勒索軟件已經(jīng)成為全球企業(yè)和組織面臨的主要網(wǎng)絡(luò)威脅,感染勒索軟件后嚴(yán)重影響企業(yè)和組織的運(yùn)營,包括業(yè)務(wù)中斷、數(shù)據(jù)和信息被竊取公開售賣。2021年全球制造業(yè)、服務(wù)業(yè)、建筑、金融、能源、醫(yī)療、工控和政府組織機(jī)構(gòu)等頻遭勒索軟件攻擊,給全球產(chǎn)業(yè)產(chǎn)值造成嚴(yán)重?fù)p失。
2021年,安天CERT發(fā)布了多篇勒索軟件分析報告,在安天《每周典型威脅分析》中發(fā)布了30多篇勒索軟件信息,安天追影產(chǎn)品可對勒索軟件進(jìn)行準(zhǔn)確的行為鑒定,安天智甲終端防御系統(tǒng)(簡稱IEP)可實現(xiàn)對勒索軟件的精準(zhǔn)查殺,為用戶終端提供有效防護(hù)。
安天CERT將2021年流行的勒索軟件進(jìn)行了梳理,形成家族概覽,進(jìn)行分享。
表1 活躍勒索軟件家族及攻擊案例
家族 | 受害者 | 攻擊時間 | 影響 |
Avaddon(Haron) | MAX International | 2021年12月 | 生產(chǎn)服務(wù)器宕機(jī),竊取700GB文件 |
Babuk(Babyk) | 華盛頓特區(qū)大都會警察局 | 2021年4月 | 辦公機(jī)無法使用,竊取250GB文件 |
Clop | 石油巨頭皇家殼牌 | 2021年3月 | 生產(chǎn)服務(wù)器宕機(jī),公開大量竊取到的數(shù)據(jù)文件 |
Conti | 跨國公司JVCKenwood | 2021年9月 | 辦公環(huán)境無法正常使用,竊取了1.5TB的文件,并要求支付700萬美元作為贖金 |
DarkSide(BlackMatter) | 美國成品油管道運(yùn)營商Colonial Pipeline | 2021年5月 | 輸送油氣的管道系統(tǒng)被迫下線,大量文件被竊取,要求支付700萬美元作為贖金 |
DoppelPaymer(Grief) | 美國全國步槍協(xié)會(NRA) | 2021年9月 | 辦公系統(tǒng)無法正常運(yùn)行,大量數(shù)據(jù)文件被泄露 |
LockBit 2.0 | 全球IT咨詢服務(wù)商埃森哲 | 2021年8月 | 竊取了6TB的文件,并要求5000萬美元的贖金;在此次攻擊中增加了DDoS攻擊威脅,實現(xiàn)三重勒索 |
Ragnar Locker | 臺灣存儲組件制造商ADATA | 2021年5月 | 辦公系統(tǒng)和生產(chǎn)服務(wù)器無法運(yùn)行,竊取1.5TB的數(shù)據(jù) |
RansomEXX | 厄瓜多爾國營電信運(yùn)營商CNT | 2021年7月 | 導(dǎo)致業(yè)務(wù)運(yùn)營、支付門戶和客戶支持中斷 |
REvil(Sodinokibi) | Kaseya | 2021年7月 | 加密了大約 60 家托管服務(wù)提供商和 1500 多家企業(yè),并索要高達(dá)7000萬美元的贖金 |
2021年的勒索軟件行為主要有以下四類:
1.影響用戶系統(tǒng)
通過修改磁盤MBR或設(shè)置鎖屏程序?qū)е掠脩魺o法正常使用計算機(jī)。(例如Petya、Ransom Locker和Screen Locker等)
2.破壞數(shù)據(jù)
此類勒索軟件不是加密文件而是用隨機(jī)字符覆寫文件,永久性地破壞用戶數(shù)據(jù)。用戶損失多大他們是不在意的,勒索軟件的目的就是為了索要贖金。(例如GermanWiper和Combo13[1]勒索軟件等)
3.加密文件
此類勒索軟件通過特定加密算法(如AES、RSA、DES和RC4等)組合利用對文件進(jìn)行加密,大多數(shù)勒索軟件在未得到對應(yīng)密鑰的解密工具暫時無法解密,部分存在算法邏輯錯誤導(dǎo)致文件可以解密。(例如Conti[2]和Cring[3]勒索軟件等)
4.竊取文件
此類勒索軟件在發(fā)動勒索攻擊前,會在受害系統(tǒng)內(nèi)潛伏,并竊取數(shù)據(jù)、文件等重要信息;在竊取工作完成后會發(fā)動勒索攻擊,加密系統(tǒng)中的文件;最后通知受害者,重要文件已被竊取,如不按期支付勒索贖金,則會公開竊取到的數(shù)據(jù)文件,給予受害者壓力,從而迫使受害者盡早支付贖金。(例如DarkSide[4]、REvil[5]和Avaddon勒索軟件等)
3.1Avaddon
Avaddon勒索軟件于2019年2月首次被發(fā)現(xiàn),2020年6月2日,Avaddon組織出現(xiàn)在某俄羅斯暗網(wǎng)論壇,所開發(fā)的Avaddon勒索軟件除了供自身使用之外,也通過提供勒索即服務(wù)(RaaS)謀求外部合作以獲取更大的利益。在安全研究人員于2021年2月發(fā)布了公開解密器后,Avaddon組織又迅速組織其合作成員進(jìn)行了更新。從那時起,通過研究可以觀察到Avaddon的活動不斷激增,其開發(fā)者正在積極地為這個活躍的RaaS平臺研發(fā)下一代工具。
據(jù)Avaddon組織規(guī)定,不得在獨聯(lián)體的成員國分發(fā)勒索軟件,其中包括:俄羅斯聯(lián)邦、白俄羅斯共和國、摩爾多瓦共和國、亞美尼亞共和國、阿塞拜疆共和國、塔吉克斯坦共和國、吉爾吉斯斯坦共和國、哈薩克斯坦共和國、烏茲別克斯坦共和國。結(jié)合該Avaddon勒索組織只接受俄語合作方,由此可見Avaddon的攻擊者可能來自于俄語地區(qū)。除此之外,該勒索軟件面板支持中文顯示,以此說明我國也是該組織的重點攻擊目標(biāo)之一,其次還支持英語、德語、法語、意大利語、西班牙語、葡萄牙語、日語和韓語。
Avaddon于2021年6月宣布關(guān)閉勒索業(yè)務(wù),并公開大量解密秘鑰。Haron(又名Midas)勒索軟件被發(fā)現(xiàn)于2021年7月,由于Avaddon勒索軟件于6月關(guān)閉勒索業(yè)務(wù),二者勒索信格式內(nèi)容較為相似、Tor網(wǎng)站地址相似和數(shù)據(jù)泄露平臺頁面相似,Haron被認(rèn)為是Avaddon勒索軟件的繼承者。通過釣魚郵件和漏洞利用進(jìn)行傳播,采用“威脅曝光企業(yè)數(shù)據(jù)+加密數(shù)據(jù)勒索”雙重勒索策略。
3.1.1家族概覽
表2 Avaddon家族概覽
家族名稱 | Avaddon |
出現(xiàn)時間 | 2019年2月 |
典型傳播方式(除釣魚攻擊外) | Phorpiex僵尸網(wǎng)絡(luò)、RDP暴力破解 |
加密算法 | AES+RSA |
典型加密后綴 | .avdn |
解密工具 | 部分版本可解密 |
加密系統(tǒng) | Windows |
