官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
- 关注
执行摘要及主要发现
勒索软件不是一个陌生的威胁。在过去的几年里,它一直在影响网络安全世界,感染设备和文件并阻止用户访问,如果用户想要重新获得其设备和文件的访问权,就必须要支付一笔赎金(通常以比特币支付,或者其他通用加密货币)。
勒索软件一词涵盖了两种主要类型的恶意软件:即所谓的窗口阻断器(通过弹出式窗口阻止对系统或浏览器的访问)和加密器(用于加密用户的数据)。该术语还涵盖了一类特定的下载器-木马,即用于感染PC后下载勒索软件的程序。
卡巴斯基实验室有报告勒索软件演变趋势的传统,您可以在这里和 这里找到之前的与此威胁有关的报告。
然而,今年我们遇到了继续这一传统的巨大难题。我们发现勒索软件正在迅速消失,而恶意矿工正在取而代之。
加密货币的体系结构存在如下假设,除了购买加密货币之外,用户还可以通过安装在设备上的专用“挖矿”软件,利用机器的计算能力来创建新的货币(或硬币)。
挖矿是创建这些硬币的过程-当加密货币交易被验证并添加到区块链账本时,这一过程就会发生。反过来说,区块链就是包含交易记录(如谁做了交易、交易了多少货币、交易给谁)的一系列连续区块的链条。加密货币网络中的所有参与者都存储了完整的区块链,其中包含了有史以来所有交易的详细信息,并且参与者们不断地将新的区块添加到该链的末尾。
那些向链条末尾添加新区块的人(节点)被称为矿工,而在比特币世界中,作为创建一个新区块的奖励,矿工目前可以获得12.5比特币。根据2017年7月1日的交易价格计算,这差不多是30000美元。您可以在这里找到有关挖矿过程的更多信息。
根据上述情况,本报告将详细研究勒索软件即将消失的情况,以及恶意矿工的崛起。本报告涵盖了2017年4月至2018年3月期间的数据,并与2016年4月至2017年3月的数据进行了对比。
研究方法
本报告基于卡巴斯基安全网络(KSN)的去个人化处理的数据而编制。度量指标是基于启用了KSN功能的卡巴斯基用户的数据(这些用户在指定期间内至少遭到一次勒索软件和恶意矿工的攻击)以及卡巴斯基实验室专家对威胁景观的研究。
主要发现
l 遭勒索软件攻击的用户总数下降了约30%,从2016-2017年的2,581,026下降到了2017-2018年的1,811,937
l 至少遭到一次勒索软件攻击的用户在遭恶意软件攻击的用户总数中的占比下降了约1个百分点,从2016-2017年的3.88%下降到了2017-2018年的2.80%
l 在遭勒索软件攻击的用户中,遭加密类软件攻击的用户占比下降了约3个百分点,从2016-2017年的44.6%下降到了2017-2018年的41.5%
l 遭加密类勒索软件攻击的用户数量几乎减半,从2016-2017年的1,152,299下降到了2017-2018年的751,606
l 遭移动勒索软件攻击的用户数量下降了22.5%,从2016-2017年的130,232下降到了2017-2018年的100,868
l 遭恶意矿工攻击的用户总数增长了约44.5%,从2016-2017年的1,899,236增长到了2017-2018年的2,735,611
l 恶意矿工在整体威胁中的占比同样有所增长,从2016-2017年的约3%增长到了2017-2018年的超过4%
l 恶意矿工在整体灰色软件中的占比同样有所增长,从2016-2017年的超过5%增长到了2017-2018年的约8%
l 遭移动恶意矿工攻击的用户总数同样有所增长,并且步伐更为稳健,从2016-2017年的4,505增长到了2017-2018年的4,931,增长了9.5%
引言:正在消失的威胁-简要介绍勒索软件在一年内下降的情况
2017年初出现了一个危险的趋势:网络犯罪分子开始将其注意力从针对个人用户的攻击转移到针对企业的有针对性的勒索软件攻击。勒索软件攻击者主要针对全球的金融机构,他们正在寻找新的更有利可图的受害者。一方面,这一变化导致勒索软件成为年度焦点。另一方面,这一变化更像是一个孤立的激增而不是一个整体的趋势。
过去一年中最引人注目的勒索软件趋势是Wannacry和Badrabbit等威胁的迅速传播。它们就像是全球流行的瘟疫一样,在很短的时间内引发了勒索软件受害者数量的巨大增长。仔细观察之后,我们发现勒索软件也被高级威胁攻击者用来进行数据破坏攻击,而非追求纯粹的经济利益。
然而,我们的季度分析也向我们展示了勒索软件大幅下降的情况。
这一发现促使我们推测勒索软件的商业模式是否已开始崩溃。对于想要赚钱的网络犯罪分子来说,还有更有利可图的替代方案吗?会是什么呢? 我们的猜测是,犯罪分子开始抛弃勒索软件,转而专注于加密货币的挖掘。
卡巴斯基实验室对2018年加密货币的威胁预测表明,以安装恶意矿工为目的的针对性攻击不断增长。虽然勒索软件可以为网络犯罪分子提供潜在的大额、一次性的收入(风险较高),但恶意矿工可以以一种更持续的、长期的模式从受害者身上赚钱(数额较小)。
