比特币的阴谋(攻击富士康,索要1804枚比特币的勒索病毒,到底什么来头?)
网络攻击千千万,勒索病毒占一半。
近日,富士康母公司鸿海集团的墨西哥工厂服务器遭黑客攻击,并要求支付1804枚比特币,按照市价估算,约为3420万美元,合计人民币2.3亿元。
据外媒Bleeping Computer 报道,黑客在感恩节期间用勒索病毒攻击了富士康北美工厂,黑客声称入侵并加密了富士康北美厂区1200-1400台服务器,窃取了其中100GB未加密的文件,删除了20-30TB的备份,并加密了与运营有关的资料。
在勒索信中黑客表示,解密秘钥将在系统被感染的21天后过期,同时还警告富士康,不要重置文件;不要重命名/移动/删除加密和自述文件;不要使用任何旨在恢复加密文件的恢复软件,任何在没有解密工具的情况下恢复文件的尝试都会导致数据破坏;逼迫富士康支付巨额比特币。
鸿海集团在11月9日的一份声明中证实,该公司在美国使用的一个信息系统于11月29日遭到黑客攻击,根据声明,鸿海正在与技术专家和执法部门合作,评估全部影响,确定责任方并将其绳之以法。
2018年北美工厂动土仪式
鸿海还表示,将彻底检查受影响的系统,北美工厂将分阶段恢复运行,对集团整体营运影响不大,不过,自攻击以来该厂的官网就已经瘫痪,暂未恢复。
屡遭黑客攻击
实际上,这已经不是富士康第一次遭黑客攻击了,早在2012 年 2 月,一个自称"SwaggSec"的黑客组织就在 Twitter 上宣称,他们利用漏洞攻破了富士康的内部网络,获取了包括微软、苹果在内的大量富士康客户的邮箱和密码信息,另外还发表公开信称此举是对富士康“不人道用工环境的惩罚”。
2015 年,俄罗斯信息安全公司卡巴斯基实验室的研究员透露,富士康的电脑系统已被一伙以色列黑客入侵。
最近除富士康外,代工厂仁宝与工业电脑厂研华也都遭到黑客攻击,以仁宝为例,11月8日办公系统(OA)出现异常,抢修后9日陆续恢复正常,并未影响生产,但外界一度传出仁宝遭到勒索病毒攻击。
研华科技则是在11月遭勒索软件勒索,并要求支付1400万美元赎金,之后研华科技证实,少数OA服务器确实被攻击,黑客可能借机盗取部分数据。
勒索病毒
随着企业信息化的提升,以及虚拟货币(比特币)市场价格的不断攀升,且交易不被跟踪的特性,近几年,黑客也频繁通过比特币勒索病毒来攻击大型企业谋利。
2018年8月,台积电就遭到勒索病毒的大规模入侵,最终造成了超过17.6亿元的损失;
2019年3月,全球最大铝制品生产商之一的Norsk Hydro遭遇勒索软件攻击,公司被迫关闭多条自动化生产线,全球铝制品交易市场出现震荡;
2019年5月,国内某网约车平台遭黑客勒索软件定向打击,服务器核心数据惨遭加密,攻击者索要巨额比特币赎金,无奈之下向公安机关报警求助;
2019年6月,全球最大飞机零件供应商ASCO遭遇勒索病毒攻击,生产环境系统瘫痪,大约1000名工人停工,四国工厂被迫停产;
2019年10月,法国最大商业电视台M6 Group惨遭勒索软件洗劫,公司电话、电子邮件、办公及管理工具全部中断,集体被迫“罢工”。
说到勒索病毒,想必大家并不陌生,他第一次亮相是在三年前,2017年5月12日,美国NSA武器库泄露,导致爆发,席卷100多个国家和地区,大量机构和公共设施瘫痪,全球至少30万用户电脑中招,造成损失高达80亿美元。
2017年5月13日凌晨起,国内多家企业内网和政务网被感染,高校的师生也陆续发现电脑中的文件和程序被加密而无法打开,弹出对话框要求支付比特币赎金才能恢复,勒索病毒成为自熊猫烧香以来影响力最大的病毒之一。
