1989年,哈佛大學學生約瑟夫·L·波普製作了全球首個勒索病毒—AIDS木馬,這位哈佛高材生將勒索病毒隱藏在軟盤中並分發給國際衛生組織艾滋病大會的參會者。此款勒索病毒會記錄用戶設備重啟次數,一旦超過90次就會對電腦中的文件進行加密,並要求郵寄189美元才能解密重新訪問系統。雖然“名牌大學生惡作劇+郵寄支付贖金”的標籤在今天看來既沒有多大危害,也不夠專業,但勒索病毒發起的對經濟社會的攻擊,在此後的30多年中逐漸演變為讓人聞之色變的網絡攻擊浪潮。
勒索攻擊從惡作劇向
專業組織化網絡攻擊演變
勒索攻擊又稱為“贖金木馬”,是指網絡攻擊者通過對目標數據強行加密,導致企業核心業務停擺,以此要挾受害者支付贖金進行解密。如同我們把錢放在保險箱,小偷沒有撬開保險箱偷錢,反而把放保險箱的房間加了把鎖。如果沒有房間的鑰匙,我們依然拿不到保險箱裡的錢。勒索攻擊發展歷程並不長,在30多年的發展過程中,主要經曆三個階段:1989至2009年是勒索攻擊的萌芽期,在這20年中,勒索攻擊處於起步階段,勒索攻擊軟件數量增長較為緩慢,且攻擊力度小、危害程度低。 2006年我國首次出現勒索攻擊軟件。 2010年以後,勒索軟件進入活躍期,幾乎每年都有變種出現,其攻擊範圍不斷擴大、攻擊手段持續翻新。 2013年以來,越來越多的攻擊者要求以比特幣形式支付贖金;2014年出現了第一個真正意義上針對Android平台的勒索攻擊軟件,標誌著攻擊者的注意力開始向移動互聯網和智能終端轉移。勒索攻擊在2015年後進入高發期,2017年WannaCry勒索攻擊在全球範圍內大規模爆發,至少150個國家、30萬名用戶受害,共計造成超過80億美元的損失,至此勒索攻擊正式走入大眾視野並引發全球關注。
勒索攻擊典型特徵與案例
近年来勒索攻击席卷全球,几乎所有国家的政府、金融、教育、医疗、制造、交通、能源等行业均受到影响,可以说有互联网的地方就可能存在勒索攻击。2021年5月,美国17个州能源系统受到勒索攻击,导致美国最大的燃料管道运营商Colonial关闭约8851公里的运输管道,犯罪分子在短时间内获取了100G数据,并锁定相关服务器等设备数据,要求支付75个比特币作为赎金(相当于440万美元)。勒索攻击已经成为未来一段时期网络安全的主要威胁。总的来看,勒索攻击有4个显著特征:
(一) 隐蔽性强且危害显著
勒索攻擊善於利用各種偽裝達到入侵目的,常見的傳播手段有借助垃圾郵件、網頁廣告、系統漏洞、U盤等。隱蔽性是勒索攻擊的典型攻擊策略。在入口選擇上,攻擊者以代碼倉庫為感染位置對源代碼發動攻擊;在上線選擇上,寧可放棄大量的機會也不願在非安全環境上線;在編碼上,高度仿照目標公司的編碼方式和命名規範以繞過複雜的測試、交叉審核、校驗等環節。此外,攻擊者往往在發動正式攻擊之前就已控制代碼倉庫,間隔幾個月甚至更長時間才引入第一個惡意軟件版本,其潛伏時間之長再一次印證了勒索攻擊的高隱蔽性。
調查發現,某些勒索攻擊事件的製造者利用尚未被發現的網絡攻擊策略、技術和程序,不僅可以將後門偷偷嵌入代碼中,而且可以與被感染系統通信而不被發現。這些策略、技術和程序隱藏極深且很難完全從受感染網絡中刪除,為攻擊活動細節的調查取證和後續的清除工作帶來巨大的挑戰。此外,勒索攻擊一般具有明確的攻擊目標和強烈的勒索目的,勒索目的由獲取錢財轉向竊取商業數據和政治機密,危害性日益增強。
(二) 變異較快且易傳播