PC勒索软件
在指定期间内观察到的数据证实了上述理论。
2017年4月至2018年3月期间遭到勒索软件攻击的全球用户总数与上一年同期(2016年4月至2017年3月)相比下降了近30%:从2,581,026下降至1,811,937。当考虑到勒索软件2015年4月至2016年3月期间增长了17.7%,以及在2016年4月至2017年3月期间增长了11.4%(详细信息请参考之前的报告),这一变化就显得更加惊人。
在遭到恶意软件攻击的用户总数中,至少遭到一次勒索软件攻击的用户比例也在稳步下降:2015-2016年为4.34%,2016-2017年为3.88%,2017-2018年为2.80%。
下图说明了在本报告覆盖的24个月内至少遭到一次勒索软件攻击的用户数量的变化。从图1中可以看出,勒索软件攻击的数量一直在稳步下降,仅仅超过35万/月。5月和7月的两个高峰很显然是勒索软件Locky的活跃导致的。
图1:2016年4月至2017年3月期间至少遭到一次勒索软件攻击的用户数量
图2:2017年4月至2018年3月期间至少遭到一次勒索软件攻击的用户数量
图中2017年5月的小高峰是受WannaCry以及SynAck爆发的影响。SynAck是使用了Doppelgänging技术的有针对性的勒索软件,也在春季爆发。7月份的下降趋势是由Locky、Jaff和ExPetr的活动减缓导致的。
上述两张图都显示勒索软件攻击的数量正在减少。但是,它仍然是一个危险的威胁。
主要的加密类勒索软件
仔细观察指定期间内的恶意软件活动发现,加密类勒索软件的“元凶”包含多个嫌犯。在2016-2017期间,大多数攻击都是来自于Locky、CryptXXX、Zerber、Shade、Crusis、Cryrar、Snocry、Cryakl、Cryptodef、Onion和Spora,这些勒索软件家族占据了此期间全部加密类勒索软件攻击的约1/3。
图3:2016-2017加密类勒索软件家族的分布
一年之后,情况又变得不一样了。主要的变化是WannaCry占据主导地位,其它主要勒索软件(如Locky、Zerber和Shade)的份额保持不变。
图4:2017-2018加密类勒索软件家族的分布
还有什么改变了吗?好吧,受主要勒索软件攻击的受害者比例从33%增长到了50%(尽管同一期间攻击的数量下降了很多)。因此,我们可以说,虽然比例增长了,但数字下降了-这意味着威胁变得更加集中,竞争降低。
有趣的是,并不是每一个勒索软件家族的攻击数量都下降了-例如,受Zerber和Shade影响的用户数量保持不变(分别是4万和2万)
地理分布
在分析遭受攻击的用户的地理分布时,我们始终考虑到以下情况:这些数字受卡巴斯基实验室全球用户的分布的影响。
这就是我们采取特殊度量指标的原因,即遭勒索软件攻击的用户占遭任意恶意软件攻击的用户的比例。为了保证统计数据的代表性,下面的国家/地区列表是指包含超过3万个卡巴斯基用户的地区。
在2016-2017年遭勒索软件攻击的用户占比最高的国家/地区名单如下:
| 国家 | 遭勒索软件攻击的用户占遭任意恶意软件攻击的用户的比例(%) |
|---|---|
| 土耳其 | 7.93% |
| 越南 | 7.52% |
| 印度 | 7.06% |
| 意大利 | 6.62% |
| 孟加拉国 | 6.25% |
| 日本 | 5.98% |
| 伊朗 | 5.86% |
| 西班牙 | 5.81% |
| 阿尔及利亚 | 3.84% |
| 中国 | 3.78% |
图5:2016-2017年遭勒索软件攻击的用户占遭任意恶意软件攻击的用户的比例最高的国家/地区列表(每一个国家/地区都包含超过3万个卡巴斯基用户)
在这一周期内,许多新的国家,如土耳其、孟加拉国、日本、伊朗和西班牙等进入了这一名单。这一变化可能意味着攻击者已经转向针对以前未受影响的地区,这些地区的用户还未做好防护勒索软件的准备,而且这些地区犯罪分子之间的竞争还不激烈。
一年之后情况再次发生了变化。
| 国家 | 遭勒索软件攻击的用户占遭任意恶意软件攻击的用户的比例(%) |
|---|---|
| 泰国 | 9.57% |
| 阿联酋 | 8.67% |
| 伊朗 | 8.47% |
| 孟加拉国 | 7.62% |
| 越南 | 6.17% |
| 沙特阿拉伯 | 5.45% |
| 中国 | 5.36% |
| 印度 | 4.28% |
| 阿尔及利亚 | 3.59% |
| 土耳其 | 3.22% |
图6:2017-2018年遭勒索软件攻击的用户占遭任意恶意软件攻击的用户的比例最高的国家/地区列表(每一个国家/地区都包含超过3万个卡巴斯基用户)
