近日,美国联邦调查局(FBI)发布安全通告指出,勒索软件团伙Conti试图攻击破坏十多家美国医疗和应急机构的网络。



近年来,勒索软件组织危害席卷全球,诸多国家、企业机构受到重创。
 
就在5月初,美国多个州进入紧急状态,原因是黑客攻击导致燃油管道大动脉被“掐断”——美国最大的输油管道Colonial Pipeline,在遭到勒索软件攻击后被迫关闭。
 
这是美国能源基础设施遭受的最为严重、影响面最广的攻击之一,也是截至目前美国石油管道遭遇的第二起大型国际网络安全威胁事件。
 
近年来,勒索软件组织危害席卷全球,诸多国家、企业机构受到重创。但就是这样的组织,不仅研发了勒索软件,还培训“下线”,坐收提成,直接把勒索袭击当成一门生意运营了起来,甚至还发新闻稿,邀请记者采访。
 
这是要闹哪样?

1

花样翻新

 
1989年,世卫组织艾滋病大会和"PC Business World"杂志的订阅者同时收到了一份“礼物”——“艾滋病信息介绍软盘”,软盘上附有安装该程序的详细说明。
 
出于对艾滋病的好奇,2万份软盘被大家安装在各种电脑上。随即他们电脑C盘上的文件被加密,名称也变成了一堆随机字符。与此同时,屏幕弹出一条信息,称软件试用已经结束,用户必须支付订阅费,年费189美元,或378美元买断,否则无法解锁桌面。
 
不过,这个由生物研究员约瑟夫·L. 波普创造的名为“艾滋病信息木马”的勒索软件使用的是对称加密,解密工具并没花多少时间就修复了文件名。



2017年5月12日,英国伦敦,一名女士观看遭到病毒攻击的网页。

 
此后,由于没有更好的加密方法,勒索软件基本上“销声匿迹”。
 
直到17年后的2006年,“Archievus”的出现开启了勒索软件新的纪元。它首次使用RSA加密,这种非对称加密的勒索软件难以移除,会将“我的文档”目录中所有内容加密,并要求用户从特定网站购买解密文件。
 
7年后,Crypto Locker横空出世,它的出现标志着勒索软件行业开启了全新时代。这是第一个将所有关键技术结合起来的勒索软件——网络钓鱼、强加密和比特币,也是当下勒索软件的主要模板。
 
Crypto Locker病毒很容易被清除,但用户的文件被强大的公钥密码技术加密后,几乎无法解密。与此前不同的是,它还会设置最晚支付时间,规定受害者必须在收到通知后的72小时内支付赎金,否则所有的文件都将被销毁。
 
后来,“撕票”这样的勒索形式只能算普通,花样在不断翻新:2016年出现的Jigsaw堪称“花式勒索”,它的勒索通告使用了《电锯惊魂》系列电影里的Jigsaw角色(拼图杀人狂)。如果150美元的赎金未被支付,它将会每60分钟就删除一份文件,如果受害者试图终止该进程,或者重启机器,它就会马上删除1000份文件。
 
还有堪称挑战道德的勒索软件Popcorn Time,感染后用户有7天时间选择——要么支付赎金解锁数据,要么感染两位其他用户,这样你就可以免付赎金。感染虚拟机是没有用的,在被感染的两名用户支付赎金后,成为传播者的这位用户就可以获得免费的解密密钥。
 
也有一些勒索软件不走寻常路。
 
2018年,一个叙利亚人的电脑被Gand Crab病毒加密了,因无力支付勒索赎金,他再也无法看到因为战争丧生的小儿子的照片。随后Gand Crab运营团队放出了叙利亚地区的部分密钥,并在之后的病毒版本中将叙利亚地区列入白名单,不再感染。
 
虽然这样的举动让Gand Crab在国内有了“侠盗勒索”的名称,但无法掩盖其行为的非法性。该病毒在一年多的时间里经历了5个大版本的迭代,16个月内共赚到20多亿美元。2019年,Gand Crab运营团队在公开声明中表示,他们平均每人每年入账1.5亿美元,并且已经成功将这些钱洗白。“往后余生,要挥金如土,风流快活去”。
 
不过,他们的春秋大梦并没有做多久,就在嚣张声明的半个月后,罗马尼亚与欧洲多地区警方一起通过线上线下联合打击的方式,实现了对Gand Crab最新病毒版本v5.2的解密,这个勒索团伙最终覆灭。