目前活躍在市面上的勒索攻擊病毒種類繁多呈現“百花齊放”的局面,而且每個家族的勒索病毒也處於不斷地更新變異之中。 2016年勒索軟件變種數量達247個,而2015年全年只有29個,其變體數量比上一年同期增長了752%。變體的增多除了依賴先進網絡技術飛速發展以外,還與網絡攻擊者“反偵查”意識的增強相關。很多勒索軟件編寫者知道安全人員試圖對其軟件進行“逆向工程”,從而不斷改進勒索軟件變體以逃避偵查。比如爆發於2017年的WannaCry,在全球範圍蔓延的同時也迅速出現了新的變種——WannaCry 2.0,與之前版本的不同是,這個變種不能通過註冊某個域名來關閉傳播,因而傳播速度變得更快。
(三) 攻擊路徑多樣化
近年來越來越多的攻擊事件表明,勒索攻擊正在由被動式攻擊轉為主動式攻擊。以工業控制系統為例,由於設計之初沒有考慮到海量異構設備以及外部網絡的接入,隨著開放性日益增加,設備中普遍存在的高危漏洞給了勒索攻擊以可乘之機,一旦侵入成功即可造成多達數十億台設備的集體淪陷。隨著遠程監控和遠程操作加快普及並生產海量數據,網絡攻擊者更容易利用系統漏洞發動遠程攻擊,實現盜取數據、中斷生產的目的。為了成功繞過外部安裝的防火牆等安全設施,不少勒索攻擊誘導企業內部員工洩露敏感信息。除了針對運營管理中存在的薄弱環節,勒索攻擊還在設備安裝過程中利用內置漏洞進行橫向滲透,一旦發現系統已有漏洞則立即感染侵入。
(四) 攻擊目標多元化
一方面是從電腦端到移動端。勒索病毒大多以電腦設備為攻擊目標,其中Windows操作系統是重災區。但隨著移動互聯網的普及,勒索攻擊的戰場從電腦端蔓延至移動端,並且有愈演愈烈的趨勢。俄羅斯卡巴斯基實驗室檢測發現,2019年針對移動設備用戶個人數據的攻擊達67500個,相比2018年增長了50%。同年卡巴斯基移動端產品共檢測到350多萬個惡意安裝軟件包,近7萬個新型移動端銀行木馬和6.8萬多個新型移動端勒索軟件木馬。
另一方面是從個人用戶到企業設備。個人設備在勒索軟件攻擊目標中一直佔據較高比例,但隨著傳統勒索軟件盈利能力的持續下降,對更高利潤索取的期待驅使網絡攻擊者將目標重點聚焦在政府或企業的關鍵業務系統和服務器上。比如在今年7月16日發生的國家級勒索事件中,厄瓜多爾最大網絡運營商CNT遭遇勒索軟件RansomEXX的攻擊,致使其業務運營、支付門戶及客戶支持全部陷入癱瘓,犯罪團伙聲稱已經取得190GB的數據,並在隱藏的數據洩露頁面上分享了部分文檔截圖。
隨著AI、5G、物聯網等技術的快速普及和應用,以及加密貨幣的持續火爆,勒索攻擊呈現出持續高發態勢,全球大量知名企業都曾遭到勒索攻擊並導致經濟和聲譽損失。據《2020年我國互聯網網絡安全態勢綜述》統計,2020年我國全年捕獲勒索病毒軟件78.1萬餘個,較2019年同比增長6.8%。據Cybersecurity Adventure統計,2021年全球勒索軟件破壞成本預計將達到200億美元,高於2015年3.25億美元的61倍。
勒索攻擊7大趨勢特點
(一) 影響社會正常運轉且難解密
勒索攻擊對社會正常運轉帶來較大挑戰。在民生方面,大型企業遭到勒索攻擊嚴重影響民眾正常生活。 2021年5月全球最大的肉類供應商JBS遭到勒索病毒攻擊,部分牛羊屠宰加工廠停擺,美國肉類批發價格出現上漲,使得本就受到疫情衝擊的全球食品供應鏈雪上加霜。在醫療衛生方面,勒索攻擊不但造成巨額經濟損失,同時也威脅到病人生命安全。 2020年9月,德國杜塞爾多夫醫院30多台內部服務器遭到勒索攻擊,一位前來尋求緊急治療的婦女被迫轉送至其他醫院後死亡。這是公開報導的第一起因勒索攻擊導致人死亡的事件。國內也出現過類似的勒索攻擊事件,如某建築設計院遭遇勒索病毒攻擊,數千台電腦文件被加密,工程圖紙無法訪問,損失慘重。