我们可以看到,该列表看起来与前一年十分相似,或多或少地包含了相同的国家/地区。然而,值得注意的是土耳其从第一位跌至第十位,而日本则完全离开了榜单。这是由于Crusis和Locky活动的减缓导致的。阿联酋进入了排名,排在第二位,而伊朗位列前三。让我们仔细看一看这些变化是如何发生的。
| 国家 | 2016-2017 | 2017-2018 | 年-年的变化 (%) |
|---|---|---|---|
| 泰国 | 445,458 | 494,972 | 增长11.1% |
| 阿联酋 | 423,627 | 401,580 | 下降5.2% |
| 伊朗 | 701,540 | 757,491 | 增长8% |
| 孟加拉国 | 562,798 | 528,840 | 下降6% |
| 越南 | 2,412,909 | 2,172,184 | 下降10% |
| 沙特阿拉伯 | 671,923 | 650,465 | 下降3.2% |
| 中国 | 974,045 | 992,610 | 增长1.9% |
| 印度 | 4,147,085 | 3,880,599 | 下降6.4% |
| 阿尔及利亚 | 1,012,279 | 918,836 | 下降9.2% |
| 土耳其 | 982,417 | 954,711 | 下降2.8% |
图7:年-年之间遭任意勒索软件攻击的用户数量的变化
有趣的是,尽管这些国家/地区的遭勒索软件攻击的用户的比例排名靠前,但如果我们查看精确的数字,这一排名会有所不同 - 越南、印度和阿尔及利亚等国家遭勒索软件攻击的用户数字要高于其它国家。它们的比例被遭任意恶意软件攻击的用户总数稀释了。
根据我们的统计数据,中国、伊朗和泰国的数据增长也受几个勒索软件家族的活动推动 – 举中国为例,WannaCry就是一个游戏规则改变者。
上面的数字突出了全球勒索软件威胁的横向变化。但是,如果我们再深入一下,观察遭勒索软件-木马攻击的用户比例,以及遭加密类勒索软件攻击的用户,这一情况又会略有不同。
| 国家 | 2016-2017年遭加密类勒索软件攻击的用户比例(%) | 2017-2018年遭加密类勒索软件攻击的用户比例(%) |
|---|---|---|
| 泰国 | 3.43% | 9.57% |
| 阿联酋 | 6.08% | 8.67% |
| 伊朗 | 5.86% | 8.47% |
| 孟加拉国 | 6.25% | 7.62% |
| 越南 | 7.52% | 6.17% |
| 沙特阿拉伯 | 3.48% | 5.45% |
| 中国 | 3.78% | 5.36% |
| 印度 | 7.06% | 4.28% |
| 阿尔及利亚 | 3.84% | 3.59% |
| 土耳其 | 7.93% | 3.22% |
| 其它 | 44.77% | 37.60% |
图8:年-年之间遭加密类勒索软件攻击的用户占遭任意勒索软件攻击的用户的比例的变化
我们可以看到,2017年至2018年的比例在大多数情况下都较高,这解释了为什么泰国、阿联酋和伊朗在这一时期排名达到了前三位。与此同时,排名前10的国家/地区的总体比例没有显著变化 - 在总体勒索软件活动减少的情况下,它略微增长了约7个百分点。
上面的章节清楚地表明,虽然勒索软件攻击在全球范围内正在减少,但我们仍然可以看到其全球地理分布的变化。这显然意味着用户,特别是在这些受影响的国家/地区内的用户,在网上冲浪时应该保持谨慎。
移动勒索软件
2017年-2018年,受移动勒索软件攻击的用户数量下降了22.5%,从2016年-2017年的130,232下降至2017年-2018年的100,868。这一变化加速了去年的趋势(去年这一数字是4.62%)。
然而,尽管受影响的用户总数有所下降,但移动勒索软件仍然是一个严重的威胁,因为它们已经变得比以前技术更先进,而且更危险。
例如,Trojan-Ransom.AndroidOS.Svpeng获得设备的管理员权限,每当用户试图回收这些权限时,它就会锁定智能手机的屏幕,要求用户输入他们的PIN码。如果不能正确输入,用户就无法访问该设备。在这种情况下,用户恢复设备的唯一方法是返回出厂设置。
拉长时间表来看,移动勒索软件的活动很有趣。多年来,移动勒索软件不断发展,使得许多用户无法有效防护。从2014年4月到2015年3月,卡巴斯基实验室的安卓解决方案保护了35,413名用户。次年,这一数字增加了近四倍,达136,532名用户。2017年的前几个月我们看到了这一数字进一步增长的可能:移动勒索软件活动在2017年初飙升,共存在218,625个移动勒索软件-木马安装包,这比上一季度增加了3.5倍。
图9:2015年4月至2017年3月至少遭到一次移动勒索软件攻击的用户数量
但是,好的,你可能已经猜到了接下来会发生什么。
图10:2017年4月至2018年3月至少遭到一次移动勒索软件攻击的用户数量
