对Ragnar Locker勒索软件攻击美国关键基础设施的分析与思考
2022年3月8日,美国联邦调查局(FBI)、网络安全和基础设施安全局(CISA)联合发布警告称,Ragnar Locker勒索软件正大规模入侵美国关键基础设施。截至2022年1月,联邦调查局已在10个受该勒索软件影响的关键基础设施部门确定了至少52个实体,包括关键制造业、能源、金融服务、政府和信息技术部门的实体。该事件攻击者的攻击特点是什么,勒索软件在重拳打击之下为何依然活跃,为什么关键基础设施容易“失守”,可以采取哪些措施予以有效防范,这些势必引起深思。
一、Ragnar Locker勒索软件的新动作
Ragnar Locker勒索软件是Ragnarok勒索团伙运营的勒索病毒,于2019年12月底首次被发现。2020年6月,该团伙与臭名昭著的迷宫 (Maze) 勒索软件团伙合作,分享彼此专业知识,提升攻击技术水平。作为近两年崛起的勒索软件,至少有44个组织/企业被Ragnar Locker采用“双重勒索”模式进行攻击,以下为部分典型攻击案例:
(1)2020年4月,欧洲能源巨头—葡萄牙跨国能源公司EDP遭攻击,被索要1580的比特币赎金(折合约1090万美元)。幕后黑手声称已经获取了10TB的敏感文件,如果不支付赎金,将公开泄露这些数据。
(2)2020年11月,意大利白酒巨头—Campari Group遭攻击,2TB未加密文件被盗(包含银行对账单、文件、合约等),勒索团伙并十分嚣张地通过投放脸书广告公然要求支付高达1500万美元的赎金。
93)2020年12月,日本视频游戏巨头—Capcom遭攻击,并窃取了Capcom存储在日本、加拿大与美国子公司网络上多达1TB的机密情报,涵盖390,000名客户、业务合作伙伴和其他外部方的个人数据。
(4)2021年5月,全球第二大电脑内存制造商—台湾的ADATA(威刚)遭攻击,并对外声称,在部署勒索软件Payload之前就已经成功地从威刚公司的网络系统中窃取了1.5TB的敏感数据。此外,该团伙对外发布了被盗文件和文件夹的部分截图,并继续威胁称,如果拒绝支付赎金,将泄露其余敏感数据。
有报道称,2021年8月Ragnarok勒索软件团伙宣布解散,并免费发布解密密钥。目前尚不清楚 Ragnarok 决定退出的原因,或许是迫于美国政府越来越大的压力,采取了类似的自毁策略。但是,2022年,该团伙又浮出水面,而这一次的攻击目标转向美国关键基础设施。
二、Ragnar Locker勒索软件的攻击特点
(一)具有高度针对性
据美国联邦调查局报道,Ragnar Locker自2019年首次被发现后,于2020年上半年开始频繁攻击全球大型知名企业/组织,具有高度针对性,每个样本都是针对目标组织量身定制。而且该勒索组织的终止托管服务提供商(MSP)使用远程管理软件,包括ConnectWise、Kaseya,远程管理受感染的企业,利于躲避系统检测,确保远程登录的管理员不会干扰或阻止勒索软件部署过程。
(二)使用虚拟机对计算机进行加密
从虚拟机内部对计算机进行加密,也是该勒索软件特有的技术。Ragnar Locker使用VMProtect、UPX和自定义打包算法,并在目标站点上攻击者的自定义Windows XP虚拟机中部署。首先会检查当前的感染情况,以防止对数据进行多次转换加密,从而可能破坏数据。并迭代所有正在运行的服务,并终止托管服务提供商通常用于远程管理网络的服务。然后,尝试以静默方式删除所有卷影副本,从而阻止用户恢复加密文件。最后,会加密所有感兴趣的可用文件,不选择要加密的文件,而是选择不加密的文件夹。以让计算机继续“正常”运行,同时恶意软件会对包含对受害者有价值数据的已知和未知扩展名的文件进行加密。
(三)绕开独联体国家
据美国联邦调查局报道,Ragnarok勒索团伙专注于地理定位。该团伙使用Windows API GetLocaleInfoW识别受感染计算机的位置。如果受害者的位置被确定为阿塞拜疆、亚美尼亚、白俄罗斯、哈萨克斯坦、吉尔吉斯斯坦、摩尔达维亚、塔吉克斯坦、俄罗斯、土库曼斯坦、乌兹别克斯坦、乌克兰或格鲁吉亚这些独联体国家,那么勒索软件感染的进程自动终止。究其原因,是因为Ragnar Locker会针对独联体国家,在勒索软件中嵌入一些Unicode形式的自定义语言字符串。依据Windows中选择的语言判断所在国家,防止特定国家的用户感染勒索软件,当然,并非所有这些国家的人都会在Windows中使用独联体国家的语言,也可能使用英语,如果选择其他语言作为默认语言,则无法避免被感染。
