在所有恶意软件类型中,勒索软件可能是全球范围内造成破坏最大的之一。它既可以锁定单一设备,也能控制整个城市的系统,每年造成数十亿美元的损失。在本文中,我们将回顾15个历史上最臭名昭著的勒索软件,从最早的案例到今天仍在活跃的恶意软件。
勒索软件案例
勒索软件攻击会造成巨大损失,并且通常难以立即察觉。如果你想了解勒索软件作为一种恶意软件以及商业模式的发展历程,以下是历史上最著名的勒索软件案例。
AIDS木马
AIDS木马被认为是最早的勒索软件之一。它通过一张标有“艾滋病信息介绍磁盘”的软盘分发给邮件列表用户,这也显示了它的历史悠久。病毒侵入设备后,等到计算机重启90次才会激活。激活后,木马会加密目录名称,并要求用户支付189美元以“租用软件”。
CryptoLocker
在AIDS木马之后,黑客尝试了各种不同的策略。有些仅仅是伪装成锁定设备,期望吓唬用户付款;而另一些则真正锁定设备,并假称自己是执法机构,强迫用户支付罚款。然而,2013年出现的CryptoLocker彻底改变了这一切,无论是技术还是规模上都让世界为之震惊。
CryptoLocker是首个使用RSA和AES加密的勒索软件。它通过受感染的电子邮件和僵尸网络传播,使用黑客服务器上存储的密钥加密文件。犯罪分子要求受害者在指定期限前支付赎金,否则他们将销毁加密密钥。通常情况下,赎金金额在截止日期后会增加。
仅仅两年内,这个勒索软件团伙就通过个人和中小型企业敲诈了大约300万美元。最终,执法部门关闭了该僵尸网络,并找回了解密密钥。然而,CryptoLocker的“成功”激发了无数模仿者的出现。
WannaCry
WannaCry首次出现在2017年,利用了过时Windows版本中的漏洞,注入了一个加密文件的病毒。它利用了一个被称为EternalBlue的漏洞,据信由美国国家安全局(NSA)开发,后来被黑客组织“影子经纪人”泄露。这使得黑客无需用户打开邮件、点击链接或下载恶意软件即可传播勒索软件。
WannaCry的幕后黑手攻击了150个国家的超过30万台设备,主要是医疗机构和公用事业公司。他们要求相对较低的支付金额,通常为300至600美元的比特币作为解密费用,然而受害公司损失达数百万美元。最终,执法部门成功阻止了这次攻击,调查显示,攻击者是两名朝鲜黑客。WannaCry突显了定期更新系统以防止类似攻击的重要性。
NotPetya
虽然Petya攻击始于2016年,主要针对德国的微软Windows系统企业,但其后续版本NotPetya主要攻击乌克兰的企业和基础设施,造成了广泛的破坏和中断。
与Petya不同,NotPetya并非以经济利益为主要目标。Petya是为了敲诈赎金解密数据,而NotPetya更像是破坏性恶意软件,目的是摧毁系统,而不是索要赎金。
Cerber
Cerber是首批以服务形式提供的勒索软件(RaaS)之一。简单来说,RaaS是指勒索软件开发者将恶意软件租给其他犯罪分子,并从他们的收益中抽成。
Cerber在2016年开始传播,并在当年帮助攻击者收集了约20万美元。三年间,它主要针对后苏联国家的微软Office用户。Cerber曾一度沉寂,但在2019年、2020年和2023年再次出现。
Cerber通过钓鱼邮件传播,具有独特的语音信息功能——勒索信会被大声朗读给受害者听。
GandCrab
GandCrab因其极具攻击性的勒索软件即服务(RaaS)操作而闻名。从2018年到2019年,它感染了超过150万台设备,通常针对医院、牙科诊所和个人。
GandCrab通过多种途径传播,包括电子邮件、漏洞利用工具包和钓鱼活动。该团伙要求的赎金从几百美元到数千美元不等,通常以比特币或达世币等加密货币支付。
2019年,该团伙宣称其从犯罪活动中获得了超过20亿美元的收入后,发布了解密工具并宣布关闭。然而,网络研究人员怀疑,许多团伙成员转投其他勒索软件团体,如REvil。
Ryuk
自2018年以来,Ryuk勒索软件通过包含恶意微软Office附件的钓鱼邮件传播。它在2018年因攻击多家美国报纸而声名大噪。除了媒体,Ryuk通常针对政府、学校系统、医疗机构及其他公共和私营部门的公司。
据估计,自其诞生以来,Ryuk为网络犯罪分子赚取了超过1.5亿美元。这款勒索软件至今仍然活跃。
Maze
2019年,Maze勒索软件成为双重勒索模式的首个案例之一。基本上,犯罪分子会加密并窃取你的数据。如果你拒绝支付赎金,他们会解密部分信息并将其发布到网上,迫使你支付。