这就是接下来所发生的,这一数字下降了;遵循PC勒索软件相同的模式,这一数字在夏季达到低谷。事实上,2017年7月是整个观察期内移动勒索软件最不活跃的月份。这主要是由于所有的勒索软件家族的活动都在减缓。尽管在8月份又有所回复,这一趋势仍然不变 - 移动勒索软件活动正在减少,达到2017年3月以来的新低。
值得注意的是,遭移动勒索软件攻击的用户所占比例(在遭任意类型的恶意软件攻击的用户总数中)在早期经历了一些反弹:2014-2015为2.04%,但2015-2016增长至4.63%,然后在2016-2017再次下降至2.78%。这一趋势与PC勒索软件相同,这意味着整体恶意软件的增长速度超过勒索软件。这一情况在2017-2018再次发生了变化,其比例下降至0.65%。因此,显然我们正在目睹这一网络犯罪威胁的整体衰退。
移动勒索软件的地理分布与PC勒索软件的地理分布显著不同。以下列表包含了拥有超过2500个卡巴斯基用户的国家/地区的2016-2017年的数据。
| 国家 | 遭移动勒索软件攻击的用户占遭任意移动恶意软件攻击的用户的比例(%) |
|---|---|
| 美国 | 18.65% |
| 加拿大 | 17.97% |
| 德国 | 15.46% |
| 英国 | 13.37% |
| 意大利 | 11.87% |
| 哈萨克斯坦 | 6.78% |
| 西班牙 | 6.35% |
| 墨西哥 | 5.85% |
| 乌克兰 | 1.96% |
| 俄罗斯 | 0.88% |
图11:2016年4月-2017年3月遭移动勒索软件攻击的用户占遭任意移动恶意软件攻击的用户的比例最高的10个国家/地区列表(每一个国家/地区都包含超过2500个卡巴斯基用户)
美国排名第一,其次是加拿大和德国。同时俄罗斯在排名中占据最后一位,这可以通过整体恶意软件攻击的同步增长以及该地区勒索软件攻击的减少来解释。
下一个周期看起来有很大不同 - 由于其衰退的大趋势,我们甚至不得不将卡巴斯基用户的最小数量增加到10,000。此外,最高比例从18.65%下降至1.64%。
| 国家 | 遭移动勒索软件攻击的用户占遭任意移动恶意软件攻击的用户的比例(%) |
|---|---|
| 美国 | 1.64% |
| 哈萨克斯坦 | 1.60% |
| 比利时 | 1.16% |
| 意大利 | 1.10% |
| 波兰 | 1.03% |
| 罗马尼亚 | 0.78% |
| 墨西哥 | 0.70% |
| 爱尔兰 | 0.68% |
| 德国 | 0.66% |
| 中国 | 0.66% |
图12:2017年4月-2018年3月遭移动勒索软件攻击的用户占遭任意移动恶意软件攻击的用户的比例最高的10个国家/地区列表(每一个国家/地区都包含超过10,000个卡巴斯基用户)
在美国保持领先位置的同时,哈萨克斯坦和德国的排名上升,进入前三。俄罗斯离开榜单,被中国以几乎相同的情况取代 - 0.66%的比例。
然而,主要问题仍然是相同的 - 尽管移动恶意软件攻击整体减缓和下滑,但这种威胁仍然以发达或大型发展中国家为目标。
原因很简单:它们不仅具有更高的收入水平,而且还具有更先进和更广泛使用的移动和电子支付基础设施。您可以在之前的报告中找到有关此趋势的更多详细信息。
主要的移动勒索软件
2016年至2017年,我们产品的用户最常遇到以下移动勒索软件家族:
图13:2016-2017最活跃的移动勒索软件家族的分布
“其它”类别显著下降,从2015年至2016年的22%下降至仅1%,这主要是由于Fusob家族的扩张(从47%增加到65%)和Svpeng活动的回归(从1%增加至14%))。再加上SMALL,这些就是这一周期内最活跃的移动勒索软件家族。
一年之后,其分布图变化为:
图14:2017-2018最活跃的移动勒索软件家族的分布
正如您所看到的,SMALL和Svpeng继续巩固其在移动勒索软件领域的主导地位 -最活跃的家族数量从四个减少到三个,而“其它”部分则保持在最低水平。新的家族是Zebt,一个相当简单的木马,它主要用于锁定设备并勒索赎金。Zebt主要攻击欧洲和墨西哥的用户,我们已经介绍过了它们的活动。Zebt在第一季度成为最广泛传播的移动勒索软件 - 超过一半的用户遭到攻击。
总之,虽然移动勒索软件攻击已经减少,但它也显示出与前一年相同的趋势-它主要关注富裕国家,并且少数勒索软件家族垄断了市场。这意味着它们背后的攻击者专注而又有纪律性,并采取有针对性的方法来赚钱。
游戏规则改变者:恶意矿工的崛起
我们已经讨论了勒索软件在过去12个月中的状况,并发现这种类型的恶意软件及其背后的作者要么正在失去兴趣(并且正在寻找新的赚钱方式),要么他们正在使用勒索软件进行其它目的(例如,破坏属于不同行业的重要公司的数据)。但如果勒索软件不再是网络威胁的王者,那么新的国王又是谁呢?