(四)采取“双重勒索”策略
Ragnarok勒索团伙于2020年年底开始效仿迷宫 (Maze)组织,正式将“双重勒索”策略加入其运营模式,从Ragnar Locker典型攻击案例中也可见一斑。双重勒索是勒索软件自然演进的结果,该勒索策略先利用恶意软件盗取数据,然后再使用勒索病毒对获取的数据进行复杂加密,如果受害者不在指定的期限内缴纳赎金,就会选择撕票——直接将盗取数据公之于众。这无疑让受害者承受更大的数据泄露压力,同时使得受害者被迫支付赎金的可能性大幅提高。
三、几点认识
(一)通过虚拟机实现从幕后发动网络攻击的新水平
Ragnar Locker勒索软件采用了一种新的攻击技术,将恶意代码隐藏在Windows XP虚拟机中,加密主机文件,或者窃取用户重要数据,不但可肆意运行,还很难被端点的安全软件检测或阻止,这是一个创新的伎俩。虽然这种攻击方式相对传统方式来说需要消耗更多的网络资源、存储资源和计算资源,但随着当前计算机硬件性能的快速提升以及各种轻量级虚拟化技术出现,给这种攻击方式带来了可行性和可操作性。由此可见,勒索软件内部技术的不断迭代,越来越多的躲避检测和查杀的高级技术的出现,促使勒索能力不断升级,破解难度越来越大,这些新技术的更迭让勒索软件“如虎添翼”,试图以更隐蔽的形式发动更猛烈的攻势,以获取更大的利益,这也不难理解为何勒索软件在重拳打击之下依然存在并非常活跃。
(二)瞄准关键基础设施,实现低成本高收益的攻击目的
当今,顶级和高技能的勒索团伙不再不分青红皂白地以大量小规模受害者为目标,而是向制造业、金融、医疗、能源等关键基础设施行业不断扩展蔓延,已成为全球网络安全的新挑战。瞄准高价值目标,一方面是这些企业数据一旦被泄露或损毁,将造成无法挽回的损失,可造成大面积的社会影响;另一方面受害者还担心其敏感数据被暴露将面临自身声誉受损的风险。以此为基础,勒索团伙可以提出相当夸张的赎金要求,正如Ragnar Locker勒索软件一度曾从受害目标那索要上千万美元的赎金。索取高额赎金的同时,勒索组织付出的成本却非常低。统计数据表明,针对关键基础设施目标的勒索软件攻击所需的费用仅仅为1000美元或更少。而且随着在暗网上出售的Netwalker等现成的勒索软件工具的普及,较低的技术门槛进一步促使对关键基础设施目标的攻击变得越来越频繁。低成本和高回报率是勒索软件实施攻击的最大动力,这将吸引越来越多的数字赎金“游戏”的掠夺者蜂拥而至,同时暗网、虚拟货币等技术趋于成熟,更加助推勒索软件攻击大面积爆发。
(三)美国采取集中、综合的措施应对勒索软件威胁
在全球范围内,据估计每11秒就会发生一次勒索软件攻击,仅2021年赎金损失就达到200亿美元。对勒索团伙来说,赎金已成为一种很有吸引力的网络武器,是对行业和个人最具破坏性的网络攻击之一。因此,如何防范和应对勒索攻击成为各国亟需解决的问题,美国、英国、澳大利亚、韩国都先后出台了相关政策法规予以防范和打击。以美国为例,拜登政府强调集中、综合措施的重要性。重点从四方面入手:一是破坏勒索软件基础设施和参与者。美国政府正在充分发挥政府的能力,以破坏勒索软件参与者、协助者、网络和金融基础设施;二是增强抵御勒索软件攻击的弹性。政府宣布了鼓励弹性的具体措施,包括为关键基础设施管理人员举行的机密威胁简报会以及工业控制系统网络安全倡议等。政府呼吁拥有和运营美国大部分关键基础设施的私营部门对其网络防御进行现代化改造,以应对勒索软件的威胁;三是打击滥用虚拟货币进行赎金支付的问题。美国认为虚拟货币应受到与法定货币相同的反洗钱和反恐怖主义融资控制,而且必须强制执行这些控制和法律;四是利用国际合作破坏勒索软件生态系统并解决勒索软件罪犯的安全港问题。美国正与国际合作伙伴合作,破坏勒索软件网络,提高合作伙伴在本国境内侦查和应对此类活动的能力,包括对允许罪犯在其管辖范围内活动的国家施加压力并追究其责任。