勒索界的海王
当WannaCry风波逐渐平息之后,勒索病毒却并没有偃旗息鼓,反而愈发成熟,开始大规模扩张,其中最为著名的是GandCrab,被誉为勒索界的海王,中文外号咸水国巨蟹。
2018年GandCrab首次出现,经过5次版本迭代后,波及罗纳尼亚、巴西、印度等数十国家,全球累计超过150万用户受到感染。
后来一位叙利亚用户在推特上发文称,GandCrab病毒加密了他的电脑文件,由于无力支付600美元的“赎金”,他再也无法看到在战争丧生的小儿子的照片,随后GandCrab勒索病毒运营团队发布了一条道歉声明,并放出了所有叙利亚感染者的解密密匙,GandCrab也随之进行了V5.0.5更新,将叙利亚加进感染区域的“白名单”。
之后,GandCrab也被称为“侠盗勒索病毒”。
在国内,2018年是勒索病毒的高发年度,深信服EDR安全团队综合了2018年的数据,得出年度勒索海王便是GandCrab勒索病毒,从西北到东南,覆盖大半个中国,尤其以东部沿海最为严重。
随着安全公司Bitdefender与欧洲刑警组织和罗马尼亚警方合作开发了GandCrab勒索软件解密工具,GandCrab勒索病毒也即将走到尽头。
2019年6月,GandCrab勒索病毒团队在相关论坛发表俄语官方声明:
大意是:“在与我们合作的一年里,人们已经赚了20多亿美元,我们已经成为勒索软件制造方向的代表, 我们平均每周收入为250万美元,每人每年赚得超过1.5亿美元,我们成功兑现了这笔钱,并在现实生活和互联网上将收获的钱成功合法化。”
“我们很高兴与你合作,但是所有美好的事都会结束,我们将开启这次当之无愧的退休生活,勒索软件及服务将在一个月内关闭。”
简单来说,GandCrab勒索病毒团队,在赚够了一生花不完的钱后,从此风光隐退。
勒索病毒的发展
或许是GandCrab事迹的“鼓舞”,勒索病毒从未消失,还呈现新的特点,一方面勒索病毒开始从个人用户明显转向中大型政企机构,另一方面,赎金也水涨船高。
2017年席卷全球的WannaCry赎金只有300美元,到后来Sodinokibi勒索病毒,赎金为3个比特币起步,约3万美元(当时的价格),再到Ryuk勒索病毒,11个比特币起步,MegaCortex勒索病毒,赎金最高可达600个比特币。
现在富士康遭DoppelPaymer 勒索病毒勒索,要价1804枚比特币,勒索上亿人民币,要价翻了1000倍。
对于很多未曾亲身遭受勒索侵害的用户来说,可能会感觉勒索病毒遥不可及。但事实上,日常生活与工作中,我们所使用的电脑等系统设备随时都有可能成为勒索病毒的攻击对象。
这些病毒通过各种加密算法,对目标用户系统进行加密,一般除了病毒开发者本人,其他人很难进行解密。同时,勒索病毒通常通过弹出写有勒索信息的提示文件,“贴心”地附上支付赎金的教程,而赎金数额往往价值不菲。
如何应对?
勒索病毒使用面最广的传播方式是RDP爆破,先爆破一台主机,成功获取该主机的控制权后,再运行勒索病毒;另外也通过发送垃圾邮件,附加恶意链接;感染相关网站,通过下载捆绑有恶意程序的正常软件传播;通过恶意下载器或U盘传播。
个人在使用电脑时,及时修复漏洞,升级最新病毒库;不明邮件不要随意点开,防止被钓鱼攻击;不要从网上随意下载不明软件,此类软件极可能隐藏病毒;另外,U盘管控需做好,避免通过U盘进行交叉感染。
当然,万物皆有漏洞,没有绝对的安全。网络安全更重要在于遏制黑产团队,黑客可能本就是做网络安全的,也可能是精通多种语言的程序员,正反只在一瞬间,从业人员抵御利益诱惑,坚守基本素养,不做黑产,才能遇见安全的未来。