加密货币近年来已成为一个热门话题,它从世界各地吸引了越来越多的人,并且越来越有利可图。就凭这些,网络犯罪分子就不可能忽视加密货币 - 即使在勒索软件时代,大多数赎金也都是要求通过加密货币进行支付(例如匿名化的、不受监管的比特币)。恶意矿工成为威胁只是时间问题。
恶意矿工是一种谨慎而适度的赚钱方式,与勒索软件引人注目的加密用户设备的行为相去甚远。采用挖矿策略的网络犯罪分子可以从不引人注意的、稳定和持续的资金流中受益,而不是通过勒索软件获取一次性的大额收益。
另外,虽然部分攻击者通过欺骗不知情的用户在他们的计算机上安装挖矿软件,或利用软件漏洞实现这一目的,但挖矿行为本身是合法的。挖矿会给攻击者带来加密货币,而受害者的计算机系统则会出现急剧的性能下降。
2017年,我们开始观察到旨在通过隐蔽的挖矿获利的僵尸网络,这些僵尸网络试图在企业的服务器上安装恶意矿工。当这些尝试成功时,该企业的业务流程将受影响,因为数据处理速度将大幅下降。
第一部分. PC挖矿软件
受害者的数量在这里至关重要 - 你拥有的受害者越多,你就可以挖到更多的钱。这一数字的增长是我们已经看到和报告过的。
显而易见,近年来遇到恶意矿工的用户数量急剧增加 - 从2013年的约205,000人增加到2014年的超过700,000人。随后的几年中加密货币的价格一路飙升,举例而言,比特币及其替代币的价格在2017年不断打破新记录。
结果就是,截至2017年底,有270万用户遭到恶意矿工攻击 - 这几乎是2016年的1.5倍(当时的数字为187万)。让我们仔细看看:
图15:2016年4月至2017年3月期间至少遭到一次恶意矿工攻击的用户数量
挖矿的真正高峰从2016年夏季开始,而且增长变得越来越稳定,其每月攻击次数超过40万次,同时随加密货币的价格而波动。例如,门罗币在几乎相同的时间内价格多次攀升。
一年之后,情况保持不变,但更为极端,每月的攻击次数超过40万次,达60万次。
图16:2017年4月至2018年3月期间至少遭一次恶意矿工攻击的用户数量
上述模式也与加密货币的价格密切相关 - 比特币和门罗币的价格在12月达到顶峰,随后下跌,导致挖矿活动相应减少。
现在让我们从另一个角度来观察这场战斗 - 受恶意矿工攻击的用户都位于哪里?让我们首先查看2016-2017 的数据:
| 国家 | 遭恶意矿工攻击的用户占遭任意恶意软件攻击的用户的比例(%) |
|---|---|
| 阿富汗 | 27.28% |
| 埃塞俄比亚 | 25.29% |
| 乌兹别克斯坦 | 24.57% |
| 塔吉克斯坦 | 22.34% |
| 赞比亚 | 20.79% |
| 土库曼斯坦 | 19.71% |
| 哈萨克斯坦 | 16.36% |
| 莫桑比克 | 15.05% |
| 坦桑尼亚 | 12.21% |
| 吉尔吉斯斯坦 | 9.77% |
图17:2016-2017年遭恶意矿工攻击的用户占遭任意恶意软件攻击的用户的比例最高的国家/地区列表(每一个国家/地区都包含超过3万个卡巴斯基用户)
该列表与同一时期的PC勒索软件不同 - 它不包含任何发达国家。恶意矿工背后的作者专注于发展中国家,阿富汗、埃塞俄比亚和乌兹别克斯坦排在前三位的事实证明了这一点。
一年之后,情况发生了变化:
| 国家 | 遭恶意矿工攻击的用户占遭任意恶意软件攻击的用户的比例(%) |
|---|---|
| 埃塞俄比亚 | 31% |
| 阿富汗 | 29% |
| 土库曼斯坦 | 24% |
| 塔吉克斯坦 | 21% |
| 莫桑比克 | 19% |
| 乌兹别克斯坦 | 18% |
| 赞比亚 | 18% |
| 哈萨克斯坦 | 17% |
| 坦桑尼亚 | 15% |
| 吉尔吉斯斯坦 | 12% |
图18:2017-2018年遭恶意矿工攻击的用户占遭任意恶意软件攻击的用户的比例最高的国家/地区列表(每一个国家/地区都包含超过3万个卡巴斯基用户)
我们可以看到,这些变化并不显著,但它们与同期的PC勒索软件趋势有很大不同。这可能是因为发展中国家的人并不那么愿意支付赎金。
比较这些国家在24个月内的威胁演变,可以使我们更好地了解全球挖矿趋势。
| 国家 | 2016-2017 | 2017-2018 | 年-年的变化 (%) |
|---|---|---|---|
| 埃塞俄比亚 | 14,184 | 18,646 | 增长 31.46% |
| 阿富汗 | 24,214 | 24,744 | 增长 2.19% |
| 土库曼斯坦 | 6,614 | 8,600 | 增长 30.03% |
| 塔吉克斯坦 | 8,345 | 8,335 | 下降 0.12% |
| 莫桑比克 | 13,154 | 15,380 | 增长 16.92% |
| 乌兹别克斯坦 | 23,950 | 21,301 | 下降 11.06% |