攻擊模式 | 非定向 |
常見行業(yè) | 教育行業(yè)、制造業(yè) |
常見國家/地區(qū) | 漢語、英語、德語、意大利語、法語、西班牙語、葡萄牙語、日語和韓語等區(qū)域 |
索要贖金支付方式 | 比特幣 |
是否雙重勒索 | 是 |
勒索信 |
3.1.2 重點案例
保險巨頭安盛集團(tuán)在泰國、馬來西亞、中國香港和菲律賓的分公司遭到了勒索軟件網(wǎng)絡(luò)攻擊。據(jù)媒體報道,Avaddon勒索軟件集團(tuán)在其泄密網(wǎng)站上稱,他們從安盛亞洲業(yè)務(wù)中竊取了3TB的敏感數(shù)據(jù)。根據(jù)該組織的說法,Avaddon獲得的數(shù)據(jù)包括客戶的醫(yī)療報告、身份證復(fù)印件、銀行賬戶報表、索賠表格、付款記錄、合同等[6]。
Avaddon 勒索軟件家族表示,他們成功地對“Pronosticos Deportivo”進(jìn)行了攻擊,他們聲稱在那里竊取了數(shù)據(jù),然后對設(shè)備進(jìn)行了加密。如果談判沒有在240小時內(nèi)開始,勒索軟件團(tuán)伙威脅還要發(fā)布更多文件和 DDoS 受害者的網(wǎng)站[7]。
3.2Babuk(Babyk)
Babuk勒索軟件家族被發(fā)現(xiàn)于2021年初,通過釣魚郵件和漏洞利用進(jìn)行傳播。采用“威脅曝光企業(yè)數(shù)據(jù)+加密數(shù)據(jù)勒索”雙重勒索策略。開發(fā)針對Windows、Linux和VMware的攻擊載荷。7月,Babuk勒索軟件的部分?jǐn)?shù)據(jù)文件被一位組織成員泄露,泄露的源代碼還包含解密密鑰,此后研究人員使用這些密鑰為某些特定版本創(chuàng)建免費解密工具。泄露的內(nèi)容中包含創(chuàng)建勒索軟件的所有內(nèi)容。10月,新版本使用了ProxyShell,這是一組Microsoft Exchange漏洞(CVE-2021-34473、CVE-2021-34523和CVE-2021-31207),可以連接在一起以繞過身份驗證并以特權(quán)用戶身份執(zhí)行代碼。
3.2.1 家族概覽
表 3 Babuk(Babyk)家族概覽
家族名稱 | Babuk(Babyk) |
出現(xiàn)時間 | 2021年初 |
典型傳播方式(除釣魚攻擊外) | 漏洞利用 |
加密算法 | ECDH+ HC-128 |
典型加密后綴 | .babyk |
解密工具 | 部分可解密 |
加密系統(tǒng) | Windows、Linux |
攻擊模式 | 非定向攻擊 |
常見行業(yè) | 大型企業(yè)和組織、FBI和CSA等部門 |
常見國家/地區(qū) | 美國、西班牙等 |
索要贖金支付方式 | 比特幣 |
是否雙重勒索 | 是 |
勒索信 |
3.2.2 重點案例
Babuk locker團(tuán)伙在暗網(wǎng)上發(fā)帖稱,他們已經(jīng)破壞了警察局的網(wǎng)絡(luò),并竊取了250GB的未加密文件。該小組共享的屏幕截圖,包括各種文件夾,其中包含調(diào)查報告,逮捕,紀(jì)律處分和其他情報簡報。攻擊者給了三天的時間來滿足他們的贖金要求,并威脅他們?nèi)绻麤]有收到贖金就泄露數(shù)據(jù)[8]。
Babuk網(wǎng)絡(luò)犯罪團(tuán)伙在其勒索網(wǎng)站上發(fā)布的一篇帖子上,曝光了一份據(jù)稱來自于火箭隊網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)和文件,不過目前這篇帖子已經(jīng)被刪除了。Babuk網(wǎng)絡(luò)犯罪團(tuán)伙聲稱,他們已經(jīng)刪除了相關(guān)500GB數(shù)據(jù),其中包括NBA休斯頓火箭隊的第三方合同公司、客戶、員工和財務(wù)信息[9]。
Clop勒索軟件家族被發(fā)現(xiàn)于2019年2月,屬于CryptoMix勒索軟件變種,加密文件后綴名為“.clop”。據(jù)Clop勒索軟件家族背后的攻擊者宣稱,他們的攻擊目標(biāo)不是個人用戶而是企業(yè)。2020年3月,Clop勒索軟件家族首次在暗網(wǎng)中啟用泄露數(shù)據(jù)站點,用于發(fā)布受害者信息以便實施雙重勒索攻擊。目前,該站點至今依舊處于活躍狀態(tài),相繼泄露了大量在受害者企業(yè)中竊取的數(shù)據(jù),對全球造成了嚴(yán)重的數(shù)據(jù)泄露。在2021年上半年,Clop成為最活躍的勒索軟件組織之一,被該家族攻擊后,會部署橫向滲透和遠(yuǎn)控工具等,對目標(biāo)內(nèi)網(wǎng)進(jìn)行滲透,并感染更多的機(jī)器。該勒索軟件被用于有針對性的攻擊中,通過釣魚郵件、漏洞利用或遠(yuǎn)程桌面協(xié)議(RDP)暴力破解進(jìn)行傳播。采用“威脅曝光企業(yè)數(shù)據(jù)+加密數(shù)據(jù)勒索”雙重勒索策略。
3.3.1 家族概覽
表 4 Clop家族概覽
家族名稱 | Clop |
出現(xiàn)時間 | 2019年 |
典型傳播方式(除釣魚攻擊外) | 漏洞利用、RDP暴力破解 |
加密算法 | AES+RSA |
典型加密后綴 | .clop |
解密工具 | 暫無解密工具 |
加密系統(tǒng) | Windows |
攻擊模式 | 非定向 |
常見行業(yè) | 大型企業(yè) |
常見國家/地區(qū) | 美國、德國和加拿大等 |
索要贖金支付方式 | 比特幣 |
是否雙重勒索 | 是 |
勒索信 |
3.3.2 重點案例
2021年10月,Clop 勒索軟件獲得了Dacoll Limited公司管理的數(shù)據(jù)訪問權(quán)限,竊取了1300萬人的個人信息和記錄。被盜文件包括從國家自動車牌識別 (ANPR) 系統(tǒng)中竊取的駕駛者圖像、鏡頭以及犯有交通違法行為的駕駛員面部特寫圖像等[10]。
2021年10月,Clop勒索軟件運(yùn)營商攻擊德國最大的軟件公司之一Software AG并索要2000萬美元贖金,由于價格和安全方面的考慮,第一次談判失敗后,Clop團(tuán)伙在泄密網(wǎng)站公布了顯示Software AG數(shù)據(jù)的屏幕截圖,包括員工ID掃描件、員工電子郵件、財務(wù)文件和目錄[11]。
