得更猛了些。

　　近日，PCI安全标准委员会（PCI SSC）和ATM行业协会（ATMIA）发布了联合公告，警告针对ATM机（提款）威胁日益严峻，需要引起全球金融机构的紧急密切关注。ATM自动柜员机提款攻击是精心设计的攻击，在这种攻击中，犯罪分子会破坏银行或支付卡处理器，并操纵欺诈检测控件并更改客户账户，在短时间内从众多自动提款机中提取资金且没有金额限制。犯罪分子经常通过篡改余额和取款限额的手法“把ATM当成提款机”，将ATM机里的现金洗劫一空。另有勒索软件袭击了医疗软件公司eResearchTechnology（ERT），该公司为全球制药公司提供进行临床试验（包括COVID-19疫苗试验）的工具，因而对包括施贵宝、阿斯利康、辉瑞和强生等公司进行的多个新冠研究项目造成潜在影响。据报道，由于研究人员被迫改用笔和纸来跟踪患者数据，过去两周对ERT公司的网络攻击使这些试验的速度减慢了。

　　勒索病毒强势来袭 新变种层出不穷

　　亚信安全监测发现，GlobeImposter、WannaRen、Sodinokibi勒索病毒在锁住目标主机的系统或是文件，以勒索赎金的同时，躲避安全软件的封锁，其全新的变种都已频繁出现。

　　以 GlobeImposter勒索病毒为例，该勒索病毒首次出现于 2017 年，并在接下来的三年中演化了数个版本，催生了“十二主神”、“十二生肖”系列等多个知名变种。今年上半年，GlobeImposter 勒索病毒携 C4H 强势来袭，黑客在入侵企业内网之后，会利用RDP/SMB暴力破解以及多种方法以求获取登录凭证，以在内网横向渗透传播。一旦攻击成功，该病毒会加密系统中的文件，添加扩展名。C4H，继而在电脑屏幕中提示勒索信息。

　　由于比特币等数字货币的价格在今年上半年再度上涨，挖矿病毒也开始活跃起来。其中，利用“新冠病毒”邮件传播的LemonDuck挖矿病毒尤为值得关注，该病毒会伪装成“新冠病毒”相关邮件，给受感染主机的联系人发送电子邮件，利用好奇心诱导收件人点击携带了挖矿病毒的邮件附件。此外，臭名昭著的“黑球”攻击也在上半年持续，该病毒同样会伪装成为“新冠病毒”相关邮件，在感染之后会首先试图结束杀毒软件进程，继而执行挖矿程序。

（图片来源于网络）

　　勒索病毒传播至今，360互联网安全中心已累计接受到上万勒索病毒感染求助。勒索病毒的蔓延，给企业和个人都带来了严重的安全威胁。360安全大脑针对勒索病毒进行了全方位的监控与防御。

　　感染数据分析

　　分析某月勒索病毒家族占比：GlobeImposter家族占比23.62%居首位；其次是占比21.79%的phobos；Crysis家族以占比15.37%位居第三。Avaddon勒索病毒于6月4日开始传播，很快便已经进入了本月的勒索病毒家族Top 10榜单中。

（图片来源于网络）

　　综合近年来世界各地发生的勒索事件以及以上病毒变种信息，勒索病毒主要有如下的发展趋势：

　　对企业进行精准打击，攻击频繁并且不择手段

　　勒索病毒攻击格外针对云服务器运用商提供商以及相关坐云上数据保护的公司。他们对云上的数据进行加密勒索，攻击者逐渐采用复杂的针对性交付技术和机制，发起针对性极强的大型狩猎活动。

　　勒索病毒的攻击不择手段，从一开始单纯索要赎金到不给赎金就公开机密数据。已知主流的几款勒索病毒都已开始通过公布企业数据逼迫企业支付赎金，同时各种新型的窃密木马会随着勒索病毒一起下发，窃取企业数据。

　　勒索团队全球化，不再局限某单一国家成员且逐渐产业化发展

　　勒索病毒就是“低成本，高收入”的典型，开发门槛低且收益巨大，导致了勒索及服务RaaS产业的诞生。而为了确保利益最大化，各种新老黑客组织逐渐开始相互合作。国外一些主流的勒索病毒运营团队19年年底就开始在国内寻找勒索病毒分销运营商，通过暗网与国外运营商进行合作，进行勒索病毒的分发传播，牟取暴利。

　　技术不断升级迭代，平台多元化，场景多样化

　　经过长期的演变，勒索病毒技术上不断进化，勒索的平台开始多元化，勒索场景多样化。攻击者在加密流程的细节上进行优化。从早期的单线程文件加密，升级到针对每个磁盘分区进行多线程加密；从单一的x86可执行病毒版本到增加x64可执行版本；利用高危漏洞进行内核提权，或使用压缩打包的方式进行提权来加密更多文件等等。

　　目前勒索病毒常见于Windows系统，大部分Linux平台勒索病毒大多数使用GO语言进行开发，考虑到Linux以及MAC OS系统的属性，不排除后续蔓延到其他系统的可能。勒索场景从最简单粗暴的垃圾邮件，到利用漏洞传播、水坑攻击乃至软件供应链传播，攻击方式的多样化也进一步证明了勒索产业的日渐强大。

　　从当前勒索病毒事件的发生趋势来看，基本没有什么手段可以完全做到防御勒索病毒，“道高一尺魔高一丈”，企业和个人都要注意信息数据的保护，并且及时备份，即做好灾备建设。