| 赞比亚 | 10,897 | 9,254 | 下降 15.08% |
| 哈萨克斯坦 | 109,524 | 125,001 | 增长 14.13% |
| 坦桑尼亚 | 22,236 | 26,648 | 增长 19.84% |
| 吉尔吉斯斯坦 | 4,037 | 5,233 | 增长 29.63% |
图19:年-年之间遭恶意矿工攻击的用户数量的变化
我们比较了这些国家检测到的恶意矿工占灰色软件(包括广告软件等其它灰色软件)的百分比。这使我们能够了解网络犯罪分子如何以及在何处赚钱。我们可以看到,下面的列表或多或少具有相同的部分:
| 国家 | 遭灰色软件攻击的用户占遭任意恶意软件攻击的用户的比例(%) |
|---|---|
| 埃塞俄比亚 | 57% |
| 阿富汗 | 44% |
| 土库曼斯坦 | 42% |
| 塔吉克斯坦 | 42% |
| 莫桑比克 | 35% |
| 乌兹别克斯坦 | 31% |
| 赞比亚 | 30% |
| 哈萨克斯坦 | 26% |
| 坦桑尼亚 | 25% |
| 吉尔吉斯斯坦 | 21% |
图20:2017-2018年遭灰色软件攻击的用户占遭任意恶意软件攻击的用户的比例最高的国家/地区列表(每一个国家/地区都包含超过3万个卡巴斯基用户)
与灰色软件而不是恶意软件进行比较向我们展示了相同的排名,但具有更高的比例。虽然很明显恶意矿工属于灰色软件类别; 这是一个有趣的主题。我们稍后会在本报告的移动挖矿软件小节再进行讨论。
第二部分. 移动挖矿软件
遭移动挖矿软件攻击的用户数量也经历了增长 - 但是步伐更为稳健,增长了9.5%,从2016 - 2017年的4,505增长到2017 - 2018年的4,931。
总的来说,两年期间的时间线如下:
图21:2016年4月至2018年3月期间至少遭到一次移动恶意矿工攻击的用户数量
与PC挖矿软件一样,移动挖矿软件在2016年夏季增长 - 然而,该增长并不稳定,而且增长率较低。
在相同的时间线下对比恶意软件和灰色软件也很有趣:
图22:2016年4月至2018年3月期间至少遭一次恶意矿工及灰色软件攻击的用户数量
我们可以看到,灰色软件和恶意矿工的变化模式几乎完全相同。无论怎样,让我们再看一看它们与恶意软件的趋势对比-至少是第二个周期内的对比。
图23:2017年4月至2018年3月期间至少遭一次恶意软件及灰色软件攻击的用户数量
它们也遵循同样的趋势。显然,在勒索软件减少和恶意矿工增长的情况下,灰色软件主导着恶意软件。灰色软件正在设定游戏的规则,影响着当前的时间线。
同PC挖矿软件一样,让我们更深入地了解移动挖矿软件的地理分布以找出网络犯罪分子主要在哪里进行挖矿。2016-2017年的数据如下表:
| 国家 | 遭移动挖矿软件攻击的用户占遭任意恶意软件攻击的用户的比例(%) |
|---|---|
| 委内瑞拉 | 0.14% |
| 缅甸 | 0.1% |
| 尼泊尔 | 0.1% |
| 印度尼西亚 | 0.09% |
| 菲律宾 | 0.09% |
| 柬埔寨 | 0.08% |
| 尼日利亚 | 0.08% |
| 吉尔吉斯斯坦 | 0.07% |
| 马其顿 | 0.07% |
| 也门 | 0.07% |
图24:2016年4月-2017年3月遭移动挖矿软件攻击的用户占遭任意移动恶意软件攻击的用户的比例最高的10个国家/地区列表(每一个国家/地区都包含超过1万个卡巴斯基Android产品的用户)
与勒索软件不同,移动挖矿软件倾向于针对委内瑞拉、缅甸和尼泊尔(2016-2017排名前三)等发展中国家。一年之后,该模式并没有改变,但名单发生了变化:
| 国家 | 遭移动挖矿软件攻击的用户占遭任意恶意软件攻击的用户的比例(%) |
|---|---|
| 委内瑞拉 | 0.45% |
| 尼泊尔 | 0.31% |
| 土库曼斯坦 | 0.24% |
| 中国 | 0.16% |
| 玻利维亚 | 0.15% |
| 菲律宾 | 0.15% |
| 马来西亚 | 0.09% |
| 巴基斯坦 | 0.08% |
| 越南 | 0.08% |
| 孟加拉国 | 0.08% |
| 印度尼西亚 | 0.08% |
| 摩尔多瓦 | 0.08% |
图25:2017年4月-2018年3月遭移动挖矿软件攻击的用户占遭任意移动恶意软件攻击的用户的比例最高的10个国家/地区列表(每一个国家/地区都包含超过1万个卡巴斯基Android产品的用户)
委内瑞拉再次位居榜首,其次是尼泊尔和土库曼斯坦。虽然列表上的所有国家都可以被认为是发展中国家,但像中国这样规模的国家排名第四,这十分令人担忧 – 因为潜在受害者的数量十分庞大。
| 国家 | 2016-2017 | 2017-2018 | 年-年的变化 (%) |
|---|---|---|---|