Conti勒索軟件家族被發(fā)現(xiàn)于2019年,其背后的攻擊組織在地下論壇以RaaS(勒索軟件即服務(wù))形式運(yùn)營,并廣泛招收附屬成員。自2020年5月開始,攻擊活動逐漸增多,持續(xù)活躍至今。該勒索軟件主要通過釣魚郵件、利用其他惡意軟件、漏洞利用和遠(yuǎn)程桌面協(xié)議(RDP)暴力破解進(jìn)行傳播,組合利用多種工具實現(xiàn)內(nèi)網(wǎng)橫向移動,2021年12月Log4j被曝漏洞(CVE-2021-44228)后,Conti勒索軟件運(yùn)營者開始利用存在Log4j漏洞的VMWare vCenter進(jìn)行橫向移動。2020年7月利用匿名化Tor建立贖金支付與數(shù)據(jù)泄露平臺,采用“威脅曝光企業(yè)數(shù)據(jù)+加密數(shù)據(jù)勒索”雙重勒索策略。
安天CERT通過關(guān)聯(lián)分析發(fā)現(xiàn),該組織同運(yùn)營Ryuk勒索軟件的Wizard Spider組織分支機(jī)構(gòu)Grim Spider存在一定關(guān)系。結(jié)合Ryuk勒索軟件攻擊活躍度逐漸降低,二者使用的攻擊工具部分相同,攻擊載荷代碼段相似,都曾利用TrickBot、Emotet、IcedID和BazarLoader等木馬程序進(jìn)行傳播等多種原因,安天CERT推測Conti勒索軟件將成為Ryuk勒索軟件的繼承者。
Conti勒索軟件通過Tor建立網(wǎng)站,發(fā)布受害者信息及竊取到的數(shù)據(jù)文件。自其于2020年7月29日公布第一個受害者信息以來,截至2021年12月15日,共計公布了631個受害者信息,其中,2021年在全球范圍內(nèi)影響了超過470個組織機(jī)構(gòu)。據(jù)安天CERT統(tǒng)計,2021年11月1日至12月15日,被公開的受害者數(shù)量為90個,且可能存在未被公開的受害者。受害者所屬國家主要集中于美國、意大利、德國、澳大利亞和法國,所屬行業(yè)涉及制造、服務(wù)、建筑、金融、能源、醫(yī)療和政府組織機(jī)構(gòu)。我國也有被公開的受害者[2]。
3.4.1家族概覽
表 5 Conti家族概覽
家族名稱 | Conti |
出現(xiàn)時間 | 2019年 |
典型傳播方式(除釣魚攻擊外) | 利用其他惡意軟件、漏洞利用和RDP暴力破解 |
加密算法 | AES |
典型加密后綴 | .CONTI |
解密工具 | 暫未發(fā)現(xiàn)公開的解密工具 |
加密系統(tǒng) | Windows |
攻擊模式 | 存在定向攻擊案例 |
常見行業(yè) | 制造、服務(wù)、建筑、金融、能源、醫(yī)療和政府組織機(jī)構(gòu) |
常見國家/地區(qū) | 美國、意大利、德國、澳大利亞和法國 |
索要贖金支付方式 | 比特幣 |
是否雙重勒索 | 是 |
勒索信 |
3.4.2 重點案例
2021年5月14日,愛爾蘭衛(wèi)生服務(wù)執(zhí)行局(HSE)遭受Conti勒索軟件攻擊,導(dǎo)致多家醫(yī)院的服務(wù)取消和中斷。Conti勒索軟件攻擊者聲稱從HSE竊取了700GB的未加密文件,包括患者信息和員工信息、合同、財務(wù)報表、工資單等。愛爾蘭總理表示,他們拒絕向Conti勒索軟件背后的攻擊組織支付2000萬美元的贖金[12]。
美國俄克拉荷馬州塔爾薩市在5月遭受Conti勒索軟件攻擊,這次攻擊破壞了塔爾薩市的在線賬單支付系統(tǒng)、公用事業(yè)賬單系統(tǒng)和電子郵件系統(tǒng)。Conti勒索軟件背后的攻擊組織聲稱對此負(fù)責(zé)并表示已經(jīng)公開竊取到的18938份文件[13]。
9月22日,總部位于日本的跨國電子產(chǎn)品供應(yīng)商JVCKenwood遭受Conti勒索軟件攻擊,攻擊者聲稱竊取了1.5TB的數(shù)據(jù)并要求支付700萬美元的贖金[14]。
總部位于英國倫敦的高端珠寶商Graff在10月遭受Conti勒索軟件攻擊,被竊取文件中包含眾多名人、政治家和國家元首的數(shù)據(jù)文件[15]。該起事件的攻擊組織在其Tor網(wǎng)站上發(fā)布了數(shù)萬份文件,迫于政治壓力,11月4日該組織發(fā)表聲明,任何與沙特阿拉伯、阿聯(lián)酋和卡塔爾家庭成員有關(guān)的信息將被刪除,并向穆罕默德·本·薩勒曼王子殿下和其他所有王室成員致歉[16]。
3.5 DarkSide(更名BlackMatter)
DarkSide組織開發(fā)的勒索軟件于2020年8月首次出現(xiàn),擁有RaaS(勒索軟件即服務(wù))模式,即除DarkSide自運(yùn)營外,還存在其他的合作組織。DarkSide勒索軟件采用多線程等技術(shù)加密,加密文件速度相比其他勒索軟件更快速,即加密相同文件的用時較少。采用“RSA1024+Salsa20”算法加密文件,可以感染W(wǎng)indows和Linux系統(tǒng)。該組織在暗網(wǎng)論壇上非常活躍。DarkSide采用“竊密+勒索”的組合形式對受害者發(fā)起攻擊,這意味著攻擊者不僅加密用戶數(shù)據(jù),而且還會竊取用戶數(shù)據(jù)信息,并威脅如果不支付贖金就將其數(shù)據(jù)公開。DarkSide組織于2020年8月10日在其暗網(wǎng)論壇中聲明,根據(jù)他們的原則,不會攻擊以下目標(biāo):醫(yī)療行業(yè)、殯葬行業(yè)、教育行業(yè)、非營利性組織和政府機(jī)構(gòu)。
通過收集有關(guān)受害者的信息,據(jù)對DarkSide勒索軟件受害者的數(shù)據(jù)統(tǒng)計,平均的勒索贖金需求大概為650萬美元左右,平均業(yè)務(wù)停機(jī)時間為5天。DarkSide勒索軟件的攻擊者已經(jīng)利用了CDN服務(wù)器,用于存儲和交付從受害者那里竊取的受害數(shù)據(jù)。數(shù)據(jù)被泄漏后,將被上傳到其CDN中的服務(wù)器,這些服務(wù)器被用作攻擊者的勒索工具。根據(jù)DarkSide組織在2020年8月起在暗網(wǎng)公開泄露的數(shù)據(jù)進(jìn)行整理發(fā)現(xiàn),截至目前為止共計82家企業(yè)遭遇該勒索家族的攻擊,其中包括法律、金融、建筑、醫(yī)療、能源等行業(yè)。每個月平均都會公布十幾家企業(yè)的泄露數(shù)據(jù)。
3.5.1家族概覽
表 6 DarkSide家族概覽
家族名稱 | DarkSide(更名BlackMatter) |
出現(xiàn)時間 | 2020年8月 |
典型傳播方式(除釣魚攻擊外) | RDP暴力破解、漏洞利用 |
加密算法 | RSA1024+Salsa20 |
典型加密后綴 | 字母與數(shù)字隨機(jī)組合的8位個人ID |
解密工具 | 部分版本可解密 |
加密系統(tǒng) | Windows+Linux |
攻擊模式 | 存在定向攻擊案例 |
常見行業(yè) | 法律、金融、建筑、醫(yī)療、能源等行業(yè) |
常見國家/地區(qū) | 英語國家及地區(qū) |
索要贖金支付方式 | 比特幣和門羅幣 |
是否雙重勒索 | 是 |
勒索信 |
3.5.2 重點案例
