卡巴斯基将WannaCry命名为“年度漏洞”

WannaCry（来源：维基百科）

回顾2017年威胁形势时，什么事件影响最大？卡巴斯基实验室在艰难的12个月回顾中认为，在美国国家安全局（NSA）的间接协助下，WannaCry是安全领域中最坏的男孩。

《安全时报》（Banking Technology的姊妹出版物）报道，卡巴斯基将WannaCry描述为“年度漏洞”，5月份，150个国家/地区的约40万台计算机受到了影响。

如果不是英国22岁安全研究人员的介入，那么这次大规模攻击可能会大得多，该研究人员发现了一个由黑客自己制造的killswitch来暂时禁用了勒索软件蠕虫。

最后，黑客犯了基本的技术错误，这进一步限制了它的传播，据报道，只有0.07％的受害者支付了赎金，使受益者大为改头，而不是“询问”每台计算机300美元–总计潜在的1.2亿美元–可能会被扣除。

WannaCry明显影响了英国国家卫生局，航运巨头马士基，西班牙电信，联邦快递和几家金融机构。这种大规模破坏的总成本已从数亿美元削减到40亿美元。

观察者推测出为什么黑客似乎发动了这样的业余攻击。 killswitch是可发现的，而且值得注意的是，没有自动的勒索软件响应，因此，支付赎金的计算机上的数据解密必须手动完成。

这使人们怀疑黑客有效跟踪和利用未支付的赎金的能力。

据卡巴斯基称，勒索软件是一个失控的实验。卡巴斯基实验室安全性搜寻和分析小组的研究人员Costin Raiu说：“在作者有机会实施适当的付款机制之前，它就失去了控制。”

永恒之蓝

WannaCry使用EternalBlue进行了传播-卡巴斯基将其描述为“银河级”漏洞，该漏洞利用了Microsoft的服务器消息块（SMB）。SMB是用于提供对网络节点的共享数据访问的应用程序层网络协议。

人们普遍认为EternalBlue由NSA开发，然后由Shadow Brokers黑客组织泄漏给所有人使用。当时，微软批评美国政府“储存”（收集和保留）漏洞，削弱了软件领导者及时发布补丁的能力。

根据卡巴斯基的研究，WannaCry 2.0最终与拉撒路高级持续威胁（APT）小组的活动相关，该小组被称为2014年索尼的攻击者，此前该研究表明以前的代码示例之间存在联系。

经过进一步调查，发现了进化程度较低的祖先WannaCry 1.0。它包含勒索软件，但当时还无法与EternalBlue协同工作，仅使用基本的鱼叉式网络钓鱼攻击进行传播。

通常，简单的攻击会产生结果。

卡巴斯基实验室的研究员维森特·迪亚兹（Vicente Diaz）说：“ [黑客]不想烧掉一种复杂的功能，或者在不需要时使用它。”

Diaz的例子包括继续使用宏来交付有效载荷，以及滥用Microsoft的DDE应用程序数据和Word，Excel和Outlook中的内存共享功能。

DDE在2017年期间通常用于发动鱼叉式网络钓鱼攻击，这表明企业仍无法有效监管台式机和移动用户。

“自9月以来，我们认识的每个大演员都在使用DDE，” Diaz补充说。

蓝色诺罗夫

Lazarus被公认为从事网络间谍和网络破坏的专家，其工作包括开发后门，DoS，渗透，数据渗透和擦除攻击。卡巴斯基警告说，有一部分名为BlueNoroff的Lararus子集完全专注于金融剥削，被卡巴斯基视为目前对银行的最大威胁之一。

迪亚兹说：“尽管财务（收益）并非始终是APT小组的主要关注点，但我们发现（这个想法）在某种程度上是错误的，因为我们已经看到了许多类似APT的财务攻击。”

APT与一次性的即席即用攻击不同，它使黑客能够在未被观察到的金融网络中闲逛，并在更长的时间内加以利用。

“ BlueNoroff是我们今年见过的最活跃的组织之一，” Diaz解释道。

黑客组织专门从事金钱盗窃以及加密货币欺诈。一月份，它针对波兰和墨西哥的银行机构发起了一次著名的“水坑”攻击。今年晚些时候，它又回到了台湾的金融机构以及孟加拉国的中央银行。

迪亚兹说：“他们并不仅限于针对传统金融机构，他们也一直针对比特币交易所……而且这种趋势非常令人担忧，因为[攻击者]不需要使用任何非常复杂的东西就能取得成功。”

“ [这些攻击]很难检测到，攻击者将使用他们能找到的任何方法进入金融机构。他们取得了很大的成功，并且给许多安全团队带来了困难。”

典型的BlueNoroff攻击工具包括无文件恶意软件，开源工件，渗透测试和管理工具滥用。

有时，攻击者瞄准的是金融机构，但他们并不打算偷钱。卡巴斯基强调说，影子经纪人集团的活动是损害中东主要的Swift局之一。该小组几年来一直未被发现，有效地监视了客户的财务运作和财务活动，通过与许多机构的互动获得了广泛的知识，而不是只瞄准并打击了一个机构。

迪亚兹补充说：“他们对钱不感兴趣，对网络内的财务变动感兴趣。”