最近，雷鋒網(wǎng)看到了好幾則關(guān)于勒索軟件（病毒）的消息，一是火絨說，國內(nèi)勒索病毒疫情嚴重，每日十多萬臺電腦被感染。

好像很可怕的樣子。。。

然后，騰訊和360說，他們發(fā)現(xiàn)了一款奇葩的勒索病毒，用戶中招之后其電腦文件被加密，卻無需繳納數(shù)字貨幣贖金，而是被要求玩 1 小時的吃雞游戲，之后被加密的文件將自動解鎖。

咦，等等，畫風(fēng)有點不對，說好的“以牟利為出發(fā)點”呢？現(xiàn)在，黑客都有閑情逸致干這個了？

偶然間，雷鋒網(wǎng)向一位做過市場調(diào)查的安全研究員咨詢“勒索病毒這么多，損失是不是很大”時，對方愣了一下，實誠地跟我說：“雖然勒索病毒這么多，你聽說過很多成功付款的案例嗎？”

。。。。編輯陷入了深深的思考中。

直到 4 月 12 日，編輯去了賽門鐵克的《互聯(lián)網(wǎng)安全威脅報告》發(fā)布會，他們提到的趨勢與觀點竟與上述安全研究員的結(jié)論類似，我才發(fā)現(xiàn)，很多事情原來就是從黑客靠“純勒索”賺不到錢開始的。。。

**這是為了賺錢，黑客喪心病狂轉(zhuǎn)變的分界線**

1.賺不到錢沒關(guān)系，加密貨幣劫持攻擊走起

如果你對之前的“純勒索”稍微有點了解，就會發(fā)現(xiàn)黑客大概率是要求以比特幣形式支付贖金的，過去一年，加密貨幣價值激增，“純勒索”生意不景氣怎么辦？

黑客的選擇

加密貨幣劫持攻擊——“淘金”

2017年，在全球終端計算機上所檢測到的惡意挖礦程序暴增 8500 %。在加密貨幣挖礦攻擊中，中國在亞太區(qū)排名第13位，全球排名第40位。

即便是 Mac 電腦也未能幸免此類攻擊，針對 Mac 操作系統(tǒng)的挖幣攻擊增長了 80 %。這是由于通過利用基于瀏覽器的攻擊手段，攻擊者無需將惡意軟件下載到受害者的 Mac 或個人電腦上，便能輕松發(fā)動網(wǎng)絡(luò)攻擊。

哦，對了，挖比特幣劃不來，大家又瞅準了更隱蔽的門羅幣。。。

這其中，三分之二的受害者是個人消費者，但針對企業(yè)的攻擊也在逐漸增加。

賽門鐵克大中華區(qū)首席運營官羅少輝預(yù)測，加密貨幣劫持有三個趨勢：

僵尸網(wǎng)絡(luò)

將企業(yè)作為目標

云端劫持

為什么是這三種趨勢？

當(dāng)然是為了賺更多的錢。

第一，利用已經(jīng)感染惡意軟件的計算機與物聯(lián)網(wǎng)設(shè)備所組成的傳統(tǒng)僵尸網(wǎng)絡(luò)或基于瀏覽器的網(wǎng)頁惡意挖礦程序，進行分布式挖礦，這意味著黑客能建立更大的挖礦規(guī)模，并且統(tǒng)一、快速找到更多的“礦工”。

第二，對企業(yè)進行攻擊，可以得到服務(wù)器與超級計算機的控制權(quán)，擁有更強的運算能力。

第三，云服務(wù)為高強度挖礦提供了可能性。

2.用勒索攻擊做幌子，其實搞的是針對性攻擊

出于多種原因，針對性攻擊組織同樣對勒索軟件產(chǎn)生興趣，他們或?qū)⒗美账鬈浖嵘鈳艃r值，又或利用虛假勒索軟件，為其他攻擊進行掩護。

我們來看看其中的典型代表：

KillDisk

KillDisk 是由一個叫「TeleBots」的團伙開發(fā)，該團體也開發(fā)了同名的后門木馬，并為 2016 年破壞烏克蘭公司的網(wǎng)絡(luò)攻擊負責(zé)。除此之外，烏克蘭銀行也被使用包含該木馬的惡意電子郵件攻擊。