2021年5月7日,美國最大成品油管道運(yùn)營商Colonial Pipeline公司遭到Conti勒索軟件攻擊,該起攻擊導(dǎo)致美國東部沿海主要城市輸送油氣的管道系統(tǒng)被迫下線。在DarkSide組織無法通過SSH訪問服務(wù)器的前一天,美國總統(tǒng)拜登在白宮新聞發(fā)布會上聲稱將追捕DarkSide組織,據(jù)Exploit暗網(wǎng)論壇名為UNKN的用戶發(fā)帖稱,受執(zhí)法行動影響,DarkSide已經(jīng)無法訪問其數(shù)據(jù)泄露服務(wù)器、贖金支付服務(wù)器和CDN服務(wù)器。自2021年7月出現(xiàn)以來,更名后的DarkSide勒索軟件攻擊多個美國關(guān)鍵基礎(chǔ)設(shè)施實體,包括兩個美國食品和農(nóng)業(yè)部門組織,并要求以比特幣和門羅幣支付8萬美元到1500萬美元不等的贖金。該勒索軟件組織于十一月發(fā)出公告,聲稱迫于當(dāng)局壓力和一些無法解決的問題,選擇停止運(yùn)營。
3.6 DoppelPaymer(更名Grief)
DoppelPaymer勒索軟件組織自2019年六月份以來一直活躍至今,還涉及了一系列惡意勒索活動,其中就包括美國德克薩斯州埃德庫奇市和智利的農(nóng)業(yè)部的襲擊事件。但DoppelPaymer的早期版本在2019年4月就已發(fā)布,早期版本相比后續(xù)版本缺乏很多新功能,因此目前尚不清楚是否只是為了測試而構(gòu)造的這些版本。實際上,早在去年的十一月份,微軟安全響應(yīng)中心(MSRC)就已經(jīng)發(fā)布公告提醒廣大客戶DoppelPaymer勒索軟件的威脅,并提供了相關(guān)威脅的有用信息。據(jù)有關(guān)安全研究專家表示,另一家不愿透露身份的安全公司曾提到過,DoppelPaymer勒索軟件運(yùn)營商的總部就設(shè)立在俄羅斯。
DoppelPaymer其實是BitPaymer勒索軟件的一類新變種,并將其命名為DoppelPaymer。DoppelPaymer與BitPaymer大部分代碼是相同的,不過也存在許多差異。BitPaymer之前一直由INDRIK SPIDER組織運(yùn)營,這個轉(zhuǎn)變可能意味著INDRIK SPIDER有成員出走,并自行將Dridex銀行木馬和BitPaymer融合到了一起,開啟了專屬于自己的犯罪道路。
DoppelPaymer是BitPaymer勒索軟件的繼承者,在一段時間幾乎沒有活動之后,DoppelPaymer勒索軟件業(yè)務(wù)進(jìn)行了品牌重塑,現(xiàn)在更名為Grief。從2020年2月開始,DoppelPaymer背后的惡意行為者啟動了一個數(shù)據(jù)泄漏站點。然后作為勒索軟件勒索計劃的一部分,他們通過在數(shù)據(jù)泄漏站點上發(fā)布被盜文件來威脅受害者。2021年5月17日發(fā)現(xiàn)了一個早期的Grief勒索軟件樣本。包含Grief勒索軟件代碼和贖金說明,但贖金說明中的鏈接指向DoppelPaymer贖金門戶。
3.6.1 INDRIK SPIDER起源
INDRIK SPIDER是一個復(fù)雜的網(wǎng)絡(luò)犯罪組織,該組織自2014年6月以來就一直在運(yùn)營Dridex銀行木馬。在2015年和2016年,Dridex是全世界違法收益最高的銀行木馬之一。自2014年以來,INDRIK SPIDER已經(jīng)通過該木馬獲得數(shù)百萬美元的非法利潤。經(jīng)過多年的運(yùn)營,目前Dridex已經(jīng)進(jìn)行了多次更新,變得更加復(fù)雜和專業(yè),同時在惡意軟件中添加了新的反分析功能。
隨著時間的推移,INDRIK SPIDER在其主營業(yè)務(wù)——電匯欺詐中也變得不再順風(fēng)順?biāo)?015年INDRIK SPIDER的化名“Smilex”被捕,之后英國執(zhí)法部門也采取了行動,旨在瓦解INDRIK SPIDER在Dridex活動中的洗錢網(wǎng)絡(luò),與此同時,一名幫助他們建立虛假賬戶的英國銀行雇員也被抓捕入獄。
由于這些阻礙,INDRIK SPIDER在2017年改變了他們的操作方式,只進(jìn)行規(guī)模較小的Dridex分發(fā)活動。2017年8月,該組織又引入了BitPaymer勒索軟件,并開始專注于這類高額贖金的勒索行為。
3.6.2 BitPaymer起源
BitPaymer于2017年8月首次發(fā)現(xiàn),首版的勒索信包含了贖金要求和基于TOR支付的網(wǎng)站鏈接,有標(biāo)題“Bit paymer”、用戶ID、比特幣(BTC)錢包和聯(lián)系電子郵件地址;而后不到一個月,勒索信中就不再包含贖金金額;到了2018年7月,支付網(wǎng)站的鏈接也被刪除了;再之后到現(xiàn)在,勒索信中就只剩下了兩封用于協(xié)商的聯(lián)系郵件地址。
除了上述變動之外,BitPaymer還更新為使用AES-256的CBC(密碼塊鏈接)模式,以及隨機(jī)生成的密鑰和NULL初始化向量來加密(以前版本的BitPaymer使用的是128位RC4)。
由于AES是塊密碼,在數(shù)據(jù)不是塊大小的倍數(shù)的情況下需要對其填充,通常是通過添加零或n次填充來實現(xiàn)。但是,INDRIK SPIDER選擇用隨機(jī)生成的n個字節(jié)來填充,也就是說必須知道這些隨機(jī)填充的字節(jié)才能正確解密文件的最后一個數(shù)據(jù)塊。這反映在勒索說明的新字段TAIL中,其中包含Base64編碼的TAIL和加密的AES KEY。
3.6.3 家族概覽
表 7 DoppelPaymer家族概覽
家族名稱 | DoppelPaymer(更名Grief) |
出現(xiàn)時間 | 2019年 |
典型傳播方式(除釣魚攻擊外) | 漏洞利用、RDP暴力破解 |
加密算法 | AES+RSA |
典型加密后綴 | .locked |
解密工具 | 暫未發(fā)現(xiàn)解密工具 |
加密系統(tǒng) | Windows |
攻擊模式 | 存在定向攻擊案例 |
常見行業(yè) | 政府、零售業(yè)/批發(fā)業(yè)、制造業(yè)、金融、保險、交通/后勤、高科技、醫(yī)療、房地產(chǎn) |
常見國家/地區(qū) | 美國、加拿大、墨西哥、南非、比利時、意大利、挪威、德國 |
索要贖金支付方式 | 比特幣 |
是否雙重勒索 | 是 |
勒索信 |
3.6.4 重點案例
2021年9月10日,Rehabilitation Support Services, Inc. (RSS) 發(fā)布聲明稱6月份的攻擊活動可能導(dǎo)致部分現(xiàn)任及前任員工信息受到影響,姓名、地址、出生日期、社會安全號碼、健康保險信息、醫(yī)療診斷及治療等信息可能遭到未授權(quán)的訪問,疑似發(fā)生泄露[17]。