2

一个都跑不了

 
纵然有诸多的安全防护措施,但潘多拉盒子还是逐渐被打开了。
 
目前,网络安全风险已经成为全球企业和组织共同关注的五大主要风险之一。



如今的勒索软件已经不再单纯地加密数据,还会在互联网上发布被盗数据。
 
首先,被勒索对象的数量急剧上升。
 
使用勒索病毒的成本非常低。在黑市上只要几千元就可以购买一个未知病毒,如果购买者还不知道如何使用勒索软件,客服会帮助他们发起攻击。勒索成功一次就可以获利几万元甚至几十万元,十几倍到上百倍的利润,着实让人疯狂。
 
2019年第一季度,Malwarebytes Labs公司总计侦测到35.5万次针对企业的勒索软件攻击,比2018年同期的5.7万次增加521%,比2018年第四季度的12万次增加195%。
 
与2019年相比,2020年勒索软件攻击事件在全球范围内环比增长高达62%,单在北美区域的勒索攻击数量更是激增158%。而在下半年,勒索攻击达到爆发期,零售行业受到的勒索攻击增长量高达365%,医疗行业的勒索攻击增长量也高达123%,其中Emotet恶意软件的传播甚至暴涨了4000%。
 
【注:Emotet具有用于进行银行欺诈的模块,主要针对德国、奥地利和瑞士的银行进行攻击,多年来,该恶意软件被全球安全厂商归类为银行木马。】
 
其次,被攻击的目标范围更广了。
 
勒索软件在运行模式、加密技术等方面不断创新和改进,攻击目标则呈现出从医疗、交通、政府、酒店等行业,向IoT、工控,以及公有云领域扩展的趋势。
 
2016年3月,网络攻击导致孟加拉国央行8100万美元被窃,值得庆幸的是,黑客进行转账操作时拼错了一个英文单词,银行避免8亿多美元的损失。
 
幸运并不是常态。
 
2017年,Petya勒索病毒暴发,欧洲多个国家被大规模攻击,尤其乌克兰的政府机构、银行、企业等均遭大规模攻击,甚至乌克兰副总理的电脑也遭受攻击。
 
2019年6月,世界最大飞机零件供应商之一ASCO遭遇勒索病毒攻击,生产环境系统瘫痪,千名员工被迫带薪休假。
 
2019年10月,全球最大的助听器制造商之一Demant遭受勒索病毒入侵,损失高达9500万美元。
 
2019年12月,一个名为Maze的黑客组织攻击了佛罗里达州彭萨科拉市,该市电话、市政热线、电子邮件服务器和账单支付系统遭到破坏。
 
全球最大铝生产商之一、挪威海德鲁(Norsk Hydro)公司在这一年也未能幸免,勒索软件Locker Goga的攻击让企业的IT系统遭到破环,500台服务器和2700台个人电脑无法正常运转,员工电脑的屏幕上闪现着勒索留言,示意受害者电子邮件联系解密工具和价格。
 
海德鲁被迫临时关闭多个工厂,并将挪威、卡塔尔和巴西等国家的工厂运营模式改为“可以使用的”手动运营模式,以继续执行某些运营。
 
这家市值120亿美元、全球拥有约200家工厂的巨头的供应中断,可能会引发全球铝业恐慌,因为世界上只有少数公司能够提供符合戴姆勒和福特汽车公司要求的产品,他们的客户还包括特斯拉。
 
同年,美国海岸警卫队(USCG)发布了一个海上安全警报,确认遭受Ryuk勒索软件攻击,导致其监管的一处设施的整个IT网络瘫痪。这次攻击迫使该设施在网络事件响应阶段完全关闭运营长达30多个小时。
 
最后,攻击者的“胃口”变得越来越大。
 
如今的勒索软件不仅仅涉及加密数据,还涉及数据泄露。这种“双重勒索”首先会窃取受害者的机密数据,然后对受害者的文件进行加密。如果受害者拒绝支付赎金,就会公开数据。也就是说,如今的勒索软件已经不再单纯地加密数据,还会在互联网上发布被盗数据。
 
2020年第一季度,企业平均支付的赎金增加至111605美元,比2019年第四季度增长了33%,2020年支付的赎金是2019年的两倍。2021年第一季度赎金的平均值为220298美元,相比上个季度上涨43%。赎金的中位数为78398美元,相比上个季度上涨59%。
 
不过,即使支付了赎金,还是有人不讲武德。2017年,美国好莱坞某医疗中心被黑客攻陷,并勒索340万美元的赎金,经过一番讨价还价后,医院最终支付了1.7万美元,运营得以恢复。但不久后,该院的就诊记录还是出现在数据黑市上。

3

谁在养蛊?

