白宫坐不住,
两個月前,美国政府曾警告企业防范勒索软件攻击〔1〕,但就在8月26日,拜登调门升级,他召集苹果、微软、谷歌、亚马逊、摩根大通在内科技金融公司高管齐聚白宫,讨论网络保障难题,勒索软件是重点议题〔2〕,拜登承认美国基石设施“由私人公司运作,联邦政府无法独立应对挑战”〔3〕,在会后,微软、谷歌分别承诺为网络保障投入数千亿价值美元,
跪在勒索软件阴影下,又岂止是美国,
杨景诒 | 作者
李拓 | 编辑
放大灯团队 | 策划
2021年,勒索软件成全球噩梦,据安恒信息威胁情报腹地统计,今年上半年,全球至少发生1200多起勒索软件攻击大事,造成直接经济损失超过300亿美元〔4〕,
被勒索企业或组织,有两条路可选:
要么一开始就老实交钱,息事宁人;要么像巴尔摩市那样,坚持拒绝支付赎金,以致城市瘫痪三周,最后还是屈于淫威,但就便就范,也千金难求善终——2021年上半年,那些支付赎金企业平均只能找回65%文件,其余一部分则被损坏并未法访问〔5〕,
在这场不平等游戏里,各国政府、公司乃至個人运用者都无可奈何,勒索软件由此变成不法分子“财富密码”,
财源滚滚“好生意”
1989年12月,美国进化生物学家约瑟夫·波普〔Joseph Popp〕向世界卫生组织艾滋病会议、《個人电脑商业世界》杂志〔PC Business World〕分别邮寄一张被感染软盘,标签是“艾滋病信息介绍软盘”,软盘上印有“赛博格电脑公司”〔PC Cyborg Corporation〕地标,盘上存两個文件:一個伪装成关于艾滋病毒调查问卷特洛伊木马〔名为AIDS Trojan〕,另一個是安装程序,
一旦电脑被感染,C盘全部文件名将会被加密,致使系统无法启动,并发生支付赎金界面〔声称运用者安装赛博格电脑公司软件已过期,须要续费〕,
图源:〔6〕
AIDS Trojan是有记录以来最先個個勒索软件,虽说始作俑者约瑟夫·波普辩称,他收到赎金是为持助艾滋病研究〔7〕,但病毒感染数万台电脑,导致很多医学机构多年研究数据毁于一旦,
当时加密手段十分容易破解,AIDS Trojan制作者也没收到多少钱,勒索软件很快无人问津,直到2006年,一個名为Archievus勒索软件用上接近无解非对称加密算法,以后,勒索软件重获不法分子看重,得以再次流行,
近年来,勒索团伙策略又发生更迭,它们盯上政企机构,数年来,中招机构与公司越来越多——
近三年重大网络入侵勒索大事一览 | 放大灯团队制图
行业媒体保障牛也提到,2018年超过80%勒索软件感染都是针对企业〔8〕,为什么企业成“香饽饽”?
一方面,企业IT保障往往存在薄弱环节,多数恶意软件都依赖于桌面操作系统中漏洞,而企业电脑操作系统往往无法火速更新升级,这给勒索团伙可乘之机,
2017年著名勒索软件WannaCry,就利用Windows操作系统SMB协议漏洞,大肆传播,未火速修复漏洞电脑,得到“重点关照”〔9〕,
另一方面,勒索企业成功率高、回报“丰厚”,这個“生意”稳赚不赔,
以往针对個人勒索,加密数据价值较小,成功率低,如今,越来越多团伙运用“双重勒索”策略攻击意向企业,
“双重勒索”,就不法团伙在加密企业文件同时还窃取被勒索公司数据并实行备份,倘若企业不交钱,他们就威胁曝光或售卖数据,上述,任凭交不交赎金,勒索团伙都稳赚不赔 〔4〕,数据被加密尚可以经由备份恢复,可一旦机密数据泄露,企业不光品牌声誉大损,还要承担法律责任,并赔偿客户远高于赎金损失,
双重勒索对大企业十分有效,表格中提及上市咨询公司埃森哲、硬件生产商技嘉,均被勒索团伙以曝光数据要挟,
不光勒索屡屡得手,赎金也水涨船高,
Unit 42勒索软件威胁报告显示,受勒索企业支付平均赎金从2019年11.5万美元增加到2020年31.2万美元,同比增长171%〔10〕,到今年上半年,平均赎金又突破80万美元〔4〕,而单次勒索赎金最高纪录已高达7000万美元〔11〕,
图源:〔12〕
这般大张旗鼓勒索,绝对不是几個人团队小打小闹,现在勒索行业,甚至发生产业化势头,形成勒索软件就服务〔RaaS〕——一种开发者供应勒索软件,分发者入侵、勒索企业,前者从后者所获赎金中抽成商业模式,
该模式下团队由勒索软件供应商、攻击执行人员、赎金谈判人员及话务员组成,在编写软件、实施攻击、沟通谈判、接收赎金等环节各司其职〔13〕,
勒索软件就服务模式勒索流程
勒索软件就服务既降低勒索技术门槛,又分担犯罪活动风险,令网络勒索对不法分子诱惑力越来越强〔14〕,
保障企业Intel 471调查发现,2019年至2020年间新发生25個新勒索软件就服务团伙,它们发动攻击规模与所造成灾情接近无法统计〔15〕,在今年5月,攻击美国燃油管道公司Colonial Pipeline、致使美国进入国家紧急状态勒索团队DarkSide,便是勒索软件就服务模式团伙,
模式独创带来更严重灾情,
据保障公司Check Point数据,2020年勒索软件给全球企业造成约200亿美元损失,比2019年增加近75%,在数量上,今年被勒索公司较去年增加102%〔16〕,
勒索软件这么猖獗,网络保障公司就任凭管?