2021年10月,美國全國步槍協(xié)會(NRA)遭受Grief勒索軟件攻擊,該組織在其泄密網(wǎng)站上展示了包含美國稅務(wù)信息和投資金額的Excel電子表格的屏幕截圖,包含NRA的撥款申請[18]。
3.7 LockBit 2.0
LockBit勒索軟件家族被發(fā)現(xiàn)于2019年9月,2021年6月發(fā)布了2.0版本,通過釣魚郵件、利用其他惡意軟件、漏洞利用和遠(yuǎn)程桌面協(xié)議(RDP)暴力破解進(jìn)行傳播。其背后組織成員聲稱Lockbit2.0勒索軟件和Stealbit信息竊取程序在加密文件和竊取數(shù)據(jù)方面是如今市面上速度最快的,并且與LockBit在2019年的版本功能對比,添加了Active Directory (AD) 組策略對跨Windows域的設(shè)備進(jìn)行自動加密功能。LockBit 2.0是一款新型的勒索軟件,使用勒索軟件即服務(wù)(RaaS)模式。目前,該惡意軟件已被用于針對全球多個行業(yè)的勒索軟件攻擊。采用“威脅曝光企業(yè)數(shù)據(jù)+加密數(shù)據(jù)勒索”雙重勒索策略,在此基礎(chǔ)上,于2021年8月增加了DDoS攻擊威脅,構(gòu)成三重勒索。
3.7.1 家族概覽
表 8 LockBit 2.0家族概覽
家族名稱 | LockBit 2.0 |
出現(xiàn)時間 | 2019年 |
典型傳播方式(除釣魚攻擊外) | 利用其他惡意軟件、漏洞利用和RDP暴力破解 |
加密算法 | AES+RSA |
典型加密后綴 | .lockbit |
解密工具 | 暫未發(fā)現(xiàn)解密工具 |
加密系統(tǒng) | Windows |
攻擊模式 | 存在定向攻擊案例 |
常見行業(yè) | 重要企業(yè)及政府 |
常見國家/地區(qū) | 中國、印度、印度尼西亞、烏克蘭、英國、法國、德國等 |
索要贖金支付方式 | 比特幣 |
是否雙重勒索 | 是 |
勒索信 |
3.7.2 重點案例
2021年8月,LockBit勒索軟件組織竊取了超過200GB曼谷航空公司數(shù)據(jù),并在其泄密網(wǎng)站上發(fā)布了一條消息,威脅說如果曼谷航空不支付贖金,就會泄露竊取數(shù)據(jù),消息還顯示他們有更多的數(shù)據(jù)要泄露。調(diào)查顯示,泄露的數(shù)據(jù)可能包括乘客姓名、姓氏、國籍、性別、電話號碼、電子郵件、地址、聯(lián)系信息、護(hù)照信息、歷史旅行信息、部分信用卡信息和特殊膳食信息[19]。
2021年8月,全球IT咨詢巨頭埃森哲遭受了來自LockBit團(tuán)伙的攻擊。埃森哲事件中LockBit勒索團(tuán)伙聲稱竊取了埃森哲超過6TB的數(shù)據(jù),要求埃森哲支付5000萬美元(約3.2億人民幣)作為贖金。倒計時結(jié)束后,勒索軟件團(tuán)伙立即發(fā)布了由2384項組成的一小部分被盜數(shù)據(jù)。泄露的文件包括據(jù)稱從公司竊取的 PDF文件,這些文件作為一般營銷材料出現(xiàn)[20]。
3.8 Ragnar Locker
Ragnar Locker勒索軟件家族被發(fā)現(xiàn)于2019年12月底,通過暗網(wǎng)中購買的憑據(jù)、釣魚郵件、漏洞利用和遠(yuǎn)程桌面協(xié)議(RDP)暴力破解進(jìn)行傳播。使用特制的虛擬機(jī)映像執(zhí)行有效載荷,以規(guī)避反病毒軟件的檢測。Ragnar Locker團(tuán)隊一直都是手動投遞載荷的方式將勒索軟件投遞到目標(biāo)系統(tǒng),并對目標(biāo)系統(tǒng)的文件數(shù)據(jù)進(jìn)行加密。他們前期會花費大量時間進(jìn)行網(wǎng)絡(luò)偵察活動,然后嘗試識別目標(biāo)用戶、組織或企業(yè)內(nèi)的網(wǎng)絡(luò)資源、數(shù)據(jù)備份以及其他的敏感文件,并在竊取到這些數(shù)據(jù)之后對數(shù)據(jù)進(jìn)行完整加密。除了公布數(shù)據(jù)以外,Ragnar Locker勒索軟件家族還表示,如果被攻擊企業(yè)想要聘用職業(yè)談判官來跟他們交涉的話,鑒于這些談判官通常就職于警方/FBI/政府調(diào)查部門下屬的數(shù)據(jù)恢復(fù)公司,甚至本身就是政府雇員,他們的介入只會讓數(shù)據(jù)恢復(fù)的過程變得更加復(fù)雜和困難。因此,一旦受害者聯(lián)系數(shù)據(jù)恢復(fù)專家嘗試解密數(shù)據(jù),或試圖協(xié)商贖金,他們同樣會把數(shù)據(jù)泄露出來。
3.8.1 家族概覽
表 9 Ragnar Locker家族概覽
家族名稱 | Ragnar Locker |
出現(xiàn)時間 | 2019年 |
典型傳播方式(除釣魚攻擊外) | 暗網(wǎng)中購買的憑據(jù)、漏洞利用和RDP暴力破解 |
加密算法 | Salsa20 |
典型加密后綴 | .ragnar_<ID> |
解密工具 | 暫未發(fā)現(xiàn)解密工具 |
加密系統(tǒng) | Windows |
攻擊模式 | 存在定向攻擊案例 |
常見行業(yè) | 大型企業(yè) |
常見國家/地區(qū) | 除獨聯(lián)體國家語言外 |
索要贖金支付方式 | 比特幣 |
是否雙重勒索 | 是 |
勒索信 |
3.8.2 重點案例
2021年6月,因威剛拒絕支付贖金,勒索團(tuán)伙Ragnar Locker已經(jīng)將700多GB的威剛數(shù)據(jù)公布在網(wǎng)上。這些數(shù)據(jù)是以13個受密碼保護(hù)的檔案形式上傳的。Ragnar Locker在存儲平臺MEGA上發(fā)布了元數(shù)據(jù)檔案,最大的文檔接近300GB。從檔案名稱來看,可能包含財務(wù)信息、保密協(xié)議等類型的詳細(xì)信息。該組織還發(fā)布了幾張截圖證明其持有的威剛數(shù)據(jù)[21]。
EDP北美可再生能源公司(EDPR NA)證實,其母公司葡萄牙跨國能源巨頭葡萄牙能源公司(EDP)受到Ragnar Locker勒索軟件攻擊。攻擊者要求EDP Group支付1580比特幣(約合1000萬美元)的贖金購買解密器,并停止泄露據(jù)稱從該組織服務(wù)器竊取的10TB數(shù)據(jù)對公眾。根據(jù)EDP?加密系統(tǒng)上的贖金記錄,攻擊者能夠竊取有關(guān)賬單、合同、交易、客戶和合作伙伴的機(jī)密信息[22]。
3.9 RansomEXX