 
席卷全球的网络危机是谁制造的?
 
2015年,美国《商业内幕》发表文章称,一个十几岁的黑客开发了一个可以创建网络勒索软件的工具,这样普通网络用户可以轻松创建勒索软件文件,劫持他人电脑资源,并从中勒索钱财。



2017年5月13日,美国华盛顿,一名工程师将电脑接入网络。

  
如果说此前相当一部分勒索软件属于个人行为,那2017年5月12日,“Wanna Cry”勒索病毒在全球暴发的事件就颇有意味。
 
2017年4月14日晚,黑客团体影子经纪人公布了一大批网络攻击工具,其中包含“永恒之蓝”工具。“永恒之蓝”利用Windows系统的SMB漏洞可以获取系统最高权限。
 
5月12日,不法分子通过改造“永恒之蓝”制作了“Wanna Cry”勒索病毒并广泛传播。
 
电脑用户会收到一封电子邮件,往往是打着工作邀约、发货清单、安全警告等“幌子”,一旦打开相关链接,电脑就会中招。该勒索软件随即会对电脑存储的文件进行加密,使用户无法打开。电脑屏幕上弹出警告语:“你或许会试图夺回文件,还是别浪费时间了!”
 
英国公共卫生体系国民保健制度的服务系统被病毒入侵后,多家医院电脑瘫痪,不得不停止接待病人,一些救护车等医疗服务也受影响。
 
这款勒索病毒同样波及了中国,它在校园网迅速扩散,夜间高峰期每小时攻击约4000次。中国石油也表示,因全球“Wanna Cry”勒索病毒暴发,公司所属部分加油站正常运行受到威胁,公司于5月13日1时,“紧急中断所有加油站上连网络端口”。
 
150多个国家和地区、10多万个组织和机构以及30多万台电脑经历了这场勒索狂潮,损失总计高达500多亿元人民币。
 
而“永恒之蓝”的创建者是美国国家安全局(NSA)。
 
早在2016年,黑客组织影子中间人攻入美国国家安全局(NSA)的网络“武器库”——“方程式组织”,窃取了部分黑客工具和数据。
 
这个由美国国家安全局开发的网络武器“永恒之蓝”,只是美国国家安全局“方程式”组织所使用的众多网络武器之一。有业内人士表示,“方程式组织”是全球最顶尖的黑客团队,这个团队的加密程度无人能及。2010年毁掉伊朗核设施的震网病毒和火焰病毒,就被认为出自“方程式组织”之手。
 
不过,2017年美国《外交政策》辩解称,人们误解了国家安全局在创造“Wanna Cry”的过程中发挥的作用。该情报机构实际上并未创造“Wanna Cry”,而只是在无意中为这种病毒的诞生出了力。
 
多年来,美国通过在计算机上面的先天优势,挖掘出了许多可以对他国网络进行攻击的系统漏洞和木马病毒。通过打造堪比核武的全球最大网络武器库,在全球引发网络军备竞赛,给全球的网络安全带来严重的威胁。
 
这种威胁最终反噬自己。2021年,美输油管道运营商、华盛顿警局接连“中招”,被索高额赎金,国家一度进入紧急状态。

4

迅速缴械为哪般?

 
面对巨额勒索,美国财政部外国资产控制办公室曾发布咨文,警告组织不要向勒索软件支付赎金,并声称此举存在违反政府对网络犯罪集团或国家黑客施加的经济制裁的法律风险。
 
此举虽然在一定程度上有可能截断黑客的财路,但同时也使被攻击的企业处境更加艰难,大部分企业、政府等还是会乖乖交付赎金。
 
因为,不少遭到勒索软件攻击的受害者在支付赎金后就被恢复了数据。这个比例在2018年只有49%,到2020年时已增长到了67%。
 
与此同时,支付巨额赎金刺激了勒索软件的发展。企业、政府明知如此,为何还要支付?
 