Maze勒索软件通过垃圾邮件、远程桌面协议(RDP)攻击和漏洞利用工具包传播。Maze最引人注目的攻击是2020年针对IT服务提供商Cognizant,造成约6000万美元的损失。该团伙声称在2020年底暂停了其行动,但很可能其成员转移到其他勒索软件团体,如Egregor。
REvil
REvil勒索软件首次出现在2019年,迅速成为当时最先进的勒索软件行动之一。它主要通过钓鱼邮件传播,这些邮件包含恶意附件或链接,诱骗用户下载恶意软件。REvil采用双重勒索战术,加密受害者的数据,并威胁如果不支付赎金就泄露敏感信息。此外,它也作为RaaS提供。
REvil的一些著名目标包括Lady Gaga、特朗普相关的律师事务所、Acer、Apple、Kaseya以及空间与国防承包商HX5。REvil通常要求数百万美元的赎金,金额依据受害者的财务能力调整。例如,美国大型肉类加工公司JBS Foods在2021年支付了1100万美元以解密其数据。
LockBit
LockBit 3.0,也被称为LockBit Black,到2022年成为全球最广泛使用的勒索软件变种之一。它主要针对大型组织和政府机构,利用其网络安全系统中的漏洞。赎金要求通常为数百万美元。例如,2023年10月,LockBit入侵波音的内部数据,并要求2亿美元赎金。波音拒绝支付后,攻击者泄露了43GB的被盗数据。
据报道,LockBit已攻击了1700多个组织,其中包括英国皇家邮政和奥克兰市。LockBit 3.0的一个显著特点是其漏洞赏金计划,黑客团伙为发现并报告其勒索软件代码中的漏洞者提供数千美元奖励。
DarkSide
DarkSide勒索软件与REvil相似,但它在2021年5月初攻击美国殖民管道后声名狼藉,严重影响了美国东海岸的燃料供应。事态发展到一定程度后,甚至连黑客都道歉称他们“并不想制造麻烦”。为了重新获得对管道的控制,殖民管道公司支付了440万美元。此外,DarkSide还成功攻击了东芝和Brenntag等公司。2021年中期,在美国政府的压力下,该团伙宣布暂停活动。
Conti
在新冠疫情期间的两年里,Conti是一个主导性的勒索软件团体。Conti因针对医疗机构而臭名昭著,如爱尔兰卫生服务执行局(HSE)。和2020年代初期的其他勒索软件团体一样,Conti采用勒索软件即服务(RaaS)模式,并使用双重勒索等战术。
2022年初,Conti团伙的内部通信被泄露,揭示了其操作的细节,帮助执法部门追踪并瓦解了该犯罪组织。
Egregor
Egregor是一种双重勒索勒索软件,曾用于攻击Barnes & Noble、Kmart以及视频游戏开发商Ubisoft和Crytek等企业。Egregor通过利用被盗凭据、攻击远程访问技术以及鱼叉式网络钓鱼诈骗传播。
该团伙要求的赎金金额从10万美元到3500万美元不等。幸运的是,由于法国和乌克兰的协调行动,2021年Egregor的多名同伙被捕,其基础设施随后下线。
WhisperGate
2022年初,WhisperGate作为一种破坏性恶意软件出现,主要针对乌克兰组织。虽然它最初似乎是一种勒索软件,通过锁定设备、阻止重启并显示赎金信息,但这只是幌子。
WhisperGate实际上是擦除恶意软件,旨在破坏和销毁文件,而不管是否支付赎金。这可能是与俄罗斯入侵乌克兰计划有关的国家资助活动的一部分。
BlackMatter
BlackMatter可能是DarkSide的继任者,2021年中期出现。BlackMatter针对关键基础设施,包括农业企业和能源部门。该团伙与针对一家美国农业合作社的勒索软件攻击有关,要求数百万美元赎金。然而,执法部门在2021年底之前关闭了BlackMatter。
Hive
2022年,Hive勒索软件团伙因攻击哥斯达黎加社会保障基金而声名鹊起。Hive通过远程桌面协议(RDP)和其他远程网络连接协议传播,也通过钓鱼诈骗和漏洞利用进行攻击。它还使用了三重勒索技术,除了窃取数据并威胁公开外,黑客还会联系受害者的合作伙伴,给他们施加额外的压力,迫使他们支付赎金。
迄今为止,Hive已经入侵了全球1300多家公司的网络安全,收到了大约1亿美元的赎金支付。Hive的攻击目标广泛,涵盖IT和关键基础设施行业,尤其关注医疗保健领域。