RansomEXX勒索軟件也稱Defray777和Target777,于2017年首次被發(fā)現(xiàn)。它是第一個具有適用于Windows和Linux兩個版本可執(zhí)行文件的勒索軟件,Windows版本加密所有文件,Linux版本僅加密特定目錄文件,可通過命令行參數(shù)進(jìn)行指定。從2020年底到整個2021年,RansomEXX不僅加密目標(biāo)系統(tǒng)文件,也開始竊取目標(biāo)系統(tǒng)數(shù)據(jù),將竊取的數(shù)據(jù)公布在暗網(wǎng)上。RansomEXX與威脅組織PyXie存在一定關(guān)聯(lián),并針對醫(yī)療保健、教育、制造、政府、建筑和工程以及高科技等行業(yè),常見被攻擊國家是美國、加拿大、澳大利亞、日本、法國和巴西。在2020年2月至10月期間,RansomEXX通過惡意軟件Trickbot和IcedID進(jìn)行分發(fā)。通過釣魚郵件、漏洞利用和遠(yuǎn)程桌面協(xié)議(RDP)暴力破解進(jìn)行傳播,采用“威脅曝光企業(yè)數(shù)據(jù)+加密數(shù)據(jù)勒索”雙重勒索策略。
3.9.1 家族概覽
表 10 RansomEXX家族概覽
家族名稱 | RansomEXX |
出現(xiàn)時間 | 2018年 |
典型傳播方式(除釣魚攻擊外) | 漏洞利用、RDP暴力破解 |
加密算法 | RSA+AES |
典型加密后綴 | .ransomexx |
解密工具 | 暫未發(fā)現(xiàn)解密工具 |
加密系統(tǒng) | Windows、Linux |
攻擊模式 | 存在定向攻擊案例 |
常見行業(yè) | 醫(yī)療衛(wèi)生、教育、制造業(yè)、政府、建筑/工程、高科技 |
常見國家/地區(qū) | 美國、加拿大、澳大利亞、日本、法國、巴西 |
索要贖金支付方式 | 比特幣 |
是否雙重勒索 | 是 |
勒索信 |
3.9.2 重點案例
RansomExx勒索軟件團(tuán)伙的成員在他們的暗網(wǎng)門戶網(wǎng)站上發(fā)布了技嘉公司遭入侵說明,如果受害者不予合作,RansomExx也會選擇在這里公布對方的敏感數(shù)據(jù)。攻擊者在暗網(wǎng)表示:“我們已經(jīng)下載112GB的文件,并隨時準(zhǔn)備公布。其中大部分屬于須遵守保密協(xié)議的數(shù)據(jù)(涉及英特爾、AMD與American Megatrends)[23]。
2021年7月,厄瓜多爾的國營企業(yè) Corporación Nacional de Telecomunicación (CNT) 遭受勒索軟件攻擊,導(dǎo)致業(yè)務(wù)運(yùn)營、支付門戶和客戶支持中斷。研究人員了解到這次攻擊是由名為RansomEXX的勒索軟件團(tuán)伙造成的,研究人員分享了該團(tuán)伙的數(shù)據(jù)泄露站點的隱藏鏈接,該鏈接警CNT,如果不支付贖金,該團(tuán)伙將泄露在攻擊期間竊取的數(shù)據(jù)[24]。
3.10 REvil(Sodinokibi)
該勒索軟件家族被發(fā)現(xiàn)于2019年,其背后的攻擊組織在地下論壇以RaaS(勒索軟件即服務(wù))形式運(yùn)營,通過關(guān)聯(lián)對比分析發(fā)現(xiàn)其為GandCrab勒索軟件繼承者,通過釣魚郵件、漏洞利用和遠(yuǎn)程桌面協(xié)議(RDP)暴力破解進(jìn)行傳播。2019年6月,安天在《勒索軟件Sodinokibi運(yùn)營組織的關(guān)聯(lián)分析》報告[25]中提到,該勒索組織是一個不斷套用、利用其他現(xiàn)有惡意工具作為攻擊載體,傳播勒索軟件、挖礦木馬以及竊密程序的具有一定規(guī)模的黑產(chǎn)組織,并在全球范圍內(nèi)實施普遍性、非針對性勒索、挖礦、竊密攻擊。自2019年以來,REvil勒索組織采用“威脅曝光企業(yè)數(shù)據(jù)+加密數(shù)據(jù)勒索”雙重勒索策略。安天CERT認(rèn)為LV勒索軟件出現(xiàn)于2020年末,二者在代碼結(jié)構(gòu)和勒索信格式上較為相似,被認(rèn)為是REvil勒索軟件的繼承者。
3.10.1 家族概覽
表 11 REvil(Sodinokibi)家族概覽
家族名稱 | REvil(Sodinokibi) |
出現(xiàn)時間 | 2019年 |
典型傳播方式(除釣魚攻擊外) | 漏洞利用、RDP暴力破解 |
加密算法 | Salsa20+ECDH |
典型加密后綴 | <原文件名>+<原文件后綴名>+.<隨機(jī)擴(kuò)展名> |
解密工具 | 暫未發(fā)現(xiàn)解密工具 |
加密系統(tǒng) | Windows、Linux |
攻擊模式 | 存在定向攻擊案例 |
常見行業(yè) | 法律、制造業(yè)、媒體、零售業(yè)/批發(fā)業(yè)、建筑/工程、能源 |
常見國家/地區(qū) | 美國、澳大利亞、加拿大、芬蘭、中國香港 |
索要贖金支付方式 | 比特幣、門羅幣 |
是否雙重勒索 | 是 |
勒索信 |
3.10.2 重點案例
2021年7月,該勒索組織發(fā)動了迄今為止規(guī)模最大的一次攻擊,利用Kaseya VSA 遠(yuǎn)程管理平臺中的零日漏洞,加密了大約60家托管服務(wù)提供商和1500多家企業(yè),并索要高達(dá)7000萬美元的贖金。本次事件引起了國際執(zhí)法部門的關(guān)注,該勒索組織可能出于被逮捕的擔(dān)憂,于2021年7月13日關(guān)閉了支付網(wǎng)站、數(shù)據(jù)泄露網(wǎng)站等基礎(chǔ)設(shè)施。自2021年2月以來,共計逮捕了7名涉嫌參與勒索軟件攻擊事件的REvil組織成員,從FTX加密交易交易所沒收了610萬美元的資產(chǎn)[26]。
2021年5月,攻擊者攻擊了支持JBS食品公司北美和澳大利亞IT系統(tǒng)的多臺服務(wù)器,JBS 被迫關(guān)閉 其部分食品生產(chǎn)站點。JBS向攻擊者支付了1100萬美元贖金,以防止他們被盜的數(shù)據(jù)被公開泄露并緩解可能出現(xiàn)的技術(shù)問題[27]。
[1]破壞而非加密文件的勒索軟件Combo13分析
https://www.antiy.cn/research/notice&report/research_report/20210517.html
[2]Conti勒索軟件分析報告
https://www.antiy.cn/research/notice&report/research_report/20211220.html
[3]針對工控的勒索軟件Cring樣本分析
https://www.antiy.cn/research/notice&report/research_report/20210528.html
