黑客侵襲,會對政府、企業(yè)、個人等造成損失,更有敲詐勒索分子,控制他人計算機,借此牟利。分子通過改造之前泄露的NSA黑客武器庫中“永恒之藍”攻擊程序發(fā)起的網(wǎng)絡攻擊事件。五個小時內,包括英國、俄羅斯、整個歐洲以及中國國內多個高校校內網(wǎng)、大型企業(yè)內網(wǎng)和政府機構專網(wǎng)中招,被勒索支付高額贖金才能解密恢復文件,對重要數(shù)據(jù)造成嚴重損失。
非法獲利的犯罪嫌疑人。該男子利用此前在全球引發(fā)大批網(wǎng)絡攻擊事件的“永恒之藍”漏洞攻擊程序,控制他人計算機來牟利。
2017年5月12日,在“永恒之藍”勒索病毒襲擊全球的同時,浙江省金華市23歲的技術宅男小方也行動了起來。不過小方?jīng)]有勒索,而是在“挖礦”。
所謂“挖礦”就是黑客控制了一些不屬于自己的計算機或者系統(tǒng),使其轉變?yōu)橐慌_挖礦的“肉雞”,從而獲得比特幣或者門羅幣等虛擬貨幣。小方利用系統(tǒng)漏洞向100多臺電腦植入了“永恒之藍”勒索病毒,并對這些電腦進行了遠程控制,一周時間內非法獲利6000余元。
“永恒之藍”攻擊方式
惡意代碼會掃描開放445文件共享端口的Windows機器,無需用戶任何操作,只要開機上網(wǎng),不法分子就能在電腦和服務器中植入勒索軟件、遠程控制木馬、虛擬貨幣挖礦機等惡意程序。
本次黑客使用的是是Petya勒索病毒的變種Petwarp,攻擊時仍然使用了永恒之藍勒索漏洞,并會獲取系統(tǒng)用戶名與密碼進行內網(wǎng)傳播。
本次爆發(fā)使用了已知OFFICE漏洞、永恒之藍SMB漏洞、局域網(wǎng)感染等網(wǎng)絡自我復制技術,使得病毒可以在短時間內呈爆發(fā)態(tài)勢。同時,該病毒與普通勒索病毒不同,其不會對電腦中的每個文件都進行加密,而是通過加密硬盤驅動器主文件表(MFT),使主引導記錄(MBR)不可操作,通過占用物理磁盤上的文件名,大小和位置的信息來限制對完整系統(tǒng)的訪問,從而讓電腦無法啟動,相較普通勒索病毒對系統(tǒng)更具破壞性。
“永恒之藍”事件影響
烏克蘭、俄羅斯、西班牙、法國、英國等多國均遭遇到襲擊,包括政府、銀行、電力系統(tǒng)、通訊系統(tǒng)、能源企業(yè)、機場等重要基礎設施都被波及,律師事務所DLAPiper的多個美國辦事處也受到影響。中國亦有跨境企業(yè)的歐洲分部中招。