勒索攻擊使用的加密手段越來越複雜多樣,絕大多數不能被解密。業內專家普遍認為遭受勒索攻擊之後,沒有“特效藥”。受害者往往需要在支付巨額贖金和數據恢復重建中做出選擇。即使一些勒索攻擊採用的加密算法是公開的,但是依靠現有的算力或者是通過暴力破解的方式也難以進行解密,因為暴力解密往往需要上百年的時間。
(二) 勒索攻擊SaaS化
隨著雲計算、人工智能等新技術的快速普及和應用,勒索軟件即服務成為當前網絡攻擊的新模式。勒索軟件黑色產業層級分明,全鏈條協作,開發者只管更新病毒,拓展傳播渠道大肆釋放勒索病毒,各級分銷參與者點擊鼠標就能從中瓜分利潤。這種黑色產業分銷模式大大降低了勒索攻擊的傳播門檻,使網絡安全風險快速擴散。例如,依靠這種黑產模式,某勒索攻擊軟件僅用一年多時間就斂財20億美元。
勒索攻擊從製作、傳播、攻擊到收益呈現系統化、便捷化趨勢,開發者可以提供一整套解決方案,甚至包括利用加密貨幣進行贖金支付等服務。這些解決方案具有“開箱即用”的便捷性,犯罪分子獲得勒索病毒後,可以通過多種渠道進行傳播並獲利,攻擊模式更為便捷。此外,攻擊者往往並不需要任何編程技術就可以開展違法犯罪活動,理論上任何人只要支付少量費用就可以通過這類服務開展勒索攻擊,導致網絡攻擊的門檻大幅降低。
(三) 加密貨幣普及助推贖金額度快速增長
勒索病毒的製造者對贖金的要求越來越高。 2017年在全球140多個國家和地區迅速蔓延的WannaCry勒索病毒贖金僅為300美元,4年後勒索病毒要求企業支付的贖金則大多在上百萬美元, Sodinokibi勒索病毒在2019年前後出現在中國時,索要金額僅7000元人民幣,到了2020年,該團伙的勒索金額已動輒千萬美元以上。例如2020年3月,計算機巨頭宏碁公司被要求支付5000萬美元贖金;2020年11月,富士康墨西哥工廠被要求支付超過3400萬美元贖金。
高額贖金不僅讓犯罪分子賺得盆滿缽滿,同時可以藉此招攬更多人鋌而走險加入勒索攻擊行列。加密貨幣近年來成為社會關注的焦點,尤其是加密貨幣的匿名化導致監管部門很難對其進行管理。犯罪分子利用加密貨幣這一特點,有效隱匿其犯罪行徑,導致網絡攻擊門檻降低、變現迅速、追踪困難,一定程度上成為網絡犯罪快速增長的“助推劑”。
(四) 大型企業和基礎設施成為攻擊重點
傳統勒索病毒攻擊者使用廣撒網、誤打誤撞的手法,這種無差別攻擊很難預測受害者是誰,哪些受害者有價值。同時,普通用戶的數據價值相對不高,且繳納贖金的意願並不強烈。近年來,勒索攻擊對象涉及面越來越廣,目前主要針對掌握大量數據的大型企業,且定向精準攻擊趨勢愈發明顯,勒索攻擊日趨APT化。所謂APT化,即攻擊不計成本、不擇手段,從低權限帳號入手,持續滲透攻擊,直到控制企業核心服務器,再釋放勒索病毒,使巨型企業徹底癱瘓。此外,勒索攻擊APT化還意味著攻擊者入侵後會首先竊取該企業的核心數據,即使企業使用備份恢復系統,核心機密洩露也會導致極其嚴重的損失。波音公司、台積電、富士康、全球最大的助聽器製造商Demant、法國最大商業電視台M6 Group都曾成為被攻擊對象。 BlackFog研究發現,2020年勒索攻擊主要針對政府部門、製造業、教育和醫療保健等行業。