| 委内瑞拉 | 44 | 118 | 增长 168.18% |
| 尼泊尔 | 34 | 90 | 增长 164.71% |
| 土库曼斯坦 | 13 | 41 | 增长 215.38% |
| 中国 | 8 | 111 | 增长 1287.5% |
| 玻利维亚 | 10 | 33 | 增长 230% |
| 菲律宾 | 135 | 196 | 增长 45.19% |
| 马来西亚 | 79 | 167 | 增长 111.39% |
| 巴基斯坦 | 16 | 29 | 增长 81.25% |
| 越南 | 58 | 73 | 增长 25.86% |
| 孟加拉国 | 51 | 79 | 增长 54.90% |
| 印度尼西亚 | 303 | 217 | 下降 28.38% |
| 摩尔多瓦 | 14 | 28 | 增长 100% |
图26:年-年之间遭移动挖矿软件攻击的用户数量的变化
上述数据表明,挖矿威胁可能来自于中国 - 因为该地区的增幅超过1287.5%。
百分比和绝对数字都表明,移动挖矿是一种新兴威胁,主要针对发展中国家。原因是网络犯罪分子倾向于选择PC作为目标,因为PC提供的算力远远超过移动设备。粗略地看,移动挖矿软件似乎并不值得担忧。
但是,总体的增长率表明我们应该继续谨慎地监控移动挖矿攻击。此外,我们的研究表明,许多流行恶意软件家族都包含挖矿功能 - 作为附加价值,并且是犯罪分子从用户身上赚钱的另一种方式。臭名昭著的Loapi就是这种情况 ,Loapi是一个包含多个模块的恶意软件,这使得它几乎具有无穷无尽的恶意功能-从加密货币挖掘到DDoS攻击。
还有一个有趣的点:对一个随机选择的手机进行的测试表明,Loapi恶意软件会在受感染的手机上增加繁重的工作量,以至于设备产生过多热量,甚至导致电池变形。显然,恶意软件的作者并不希望这种情况发生,因为他们渴望通过保持恶意软件运行来获得尽可能多的钱!但他们对恶意软件的优化缺失导致了这种意外的物理攻击方式(可能对用户的设备造成严重的损害)。
第三部分. 黑与白之间:灰色软件正在取代恶意软件吗?
现在,挖矿作为网络犯罪分子非法赚钱的一种方式已经使得勒索软件黯然失色。就像其他行业一样,数据最能说明情况。勒索软件再一次成为一种典型的感染媒介。它现在已被商业网络犯罪分子所抛弃,但却被高级攻击者所接受。它从受害者身上赚钱的方式现在已变得费力而又不讨好 - 吸引了大量媒体和国家的关注。看起来犯罪分子越来越多地认为勒索软件已经比不上它带来的麻烦。
那么,网络犯罪分子如何以谨慎、稳定和风险较低的方式来非法赚钱呢? 除了恶意软件外,还有很多赚钱方式 - 通过各种灰色软件、广告软件和恶意矿工。数据已经证明了这一点; 现在让我们来试着了解挖矿如此受欢迎的原因。
1) 盈利模式简单
勒索软件的受害者往往被迫去支付赎金,或者他们可以等待免费的解密工具。而挖矿模式相比之下更简单而且更稳定 - 你攻击你的受害者,通过他们的CPU或GPU算力挖掘加密货币,然后从合法交易所中交易成现金。
图27:挖矿攻击的盈利模式
隐蔽的挖矿攻击中最常用的的两种加密货币是门罗币(XMR)和zcash币。这两者都确保了交易的匿名性,这对攻击者来说非常便利。根据最保守的估计,挖矿网络每月可为其所有者带来高达30,000美元的收益。
图28:一个挖矿僵尸网络的钱包地址
2) 攻击本身较为谨慎
同样,与勒索软件不同,由于其具体的性质和运行规则,大部分人都很难发现他们是否已被恶意矿工所感染。大多数人很少使用到他们计算机的大部分算力; 然后挖矿软件就利用这些70%到80%的空闲算力进行挖矿。此外,如果用户启动了一项需要资源的任务(例如视频游戏),一些恶意矿工还具有降低挖矿算力或停止挖矿的特殊功能,使得用户更难发现。
通常恶意矿工还附带有保证持久性的额外功能,例如每次开启计算机时自动启动,并且在用户不知情的情况下运行。
这些功能可能包括,例如:
· 尝试关闭安全软件;
· 跟踪当前启动的所有程序,并在监控系统或进程的程序启动时暂停运行。
· 确保硬盘上始终存在挖矿软件的备份,并在挖矿软件被卸载时重新安装
3) 现在很容易开发自己的挖矿软件
对挖矿感兴趣的人可以得到他们所需要的一切:
· 可用的第三方项目
· 公开的矿池
· 多种挖矿软件生成器
结果就是,恶意矿工同广告软件、破解游戏以及盗版内容一起,被安装在消费者以及企业的电脑上。由于现在存在许多可用的第三方项目、公开的矿池以及挖矿软件生成器,犯罪分子生成恶意矿工已经十分容易。另一种方式是网页挖矿,网络犯罪分子将挖矿脚本植入网站,以在用户访问该网站时进行挖矿。还有一些犯罪分子更具有选择性,他们选择利用漏洞在大型公司的服务器上安装恶意矿工,而不是试图去感染更多的个人电脑。部分网络犯罪分子在企业网络中安装恶意矿工的方式十分精巧复杂,就像APT攻击一样。
