在門羅幣(Monero)等加密貨幣的幫助下,勒索軟件犯罪在全球範圍內呈上升趨勢, Android 用戶尤其容易受到攻擊。
勒索軟件是一種惡意軟件,可阻止用戶或公司訪問受感染計算機、設備或服務器上的個人數據或應用程序。然後,該漏洞利用需要加密貨幣作為支付來解鎖鎖定或加密的數據和應用程序。在過去幾年中,這種形式的網絡勒索的頻率和兇猛程度不斷增加。一周又一周地過去,但我們並沒有就此停止聽到新的勒索軟件,攻擊政府機構、醫療保健提供者(包括 Covid-19 研究人員)、學校和大學、關鍵基礎設施和消費品供應鏈,等等。
根據 Ivanti 、 Cyber Security Works 和 Cyware 進行的 2021 年第三季度勒索軟件指數聚焦報告,勒索軟件組織在復雜性、大膽性和數量方面都持續增長,自 2021 年第二季度以來,該組織的數量全面上升。上個季度增長了 4.5 %與 2021 年第二季度相比,在與勒索軟件相關的常見漏洞和暴露 (CVE) 中,被積極利用和趨勢漏洞增加了 4.5 %,勒索軟件系列增加了 3.4%,與勒索軟件相關的舊漏洞增加 1.2 %。
最常見的傳遞機制是包含指向惡意網站的網絡釣魚鏈接的電子郵件和短信。通過點擊鏈接,用戶會被重定向到受感染的網站,用戶會在不知不覺中將偷渡式的惡意軟件下載到其設備上。該惡意軟件可能包含一個漏洞利用工具包,該工具包會自動執行惡意程序代碼,該代碼將權限提升到系統根設備級別,它將獲取憑據並嘗試發現不受保護的網絡節點以通過橫向移動進行感染。
另一種常見的傳遞機制是電子郵件附件,其中還可能包含惡意軟件漏洞利用工具包,這些工具包會將自身附加到易受攻擊的應用程序、計算機系統或網絡上,以提升他們搜索要阻止的關鍵數據的權限。
圖片來源:Google
勒索軟件的四種主要類型
(1)首先是 locker 勒索軟件,最早出現在Android移動設備上,於 2013 年末被發現並稱為 LockDroid。它可以秘密地將 PIN 或密碼更改為用戶的鎖定屏幕,從而阻止訪問主屏幕及其數據和應用程序。
(2)第二種類型是加密勒索軟件,它對應用程序和文件進行加密,使它們在沒有解密密鑰的情況下無法訪問。 2014 年發現了第一個使用此類勒索軟件的漏洞,稱為 SimpLocker。它加密了包含在 Android 設備內部安全數字 (SD) 存儲中的個人數據。隨後,向受害者顯示一條基於在設備中找到的掃描文件顯示犯罪行為的官方信息。緊隨其後的是要求支付信息,允許受害者解決虛假違規行為並接收解密密鑰以解鎖他們被阻止的數據和應用程序。
(3)勒索付款通常使用 Monero 加密貨幣進行,因為它是數字化的並且通常無法追踪,從而確保網絡犯罪分子的匿名性。有時仍會使用比特幣(BTC),但最近像 CipherBlade 這樣的公司已經能夠使用比特幣追踪勒索軟件團伙並將錢返還給受害者。較少使用 Apple Pay、Google Pay 或 Samsung Pay 等移動支付方式,加密貨幣仍然是勒索軟件的首選支付方式。
在過去幾年中,網絡犯罪團伙增加了其他類型的勒索軟件攻擊,包括 Doxware,除非支付贖金,否則這些攻擊威脅會在公共互聯網上洩露和發布個人或機密公司信息。
(4)另一個是勒索軟件即服務 (RaaS),屬於一種不尋常的軟件即服務類型(SaaS)。網絡犯罪分子在 RaaS 訂閱模式中利用已經開發和非常成功的勒索軟件工具,向技能較低的網絡犯罪分子出售以從受害者那裡勒索加密貨幣,然後分享贖金。
Android 漏洞利用:SimpLocker 攻擊步驟剖析
(1)安裝:受害者在不知不覺中登陸受感染的惡意軟件或 Angler 託管的 Web 服務器,並想要播放視頻或運行應用程序。視頻或應用程序需要新的編解碼器或 Adobe Flash Player 更新。受害者下載並安裝惡意更新軟件,需要激活設備管理員權限。移動設備被感染,勒索軟件有效載荷自行安裝到設備上。
(2)通信:惡意軟件掃描 SD 卡的內容,然後使用暗網中的匿名 Tor 或 I2P 代理網絡與命令和控制 (C2) 服務器建立安全通信通道,這些網絡經常避開安全研究人員、執法部門和政府機構,因此很難將其關閉。
(3)加密數據:用於加密附加 SD 卡上的個人數據的對稱密鑰隱藏在受感染的移動設備的文件系統中,因此加密可以在重啟後持續存在。
(4)勒索:顯示來自政府機構的官方信息,根據掃描其個人文件後在設備上發現的數據,通知受害者他們違反了聯邦法律。
(5)付款要求:顯示一個付款要求屏幕,其中包含有關付款方式的說明,罰款通常為 300 美元至 500 美元,並通常要求以加密貨幣支付。
如果支付了贖金,則提供對稱密鑰並用於解密個人數據。如果受害者幸運的話,其可以完好無損地檢索到他們所有的個人文件。但有報導稱,也有一些數據損壞,並且在解密後不再可用。
由於多種因素,Android 設備特別容易受到勒索軟件的影響。首先是它的全球採用率,擁有全球 71 % 的市場份額和全球超過 30 億台設備。接下來是 1,300 多家原始設備製造商(OEM)以及 Android 操作系統的碎片化。運行 2.2 到 11.0 版本的設備意味著其中很大一部分沒有收到關鍵的安全更新,從而使它們容易受到惡意軟件的攻擊。
最後一個因素是,Android 用戶通常會根植他們的設備並安裝未經 Google 驗證的應用程序。現在可以從 Google Play 商店下載超過 300 萬個應用程序,可能還有另外一百萬個可以從未知和可能惡意來源下載的應用程序,而這些應用程序中的任何一個都可用於託管可能導致勒索軟件攻擊的惡意軟件。
相關:解讀黑客如何從 Solana Wormhole 中盜取 8萬枚 ETH
相關:NFT 市場 OpenSea 被訴:原因竟是違反信託義務?
🌈一按加入ADAC Telegram社區🌈即時交流 Web3研究💬