點評：KillDisk 是針對性攻擊的完美掩蓋，勒索軟件攻擊非常常見，并且不容易引起懷疑；加密或格式化計算機能夠為入侵系統(tǒng)打掩護。

WannaCry 

WannaCry 勒索病毒全球大爆發(fā)，至少150個國家、30萬名用戶中招，造成損失達80億美元，已經(jīng)影響到金融，能源，醫(yī)療等眾多行業(yè)，造成嚴重的危機管理問題。中國部分Windows操作系統(tǒng)用戶遭受感染，校園網(wǎng)用戶首當(dāng)其沖，受害嚴重，大量實驗室數(shù)據(jù)和畢業(yè)設(shè)計被鎖定加密。部分大型企業(yè)的應(yīng)用系統(tǒng)和數(shù)據(jù)庫文件被加密后，無法正常工作，影響巨大。

點評：財政困難政府的外幣來源。

NotPetya

NotPetya 是源自類似 Petya 的全新形式勒索病毒，可以將硬盤整個加密和鎖死，從內(nèi)存或者本地文件系統(tǒng)里提取密碼。此前，歐洲再度爆發(fā)大規(guī)模網(wǎng)絡(luò)安全事件，包括全球最大的廣告公司W(wǎng)PP在內(nèi)的歐洲企業(yè)以及烏克蘭基輔機場的網(wǎng)絡(luò)系統(tǒng)受到攻擊，陷入癱瘓，相關(guān)用戶被要求支付300美元的加密式數(shù)字貨幣以解鎖電腦。

點評：利用勒索軟件作為偽裝，掩飾真正的破壞性攻擊行為。

3.勒索軟件成為“商品”

2016年，勒索軟件的豐厚利潤讓無數(shù)攻擊者趨之若鶩，市場一度飽和。于是，頗具商業(yè)頭腦的黑客就開始調(diào)整勒索軟件市場，將勒索軟件作為“商品”出售。

4.植入式惡意軟件增長 200 %，黑客轉(zhuǎn)向軟件供應(yīng)鏈

前不久，雷鋒網(wǎng)宅客頻道還報道過，某組織在世界范圍內(nèi)進行了一個PIP軟件倉庫的實驗，，不需要其他投入，只要一個免費的郵箱，一臺能連上互聯(lián)網(wǎng)的機器，就能對程序員進行這場網(wǎng)絡(luò)安全的測試。

普通的程序員要用一些工具去做××軟件，可能會先查詢一下，程序員是非常單純的，比如，他可能要個pip install zlib，但是事實上這個東東的正經(jīng)名字叫做zlib3，很多程序員敲的時候，沒有意識到，就敲了zlib 開始搜索。所以，XXXX就在 python pip 源上傳“惡意測試”包 zlib，總數(shù)約 20 個。

然后實驗者就開始等待了……

100 天之內(nèi)這場測試獲得了全球X0000臺主機的控制權(quán)，其中XX000臺是最高權(quán)限。

還好只是一次實驗。

但事實上，2017 年植入軟件供應(yīng)鏈的惡意軟件攻擊出現(xiàn)了 200 %的增長，與2016年平均每月發(fā)生4次攻擊相比，相當(dāng)于2017年每個月都發(fā)生1次攻擊。

通過劫持軟件更新鏈，攻擊者以此為攻破口，破壞防衛(wèi)森嚴的網(wǎng)絡(luò)。Petya勒索軟件的爆發(fā)成為軟件供應(yīng)鏈攻擊的典型案例。Petya 攻擊以烏克蘭的財務(wù)軟件作為切入點，通過使用多種方式在企業(yè)網(wǎng)絡(luò)中進行大肆傳播，部署惡意載荷。

宅客頻道注：上述結(jié)論部分出自《互聯(lián)網(wǎng)安全威脅報告》。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。