同時,攻擊者開始針對特定企業有針對性地制定攻擊策略,哪些企業掌握大量有價值的數據,哪些企業就越容易遭到攻擊。針對目標企業,攻擊者手法更加多樣化、對高價值目標的攻擊進行“量身定做”,形成一整套攻擊“組合拳”。對於大型企業來講,網絡節點和上下游關聯企業與供應商都成為潛在的攻擊漏洞,產業鏈中安全薄弱環節均成為攻擊者實現突破的關鍵點。許多企業為了避免業務被中斷,往往選擇支付巨額贖金。
(五) “雙重勒索”模式引發數據洩露風險
時至今日,勒索攻擊已經從單純的支付贖金即可恢復被加密的數據,逐漸演變成先竊取商業信息和內部機密,而後威脅企業不繳納贖金將公開數據,這種新模式也被稱為“雙重勒索”。這樣一來,不僅使得勒索攻擊殺傷性增強,被勒索企業繳納贖金的可能性變大,誘使勒索攻擊者發動更多攻擊,而且極易引發大規模的行業內部數據洩露事件,使得受害企業同時承受數據公開、聲譽受損、行政處罰等多重壓力。
據不完全統計,自2019年11月首次公開報導勒索病毒竊取數據的事件以來,不到一年時間裡,有超過20個流行勒索病毒團伙加入到數據竊取的行列中。以Maze(迷宮)勒索攻擊為例,它不僅最先開始系統性地竊取數據,還以洩露數據相逼要挾用戶繳納贖金。越來越多的勒索事件表明,“雙重勒索”模式已成為現今網絡攻擊者實施攻擊的重要手段。
(六) 供應鏈成為勒索攻擊的重要切入點
供應鏈攻擊作為一種新型攻擊手段,憑藉自身難發現、易傳播、低成本、高效率等特點成功躋身最具影響力的高級威脅之列。供應鏈攻擊一般利用產品軟件官網或軟件包存儲庫等進行傳播,網絡攻擊一旦成功攻陷上游開發環節的服務器,便會引發連鎖效應,波及處於供應鏈中下游的大量企業、政府機構、組織等。由於被攻擊的應用軟件仍然來自受信任的分發渠道,惡意程序將隨著軟件的下載安裝流程悄無聲息地入侵目標電腦,逃避傳統安全產品檢查的同時又可沿供應鏈發動向後滲透攻擊,大大增加安全檢測的難度。
近年來供應鏈攻擊備受關注。 2017年6月一家不知名的烏克蘭軟件公司遭受勒索攻擊,勒索病毒通過軟件公司服務器傳播到數家全世界最大的企業之中,令其運營陷入癱瘓,造成全球範圍內約100億美元的損失。 2021年7月,美國軟件開發商Kaseya遭勒索攻擊,網絡攻擊團伙索要高達7000萬美元的贖金,有評論稱此次事件可能成為2021年影響最大的供應鏈攻擊事件。
(七) 引發網絡保險行業的惡性循環
美國戰略與國際研究中心與殺毒軟件供應商邁克菲聯合發布的一份報告指出,估計每年全球網絡攻擊所帶來的損失將達9450億美元,再加上約1450億美元的網絡防護支出費用,總經濟成本將超過1萬億美元。高額的網絡攻擊成本催生了對網絡風險保險的龐大需求市場,根據預測,到2025年網絡風險保險費用將從2016年的32.5億美元上升到200億美元。倫敦再保險經紀商Willis Re透露,今年7月保單更新季,網絡安全相關保險費率將迎來40%的大幅增長。
然而網絡保險行業欣欣向榮的表像下,卻潛藏著巨大的惡性循環危機。由於最近幾個月來全球幾大公司接連遭到災難性的勒索攻擊,越來越多的企業向網絡保險和再保險公司尋求幫助,網絡攻擊者特意挑選投保了網絡保險的公司作為攻擊目標,更加有針對性地實施勒索攻擊,使得網絡犯罪的成功率大幅提升,整體網絡環境面臨加速惡化的窘境。為遏制這一情況的繼續惡化,已有多家公司開始縮減網絡保險覆蓋範圍,法國正在考慮強制所有網絡保險商停止報銷贖金支出,以切斷網絡犯罪這一有利可圖的途徑。
提高預防意識並
構建前置安全是關鍵