[4]關(guān)于美燃油管道商遭勒索攻擊事件樣本與跟進(jìn)分析
https://www.antiy.cn/research/notice&report/research_report/20210511.html
[5]Sodinokibi/REvil勒索組織近期活動梳理與最新樣本分析
https://www.antiy.cn/research/notice&report/research_report/20210918.html
[6]保險公司 AXA 在放棄對贖金支付的支持后受到勒索軟件的打擊
https://www.bleepingcomputer.com/news/security/insurer-axa-hit-by-ransomware-after-dropping-support-for-ransom-payments/
[7]在勒索軟件 DDoS 威脅后,墨西哥封鎖了國家彩票網(wǎng)站
https://www.bleepingcomputer.com/news/security/mexico-walls-off-national-lottery-sites-after-ransomware-ddos-threat/
[8]勒索軟件團(tuán)伙泄露數(shù)據(jù)后,哥倫比亞特區(qū)警方確認(rèn)網(wǎng)絡(luò)攻擊
https://www.bleepingcomputer.com/news/security/dc-police-confirms-cyberattack-after-ransomware-gang-leaks-data/
[9]Babuk 勒索軟件攻擊 NBA 休斯頓火箭隊
https://www.cybersecurity-insiders.com/babuk-ransomware-attack-on-nba-houston-rockets/
[10]Clop 勒索軟件團(tuán)伙正在泄露英國警方的機(jī)密數(shù)據(jù)
https://securityaffairs.co/wordpress/125792/cyber-crime/clop-ransomware-uk-police.html
[11]Clop 勒索軟件攻擊后發(fā)布的 Software AG 數(shù)據(jù)
https://threatpost.com/software-ag-data-clop-ransomware/160042/
[12]系統(tǒng)遭到Conti勒索軟件團(tuán)伙攻擊后,愛爾蘭健康服務(wù)執(zhí)行局(HSE)拒絕支付2000萬美元的贖金要求
https://securityaffairs.co/wordpress/118001/cyber-crime/ireland-health-service-executive-conti-ransomware.html
[13]塔爾薩警方稱,在Conti勒索軟件攻擊后,在暗網(wǎng)泄露了18000個包含市民信息的文件
https://www.zdnet.com/article/tulsa-warns-residents-that-police-citations-and-reports-leaked-to-dark-web-after-conti-ransomware-attack/
[14]JVCKenwood被Conti勒索軟件攻擊,聲稱竊取了1.5TB數(shù)據(jù)
https://www.bleepingcomputer.com/news/security/jvckenwood-hit-by-conti-ransomware-claiming-theft-of-15tb-data/
[15]Conti Group在對珠寶商進(jìn)行贖金攻擊后泄露名人數(shù)據(jù)
https://www.infosecurity-magazine.com/news/conti-leak-celebs-data-ransom/
[16]Conti致歉聲明
https://pastebin.com/eeLNnAG0
[17]康復(fù)支持服務(wù)將 IT 安全事件通知現(xiàn)任和前任員工及客戶
https://www.prnewswire.com/news-releases/rehabilitation-support-services-notifies-current-and-former-employees-and-clients-of-it-security-incident-301373523.html
[18]Grief 勒索軟件團(tuán)伙襲擊了美國全國步槍協(xié)會 (NRA)
https://securityaffairs.co/wordpress/123849/cyber-crime/grief-ransomware-hit-nra.html
[19]LockBit 勒索軟件運(yùn)營商泄露了屬于曼谷航空公司的 200GB 數(shù)據(jù)
https://securityaffairs.co/wordpress/121702/data-breach/lockbit-gang-bangkok-airways.html
[20]LockBit 2.0 勒索軟件攻擊埃森哲
https://cybernews.com/security/the-lockbit-2-0-ransomware-attack-against-accenture-time-is-running-out/
[21]威剛在 Ragnar Locker 勒索軟件攻擊中泄露 700 GB 數(shù)據(jù)
https://www.bleepingcomputer.com/news/security/adata-suffers-700-gb-data-leak-in-ragnar-locker-ransomware-attack/
[22]EDP 能源巨頭確認(rèn) Ragnar Locker 勒索軟件攻擊
https://www.bleepingcomputer.com/news/security/edp-energy-giant-confirms-ragnar-locker-ransomware-attack/
[23]技嘉科技傳出遭勒索軟體攻擊,該公司公告部分伺服器遭網(wǎng)路攻擊
https://www.ithome.com.tw/news/146075
[24]RansomEXX 勒索軟件攻擊厄瓜多爾國營 CNT 電信公司
https://www.bleepingcomputer.com/news/security/ecuadors-state-run-cnt-telco-hit-by-ransomexx-ransomware/
[25]勒索軟件Sodinokibi運(yùn)營組織的關(guān)聯(lián)分析
https://www.antiy.cn/research/notice&report/research_report/20190628.html
