报告中一项关键的发现指出,尽管勒索软件在过去六个月主要攻击的对象是 Windows 系统,但 Android丶Linux 和MacOS平台同样无法躲过威胁。
SophosLabs安全研究员、“SophosLabs 2018 恶意软件预测”中勒索软件分析作者DorkaPalotay表示:“勒索软件已经发展至与平台无关的威胁。勒索软件的主要对象是 Windows 电脑,但今年SophosLabs在全球客户使用的不同装置和作业系统上都看到加密攻击的数量增加了。”
该报告还追踪了勒索软件的成长模式,发现 2017 年 5 月出现的WannaCry居客户电脑拦截回报的勒索软件的首位,取代了长期以来的主流勒索软件Cerber (于 2016 年初首次出现)。在所有SophosLabs追踪的勒索软件中,WannyCry占了 45.3%,Cerber占 44.2%。
Palotay表示:“我们第一次看到这种具有蠕虫特征的勒索软件,而这项特色让WannaCry得以快速散布。这个勒索软件利用已知的Windows 弱点感染和传播到所有电脑,因此很难管控。即使我们的客户受到保护且WannaCry已经逐渐减少,我们仍然看到威胁存在,因为它与生俱来的特性就是会继续扫描和攻击电脑。我们预期网路犯罪分子会复制WannaCry和NotPetya中的这种能力,而这一点已经出现在Bad Rabbit勒索软件中,其与NotPetya有许多相似之处。”
“SophosLabs 2018 恶意软件预测”指出,NotPetya这个勒索软件在 2017 年 6 月快速爆发后销声匿迹。NotPetya最初是通过一家乌克兰会计软件套件向外传播,但影响力仅限于当地。它能够通过EternalBlue漏洞进行传播,如同WannaCry一样,但是由于WannaCry先前已经感染了大多数有漏洞的电脑,所以几乎所有电脑都已经套用修补程式,真正受到影响者不多。NotPetya背后的动机还不清楚,因为这次攻击有许多失误、间隙和缺点。例如,根据Palotay的说法,受害者联系攻击者所需的电子邮件帐户无效,因此受害者无法解密和复原资料。
Palotay表示:“NotPetya扩散的速度快且激烈,并真正对企业造成伤害,因为它永久地破坏了电脑上的资料。幸运的是,NotPetya消失的速度几乎和出现一样快。我们怀疑网路犯罪分子正在进行实验,或者他们的真正目标并不是勒索软件,而是像资料抹除器那样更具破坏性的东西。不管其意图如何,Sophos 强烈建议不要支付赎金,并推荐了一些最佳作法,包括备份资料和套用最新的修补程式。”
Cerber继续在暗黑网路中以勒索软件套件的形式贩卖,仍是一个危险的威胁。Cerber的撰写者不断更新程式码,并从“中间人”攻击者从受害者得到的赎金中抽取利润。定期更新功能使得Cerber不仅是一个有效的攻击手段,而且广受网路犯罪分子使用。“不幸的是,暗黑网路的商业模式可以运作且与合法的公司类似,可能会资助Cerber持续发展。我们可以假设牟利是撰写者维护程式码的一大动机。”Palotay说。
Android 勒索软件也吸引了网路犯罪分子的目光。根据SophosLabs分析,在 2017 年,使用 Android 装置的 Sophos 客户每个月受到的攻击都增加了。
SophosLabs安全研究员和“SophosLabs 2018 恶意软件预测”作者之一 Rowland Yu 表示:“单是在 9 月份,SophosLabs处理的 Android 恶意软件中就有 30.4%是勒索软件。我们估计 10 月份将跃升至 45%左右。我们认为 Android 勒索软件暴增的原因之一,是因为这是网路犯罪分子牟利的简单方法,而不需要使用如窃取连络人和简讯丶弹出式广告或银行网路钓鱼等复杂的骇客手法。另外重要的是,我们注意到Android勒索软件主要都是在非 Google Play 市集上发现的,这是使用者对于从何处下载和下载哪些应用程式应该要更谨慎的另一个原因。”
SophosLabs报告进一步指出有两种类型的 Android 攻击手法出现:锁定手机而不加密资料,以及在加密资料的同时锁定手机。Android 上的大多数勒索软件都不会对使用者资料进行加密,单是锁定屏幕来索取赎金就足以让使用者难受,尤其考量到一天内使用个人装置的次数。Yu 进一步说明:“Sophos 建议使用者如像电脑一般定期备份手机以保存资料,而且不要支付赎金来重新获得使用权限。我们预估 Android 上的勒索软件会继续增加,并在今年的行动平台上成为主流的恶意软件。”