集体哑火网络保障服务商
网络保障厂商接近扫平电脑病毒,但面对勒索软件往往无可奈何,
一方面,“人”是勒索软件帮凶,
勒索软件入侵电脑途径最先选有四种:系统漏洞、钓鱼邮件、垃圾广告、U盘病毒,后三种都须要人为介入——企业员工打开来源不明邮件、点击不保障链接,或是把被感染U盘插入公司电脑,都会协助勒索团队越过安防系统,入侵公司〔17〕,
其中,利用“社工”原理邮件钓鱼,是最常见入侵途径,
倘若你是一名企业助理,那你一定收到这种邮件——它假装成你老板,用命令口吻要求你向这個邮箱发送机密文件,或者向指定账户汇款,就便老板现在大概就在你工位对面,这就是社工钓鱼邮件,
几封显而易见钓鱼邮件
亚信保障数据显示,91%定向攻击始于社工钓鱼邮件,这些邮件往往伪装成订单、工资单、发票;让人防难以防〔18〕,企业员工众多,但凡有一名员工疏忽,勒索团伙就会经由横向感染,接管整個企业系统〔19〕,
网络保障厂商能够应付来自外部破坏,却没法控制每一位员工鼠标,腾讯保障玄武实验室掌门人于旸感觉,“企业人员是流动,一些保障意识弱新员工大概会打破原本保障体系,”〔20〕
因为这個,“人”成企业网络保障系统中最薄弱环节,
另一方面,病毒攻击方法连续更迭,传统反入侵工具收效甚微,
网络攻防不是静态,于旸打個比方解释,“大概今天企业把保障做到95分,攻击者那边是90分,他便攻不进来,但对方无法能永远是90分,”每個月甚至每天有新攻击技术、有新漏洞发生,这些都会让分数向攻击者倾斜,
比方说,2020年新发生勒索软件,大多采用无文件攻击策略,攻击者在利用这种技术实施攻击时,无需在磁盘上写入恶意文件,可以防止传统保障软件检测,让大多数保障软件“哑火”〔21〕,
微步在线木马研究团队掌门人也告诉放大灯团队,最新勒索软件采用一些提升权限技术,能够加密要紧系统文件,还会利用Windows系统中某些特殊端口,提高加密文件速度,增加防控难度,
该掌门人表达,目前业界对于勒索软件防护更多地体现在预防、缓解上,如排查暴露在公网资产,提升相关人员保障意识等实行预防,一旦发现主机被勒索,可对相关主机实行隔离,防止勒索软件经由内网横移,攻陷更多主机,
近年,网络保障公司也在增强检测、响应本事,以应对勒索软件,
瑞星、奇安信、微步在线等公司用于防御勒索软件产品,都能起到较非常好事前防御作用,但这仍无法根治勒索软件,
终端响应技术有望改变这种局面,终端响应就在终端经由威胁情报、文件检测引擎与全攻击链路行为分析等技术手段,能够精准发现并火速告警、阻断入侵行为,但是目前业界在勒索软件“运行时”检测及响应上,尚缺乏完善方案,才让人有‘保障软件不行’印象,”微步在线木马研究团队掌门人解释,
但勒索团伙为什么偏爱美国呢?