[26]REvil/Kaseya 事件更新
https://cyberint.com/blog/research/revil-kaseya-incident-update/
[27]JBS向REvil勒索軟件支付了1100萬美元,首次要求支付2250萬美元
https://www.bleepingcomputer.com/news/security/jbs-paid-11-million-to-revil-ransomware-225m-first-demanded/
近期,央視播出的電視劇《赤熱》引發(fā)了廣泛討論和爭議。該劇以90年代初期為背景,主要講述了成功企業(yè)家張海潮(黃曉明飾)在時代變革中面臨的家庭與事業(yè)抉擇。然而,盡管劇組在制作過程中力圖展現(xiàn)出創(chuàng)業(yè)者的辛酸歷程,觀眾對劇集的反應(yīng)卻迥異于預(yù)期。
張海潮是一位在商業(yè)世界中取得成功的企業(yè)家,他的生活看似光鮮亮麗,卻在一場家庭危機(jī)中面臨前所未有的挑戰(zhàn)。劇情中,他的妻子黃林希(王鷗飾)被指控走私機(jī)器人,這一事件不僅動搖了他們的家庭基礎(chǔ),也讓他陷入了困境。
為了保護(hù)妻子,張海潮不惜一切努力籌措保釋金。這一過程不僅僅是金錢的堆積和交易,更是他內(nèi)心深處情感的煎熬。他在商業(yè)世界上游刃有余,卻在家庭面前顯得無能為力。每一個籌措資金的環(huán)節(jié),都是他內(nèi)心掙扎和選擇的體現(xiàn),每一次失敗和挫折,都是他內(nèi)心戲劇性轉(zhuǎn)折的表現(xiàn)。
盡管劇情深入人心,觀眾們對于劇中張海潮的表演和劇情發(fā)展卻提出了嚴(yán)厲批評。他們認(rèn)為黃曉明扮演的張海潮過于油膩,缺乏真實感,而劇情則充斥著大量讓人啼笑皆非的笑料。尤其是張海潮的“肥碩”形象和不經(jīng)意間的滑稽感成為了廣大觀眾討論的熱點。
隨著劇情逐漸升溫,張海潮和黃林希不僅面臨著家庭的崩潰,還承受著事業(yè)的雙重壓力。股東們對未來的企業(yè)發(fā)展方向意見分歧,使得劇集的結(jié)局更顯撲朔迷離。這種家庭與事業(yè)交織的復(fù)雜局面,既是張海潮內(nèi)心掙扎的真實寫照,也是觀眾們情感共鳴的源泉。
《赤熱》作為央視重點打造的電視劇,本應(yīng)該受到更多的關(guān)注和好評。然而,觀眾們對劇中角色設(shè)定和演員表現(xiàn)的負(fù)面評價卻讓劇組和制作方感到尷尬。劇集制作團(tuán)隊在創(chuàng)作過程中,力圖通過復(fù)雜的人物關(guān)系和社會背景的描繪,展現(xiàn)出了90年代初期中國創(chuàng)業(yè)者的真實面貌,但似乎未能完全獲得觀眾的認(rèn)同。
在網(wǎng)絡(luò)論壇上,有網(wǎng)友對《赤熱》的劇情和演員表現(xiàn)發(fā)表了各種看法。一位網(wǎng)友寫道:“這部劇的劇情看起來很有潛力,但是角色設(shè)定太過于夸張,讓人感覺不真實。特別是黃曉明的表演,總是讓人覺得他在‘演戲’,而不是‘演角色’。”這種對演員表演的批評,反映了觀眾對于角色真實性的擔(dān)憂。
另一位網(wǎng)友則評論道:“劇中的社會背景和時代氛圍勾勒得很生動,但是主角張海潮的形象設(shè)計有些讓人無法接受。作為一個成功的企業(yè)家,他應(yīng)該更加精明和冷靜,而不是像個笑料人物。”這種對角色設(shè)定的負(fù)面評價,突顯了劇集在人物塑造上的挑戰(zhàn)和觀眾期待之間的差距。
劇組的努力在劇集中可以看出,他們通過對90年代初期中國創(chuàng)業(yè)者生活的描繪,試圖呈現(xiàn)出一個復(fù)雜而真實的畫面。然而,觀眾們的反應(yīng)表明,這種嘗試并未完全奏效。一位影評人在社交媒體上評論道:“《赤熱》的制作團(tuán)隊很用心,但是可能低估了觀眾的審美標(biāo)準(zhǔn)和情感共鳴。觀眾更希望看到真實而細(xì)膩的人物刻畫,而非過于夸張的表演和情節(jié)處理。”
劇集的觀眾評分也反映了觀眾們的態(tài)度。有網(wǎng)友在電視劇評分網(wǎng)站上留言說:“《赤熱》的前幾集看得我很期待,但是后面越來越失望了。劇情走向不明確,角色發(fā)展也缺乏深度。”這種對劇情走向和角色發(fā)展的批評,顯示出觀眾對于故事情節(jié)邏輯性和角色內(nèi)心世界的期待。
網(wǎng)友對于黃曉明“油膩”這個的看法可謂各抒己見,反響強(qiáng)烈。有些網(wǎng)友表示:“黃曉明在《赤熱》里的角色設(shè)定和表演風(fēng)格讓人覺得有些過了頭,他總是那么‘油膩’,有點讓人受不了。”這種批評主要集中在他在劇中塑造的成功人士形象顯得過于做作和不真實上。
另外一些網(wǎng)友則更加直接地表達(dá)了他們的看法:“黃曉明的角色不夠深刻,總是‘油膩’的表演風(fēng)格讓人看了有點反感。我希望他能夠嘗試更多不同類型的角色,不要總是固守在這種‘大男人’的形象里。”這種對于角色表演風(fēng)格的批評,體現(xiàn)了觀眾對于演員多樣性和角色深度塑造的期待。
還有一些網(wǎng)友則從劇情的角度出發(fā),認(rèn)為:“黃曉明的‘油膩’表演風(fēng)格和劇中角色的設(shè)計沒有很好地融合在一起,導(dǎo)致整部劇顯得有些做作。如果能夠更加真實和細(xì)膩地展現(xiàn)人物內(nèi)心的矛盾和情感沖突,可能會更受觀眾歡迎。”這種對于角色與劇情融合度的評價,反映了觀眾對于劇集整體質(zhì)量的關(guān)注和期待。
在社交媒體上,一些影視評論人也加入了討論,他們認(rèn)為:“黃曉明作為資深演員,應(yīng)該更加注意角色塑造的細(xì)節(jié)和情感層次的表現(xiàn),而不是過于強(qiáng)調(diào)‘油膩’的外在形象。這種風(fēng)格可能會限制他在角色表演上的發(fā)展空間。”這種專業(yè)的觀點,對于演員在角色塑造和表演風(fēng)格上的指導(dǎo)意義重大。
黃曉明在《赤熱》中的“油膩”形象引發(fā)了廣泛的討論和反思。觀眾和評論人的不同看法,展示了他們對于角色塑造和演員表演風(fēng)格的多樣性期待。對于黃曉明來說,這也是一個在演藝道路上不斷學(xué)習(xí)和進(jìn)步的過程,希望他能夠在未來的作品中展現(xiàn)出更加豐富和深刻的表演。
《赤熱》在央視播出后,遭遇到了觀眾們的強(qiáng)烈批評和要求停播下架的聲音。對于這樣一部期望被理解和認(rèn)可的電視劇來說,面對如此反響,或許劇組在今后的作品中能夠更加審慎地處理角色設(shè)定和表現(xiàn)風(fēng)格,以期挽回觀眾的喜愛與支持。
歡迎在評論區(qū)留下您的寶貴意見和看法,期待與大家的討論。
注:原創(chuàng)不易,抄襲洗稿,必將深究。圖片來源于網(wǎng)絡(luò),如有侵權(quán)請聯(lián)系刪除