就像不久前勒索软件那样,挖矿软件作者也可能会转向有针对性的攻击以赚取更多的金钱。这种情况是否会发生,让我们拭目以待。
PS. 对恶意矿工的传播方式保持警惕
最后但依然重要的是,恶意矿工的传播方式值得进行讨论。其主要的传播方式是社交工程。
图29:telegram的一个频道中的挖矿软件生成器的广告,宣称可以提供在线赚钱的机会
通常,攻击者与“潜在有害的软件”(PUA)项目进行合作,以传播恶意矿工。然而,也有一些小型犯罪集团试图通过不同的社交工程策略来传播挖矿软件,例如假彩票等。在这些场景中,受害者需要从一个文件共享服务下载一个随机数生成器,并在计算机上运行以参与其中。简单的诡计,但很有效。
另一种流行的模式是通过用户的浏览器使用脚本进行挖矿。例如,2017年我们的安全解决方案共阻止了超过7000万次网页挖矿攻击。最常被犯罪分子利用的挖矿脚本是Coinhive,该脚本通常被挂在流量较大的网站上。用户访问该网站的时间越长,攻击者赚的钱就越多。大多数情况下涉及Coinhive的挖矿攻击都与网站渗透有关,例如海盗湾事件、YouTube广告以及UFC Fight Pass挖矿事件。无论怎样,该挖矿脚本本身是合法的。
还有一些犯罪团伙,他们根本不需要去向普通用户分发恶意矿工,而是瞄准大型企业的服务器。例如,利用永恒之蓝漏洞在内网传播的Wannamine共赚取了约9000个门罗币(价值约200万美元)。此外,第一个使用永恒之蓝的恶意矿工是Adylkuzz。在之前的研究中,我们还介绍过另一个挖矿家族 – Winder – 当它被防病毒软件删除时,它会通过另外的服务来自我恢复。该僵尸网络共赚取了约50万美元。
结论及预测
本报告证实了我们之前的预测:
勒索软件
虽然勒索软件活动正在全球范围内下降,但它们仍然是一个威胁,并且应该被谨慎对待。PC勒索软件被用于发起强力、精巧和破坏性的攻击。毕竟,2017年饱受破坏性的攻击。ExPetr/NotPetya攻击最初被认为是勒索软件,最后被证明是一个巧妙伪装的数据擦除器。ExPetr之后还发生了其它类似的‘勒索软件’攻击,在这些攻击中受害者几乎没有机会恢复其数据,因为它们都是巧妙伪装成勒索软件的数据擦除器。我们不认为这种趋势会很快改变。
移动勒索软件背后的攻击者同样主要针对富裕的国家,并利用该市场获取经济利益。与此同时,它们越来越团结 – 一少部分攻击者占据了市场的主导地位。我们已经连续两年见证了这一趋势,并且认为它还将继续。
恶意矿工
正如所讨论的那样,虽然勒索软件为网络犯罪分子提供了可能大额但一次性的收入,但恶意矿工可以提供更低但持续时间更长的收入。去年我们还在问网络犯罪分子的规模何时到顶,今天这已经不再是一个问题了。恶意矿工将继续在全球范围内传播,吸引更多罪犯。
恶意挖矿的快速增长极有可能是以移动挖矿的损失作为代价。当前,移动挖矿软件还在增长,但步伐更加稳定。然而,一旦犯罪分子找到一种技术解决方案,使得移动设备上的挖矿利润等同于PC上的挖矿利润,移动挖矿将很快追上PC挖矿的规模。尤其令人担忧的是,犯罪分子主要针对的部分地区 – 中国和印度 – 囊括了全球智能手机的约1/3。因此,如果智能手机挖矿真正起飞,这些国家的人口将尤其容易受到影响。
针对企业的以挖矿为目的的有针对性攻击的数量增长引发了一些问题,恶意挖矿是否会完全遵循勒索软件的老路呢?俗话说闷声发大财,如果恶意矿工像勒索软件一样吸引了大量的注意力,那么他们的路也将变得困难起来。
防护措施
面对勒索软件和恶意矿工,我们可以采取哪些防护措施呢?
1.谨慎对待电子邮件附件或来自您不认识的人的邮件。如有疑问,请勿打开它。
2.定期备份数据
3.在您使用的所有设备上始终保持软件更新至最新。为防止恶意矿工和勒索软件利用软件漏洞,请使用可自动检测漏洞并下载和安装补丁的工具。
4.对于个人设备,请使用可靠的消费者安全解决方案,并保持关键功能(如系统监控功能)开启。
5.如果您是公司,请使用卡巴斯基实验室的免费反勒索软件工具作为您的首选第三方安全解决方案(详细信息请参阅下文)。
6.通过终端安全解决方案获得完整的保护,以实现行为检测并能够回滚恶意操作。
7.对公司网络进行定期安全审核以发现异常情况
8.不要忽视不太明显的目标,例如队列管理系统、POS机甚至是自动售货机。正如利用永恒之蓝进行挖矿的恶意软件所证明的,这些设备也可能被劫持以进行挖矿。
9.通过应用程序控制功能跟踪合法程序中的恶意活动。专用设备应处于默认拒绝模式。卡巴斯基企业终端安全解决方案等专用安全解决方案包含此类功能。
10.为了保护企业网络,对员工和IT团队进行教育和培训,敏感数据进行隔离,限制访问,并始终备份所有内容。
11.最后但并非不重要的是,请记住勒索软件是一种犯罪行为,请不要付款。如果你成为受害者,请向当地执法机关报告。
*本文作者:vitaminsecurity,转载请注明来自FreeBuf.COM
- 0 文章数
- 0 关注者