感谢央行、感谢内网
美国互联网行业在全球最先屈一指,但受勒索软件攻击也最严重,
根据SonicWall在2021年调查,全球勒索软件受灾国Top 10中,美国位居最先個,是其他九個国家总、〔22〕,
一名前保障行业从业者告诉放大灯团队〔ID:guokr233〕,美国互联网公司技术发达,但传统企业代码老化严重,况且只能跑就不改,导致多年前漏洞一直存在,
美国市政部门也有同样缺陷,涵盖旧金山在内美国大量市政府,至今仍在用上世纪80年代软件控制交通灯、车辆登记、法庭记录、财产税,极易遭黑客入侵〔23〕,另外,大多数美国根本基石设施都归私人企业所有,而国家没有相应鼓舞措施,多数公共事业公司也都没有实施网络保障监控,一旦发生危机,私人公司无力应对〔24〕,
中国同样是勒索软件攻击重灾地,根据卡巴斯基统计,2020年下半年,中国大陆有48.4%工业控制系统计算机遭到攻击,位居全球第九〔25〕,但为什么很少听说国内有大型勒索大事?
国内外企业数字化水平差异是一個要紧原因,翼盾智能、第五空间研究院发明者朱易翔感觉,国外总体数字化层次更高,对互联网依赖性更大〔20〕,
虽说国内传统企业因数字化水平偏弱躲过一劫,但也无法心存侥幸,实际上,国内数字化水平较高企业,也有应对之法,
先说,国内企业保障意识相当高,
国内中大型企业,都有自己保障腹地,保障策略跟进速度快,能够把大一部分勒索攻击拒之门外,而一般小公司若无机密数据,出事也不在乎,数字化转型后企业,会定期备份数据,一旦遭遇勒索,只要从云端恢复就可,
备份能够协助企业免于支付赎金| 图源:〔26〕
另外,国内加密货币支付困难,成勒索团伙掣肘,
加密货币交易保障性、匿名性,给司法部门追查带来很大难度,这助长勒索软件气焰〔27〕,区块链数据平台ChainAlysis数据显示,2021年勒索软件受害者支付加密货币总金额增加 311%,约合近 3.5 亿美元,占加密货币总交易金额 7% 左右〔28〕,
而国内加密货币交易一直受到有关部门监管、监控加密货币最近流向〔29〕,甚至在近年5月,中国央行联合中国互联网金融协会、中国银行业协会等部门“封杀”加密货币,这些本为打击炒作活动政策,无意中遏制勒索软件对中国企业影响,
国内政府、政企内外网分离方案,
这些企业为防止内部重心数据泄露,会将企业内网与互联网隔离,把内部数据“困在”内部网络,同时还能屏蔽来自外部网络攻击〔30〕,
就便这般,勒索软件仍无法小觑,
伴随技术发展,互联网已不再是单纯用于娱乐、生产工具,利用IoT等技术,运用者可以经由互联网控制各类电子设备,这也意味着,倘若你手机、电脑被黑客入侵,他也同样可以控制你家里电子门锁或者窗锁,用你人身保障威胁你支付巨额赎金,
倘若你有一些特殊癖好,用上增进情趣IoT“小玩具”,那也有危险,你很大概已被不怀好意黑客盯上,这事儿可是有先例——
图源:〔31〕
倘若这些还只算是寥寥无几人小爱好,那么请设想一下,影响后世大多数人生活自动驾驶被黑,会是怎么惊悚场面——你正坐在时速120km自动驾驶车上,收到勒索软件信息:支付100万,否则汽车会冲下高速。
这时候,除付钱,你还有得选吗?