原因很简单,“伤不起”。
 
对于一些受害者而言,攻击者窃取了知识产权,就等同抓住了他们的“命门”。
 
2017年“Wanna Cry”席卷全球后,网络犯罪分子才意识到企业网络的脆弱性。企业在知识产权开发上投入了大量资金,这些通常是企业最有价值的资产,如果数据被窃取出售给竞争对手或者公开泄露,对于企业竞争优势和声誉的打击往往是灾难性的,甚至会导致企业倒闭。
 
高校的学术数据更是核心资产。
 
新冠肺炎疫情迫使高等教育开始大规模变革,2020年全球针对大学的勒索软件攻击同比增长了一倍。2020年6月4日,Netwalker勒索软件团伙声称已成功攻击了加利福尼亚大学旧金山分校(UCSF),窃取了未加密的数据并对计算机进行加密。这所专注于健康科学领域的院校的医学研究成果成了“肉票”。
 
最终,学校称由于学术资料很重要,支付了部分赎金,约114万美元。
 
对于另一些受害者而言,时间就是金钱。
 
勒索软件更具针对性了,着重攻击那些可获得“最高投资回报”的行业,比如公共部门、医院及制造业。以制造业为例,这个行业中修复及重新配置设备是出了名的困难,这是因为大部分此类设备必须持续运行,才能保证制造流程的顺利运转。
 
这些企业的生产线一旦遭受攻击停工,供应链就会断掉,导致产品线整个停产,最终利润减少,股票价格下跌,甚至政治声誉毁坏。
 
还有一些受害者,付出的代价可能是生命。
 
佐治亚理工学院的网络安全研究专家披露了一款专门针对工业控制系统的恶意软件。这款勒索软件可以轻而易举地“拿下”我们日常生活所必需的一些关键基础设施。
 
研究团队作出了模型演示,当某个工业控制系统被攻击者恶意关闭之后,如果有关部门拒绝支付赎金,攻击者就可以威胁在城市供水系统中添加过量的氯,这将会给整个城市居民的人身安全带来危险。
 
对于医院来说,勒索软件的负面影响将会直接影响病人的安危。
 
还有一些趋势令人细思极恐,有研究表明,在未来国际网络空间战场上,攻击者对勒索软件的利用将不再局限于经济牟利,而更多转向纯粹的国家级破坏活动。
 
“通过对现有勒索软件的修改,对其破坏性影响,以及其攻击目标和时间规范的结合,可为进行国家级破坏行动提供行之有效的蓝图。”

5

绝不束手就擒

  
面对这些,被勒索者只有束手就擒的份吗?
 
*修补漏洞
 
修补高危漏洞,让勒索软件没有可乘之机。
 
比如传统制造业中,由于部分定制化系统过于老化,且往往安装工业生产、管理相关的独立软件,为了避免安装操作系统补丁后影响业务系统的稳定性、兼容性,厂方通常不会升级系统,留下大量易被攻击的、存在已知高危漏洞的系统。
 
*企业人员安全教育
 
在如今的勒索软件攻击中,网络不法分子更擅长利用社交信息为诱饵,以及简历、订单和护照等作为邮件主题,发动垃圾邮件或定向式攻击。一旦受害者收到这些邮件并点击链接或是下载附件,就有可能感染勒索病毒。所以,对企业员工和广大普通计算机用户进行持续的安全教育培训具有十分重要的意义。
 
*网络隔离
 
目前,勒索软件在一台PC上对数据进行加密并不是他们的最终目的,它们很可能会获得网络访问权限,然后进行广泛探索,以便尽可能多地传播其恶意软件,然后再触发并加密所有内容。
 
为了防止勒索软件的扩散,应该采取有效的网络隔离措施,将关键的业务服务程序、数据和设备隔离到独立的网络中,防止来自网络的感染。
 
*数据备份和恢复
 
可靠的数据备份可以将勒索软件带来的损失最小化,但同时也要对这些数据备份进行安全防护,避免被感染和损坏。
 
*人才培养
 
为了最大程度地提高攻击效率,绝大多数勒索软件都会选择在正常上班时间之外采取行动,以避免被IT人员发现并扫除。在Fire Eye调查的案例中,76%的勒索软件是在周末,或者上午8点~下午6点之外的时间段完成部署的。IT安全人才的严重短缺是目前企业政府面临的一大难题。
 
勒索软件攻击危害巨大,但这只是数字时代网络安全新挑战的冰山一角。数字经济的本质特征是软件定义世界,未来,整个世界都将架构在软件之上,整个世界的脆弱性将前所未有。因此,如果我们不能应对新的安全威胁,数字化跑得越快,安全积累的风险就会越大。
 
参考资料:

1.美国正在打造全球最大网络武器库引发网络军备竞赛丨央广网2019-06-13

2.揭秘勒索病毒背后黑客组织:偷了官方网络武器库丨山西晚报2017-06-11