References:
〔1〕 Reuters Staff. 白宫警告企业增强网络保障措施,防范勒索软件攻击 2021.6.3 https://www.reuters.com/article/cyber-usa-warning-idCNL3S2NL3G5
〔2〕 Carrie Mihalcik, Richard Nieva. Google, Amazon, Microsoft unveil massive cybersecurity initiatives after White House meeting 2021.8.25 https://www.cnet.com/tech/services-and-software/apple-google-amazon-ceos-head-to-white-house-for-cybersecurity-meeting/
〔3〕 Andrea Shalal. U.S. to work with Big Tech, finance sector on new cybersecurity guidelines 2021.8.26 https://www.reuters.com/world/us/cyber-threats-top-agenda-white-house-meeting-with-big-tech-finance-executives-2021-08-25/
〔4〕 猎影实验室. 2021年上半年全球勒索软件势头报告 2021.6.25 https://ti.dbappsecurity.com.cn/blog/articles/2021/06/25/2021-half-year-ramsomware/
〔5〕 The State of Ransomware 2021 https://www.sophos.com/en-us/medialibrary/pdfs/whitepaper/sophos-state-of-ransomware-2021-wp.pdf?cmp=120469
〔6〕 AIDS〔Trojan horse〕 https://en.wikipedia.org/wiki/AIDS_〔Trojan_horse〕#/media/File:AIDS_DOS_Trojan.png
〔7〕 专题|勒索软件简史 2017.5.19 https://www.cebnet.com.cn/20170519/102392478.html
〔8〕 nana. 勒索软件新常态 2019.3.25 https://mp.weixin.qq.com/s/b2uEDt29lTsaKS13BiM2HA
〔9〕 Ghosh, Agamoni. 'President Trump what the f**k are you doing' say Shadow Brokers and dump more NSA hacking tools. International Business Times UK. April 9, 2017
〔10〕 Unit 42勒索软件威胁报告:2020年勒索软件平均赎金增加近两倍达31万2493美元 2021.3.18 www.199it.com/archives/1218567.html
〔11〕 Richard Lawler. Kaseya ransomware attackers demand $70 million, claim they infected over a million devices 2021.7.5 https://www.theverge.com/2021/7/5/22564054/ransomware-revil-kaseya-coop
〔12〕 Further_eye. 2020上半年勒索软件洞察报告 2020.9.21 https://www.secpulse.com/archives/141248.html
〔13〕 张莹. 新闻分析:勒索软件威胁有何新特点 2021.7.8 www.xinhuanet.com/2021-07/08/c_1127634181.htm
〔14〕 Internet Organised Crime Threat Assessment 〔IOCTA〕 2020 https://rm.coe.int/presentation-nicole-samantha-van-der-meulen-europol/1680a033b3
〔15〕 小二郎. “大流行”中“大流行”:勒索软件就服务〔RaaS〕犯罪团伙大起底 2020.12.19 https://netsecurity.51cto.com/art/202012/635851.htm?mobile
〔16〕 Check Point 研究显示:与 2020 年初相比,今年全球遭受勒索软件攻击组织增加 102% 2021.5.17 https://www.ithome.com/0/551/849.htm
〔17〕 Kriston. 企业组织易受勒索软件攻击10大原因 2019.11.25 https://www.freebuf.com/articles/network/217677.html
〔18〕 邮件保障 | 商业电子邮件诈骗〔BEC〕,真假难辨又屡屡得手?2021.7.30 https://mp.weixin.qq.com/s/938rAj-AxHM3s-y9HQTuug
〔19〕 网络攻击最优CP!勒索软件联手网络钓鱼再“夺冠” 2021.8.3 https://mp.weixin.qq.com/s/cxvNUmVOG076veGj9-_S6w
〔20〕 腾讯勒索病毒媒体沟通会
〔21〕 Alpha_h4ck. 技术分析 | 浅析无文件攻击 2018.12.18 https://www.freebuf.com/articles/system/190693.html
〔22〕 2021年上半年3亿多次勒索软件攻击量创纪录,已超2020全年数据——青少年网络保障教育 https://www.defulledu.com/index.php?s=/edu/information/info/id/544.html
〔23〕 旧金山等一些美国城市仍在运用老化软件来满足市政需求 2019.3.4 https://www.cnbeta.com/articles/tech/823805.htm
〔24〕 宋欣仪. 医疗邮政银行瘫痪三周后,佛罗里达两城市接连向黑客屈服,支付超千万级比特币赎金 2019.6.27 https://mp.weixin.qq.com/s/Em-FLVlGcbrPzhT7n7aMiA
〔25〕 Threat landscape for industrial automation systems. Statistics for H2 2020 2021.3.25 https://ics-cert.kaspersky.com/reports/2021/03/25/threat-landscape-for-industrial-automation-systems-statistics-for-h2-2020/
〔26〕 面对勒索软件,除交赎金,还能怎么办?——咱们有11個主张给你 2016.12.1 https://blog.csdn.net/heyc861221/article/details/80127131
〔27〕 网络保障专家称加密货币助长勒索软件攻击 2021.6.11 https://new.qq.com/omn/20210611/20210611A06PVU00.html
〔28〕 Ransomware Skyrocketed in 2020, But There May Be Fewer Culprits Than You Think https://blog.chainalysis.com/reports/ransomware-ecosystem-crypto-crime-2021
〔29〕 Wolfie Zhao. 中国央行开始监控虚拟货币资金流向 2018.2.28 https://36kr.com/p/***73
〔30〕 顾娟. 企业内外网分离方案是什么?2020.4.27 https://www.zhihu.com/question/314745822/answer/1183812295
〔31〕 Lorenzo Franceschi-Bicchierai. ‘Your Cock Is Mine Now:’ Hacker Locks Internet-Connected Chastity Cage, Demands Ransom 2021.1.11 https://www.vice.com/en/article/m7apnn/your-cock-is-mine-now-hacker-locks-internet-connected-chastity-cage-demands-ransom