由於勒索攻擊高強度加密算法的難破解性和數字貨幣交易方式的隱蔽性,並不建議將防治重點放在遭受攻擊後的解密環節,而應該著重做好預防工作,不給勒索病毒以可乘之機。
從個人用戶來講, 增強員工安全意識與加強數據備份同等重要:一方面要增強安全意識。對於可疑的郵件尤其是附帶的網址不建議隨意點開,同時系統提示的安裝補丁或者軟件病毒庫要保持及時更新。另一方面,對於使用了非對稱加密算法加密的文件,目前尚未找到有效的破解方法,一旦計算機遭到此類新型勒索病毒的攻擊只能束手待斃,因而必須在平日里就做好重要數據的備份工作,且最好使用本地磁盤和雲服務器雙備份的策略。
從企業用戶來講,解決勒索攻擊的核心是構建“安全能力前置”,提升自身的“免疫力”:
1.“安全能力前置”成為企業必選項。企業數字化程度越高,潛在的安全風險也就越大,甚至會有致命風險。被動防禦性的安全思路難以應對多樣化、動態化的網絡攻擊。因此,一方面要利用AI、大數據、雲計算等新技術實現安全能力在業務環節的前置,提前預判潛在安全風險,另一方面要對安全專家或人才能力量化,使過往積累的安全經驗與能力標準化、流程化,以實現安全能力的量化部署。
2.构建云上安全提升安全防御能力。产业互联网时代安全威胁逐步扩大,企业在应对勒索攻击时,数据备份和恢复的重要性进一步凸显。云原生安全所具备的开箱即用、自适应等显著优势将成为保障云平台和云上业务安全的重要基础。一方面云原生安全将构建安全服务全生命周期防护,伴随云上业务发展全过程。另一方面云上安全产品将向模块化、敏捷化和弹性化演进,为用户提供差异化服务,成为兼顾成本、效率和安全的“最优解”。
3.零信任有望成為勒索攻擊有效解決途徑。零信任假定所有身份、設備和行為都是不安全的,即使曾經有過被“信任”的經歷也要一視同仁,在接入時需要進行全程安全驗證和檢查。攻擊者使用竊取到的賬號信息登錄VPN或其他內部業務平台時,由於零信任採用多因子用戶驗證(即只有賬號密碼還不夠,需要配合短信驗證碼、token、人臉識別等),即使攻陷了企業的一台服務器,也無法致使勒索攻擊擴散到其他服務器。零信任體系還能有效阻止黑客入侵後在內網擴散。攻擊者可能控制某些脆弱的單點,當其通過已攻擊的終端向網絡內部更重要係統滲透時,零信任的安全機制可以及時檢測到風險,從而幫助企業將風險控制在最小限度,不至於發生全網崩潰的嚴重後果。
4. 打好保障供應鏈安全的“組合拳”。一方面,須加強代碼審計與安全檢查。機構組織可向供應商索要清單,列明其使用的所有代碼組件,以識別與開源組件漏洞有關的潛在風險。此外還可以考慮在實施代碼前,增加額外的自動化或手工檢查,並利用第三方工具對軟件及相關產品源代碼進行詳細的安全分析。另一方面,加快推動建立零信任架構等安全防護機制。供應鏈攻擊暴露出網絡安全架構最大的缺陷就是過於信任。而零信任架構意味著每個試圖訪問網絡資源的人都要進行驗證,其訪問控制不僅能應用於用戶,也適用於服務器設備與各類應用,以防止第三方供應商獲得不必要的特權,從而降低惡意軟件的滲透風險。
近期全球典型勒索攻擊匯總表
數據來源:公開信息整理
作者
翟尤 騰訊研究院產業安全中心主任、高級研究員
參考文獻:
[1]張曉玉,陳河.從SolarWinds事件看軟件供應鏈攻擊的特點及影響[J].網信軍民融合,2021(04):37-40.
[2].瑞星2020年中國網絡安全報告[J].信息安全研究,2021,7(02):102-109.
[3]李江寧,覃汐赫.工業領域的勒索攻擊態勢與應對思路[J].自動化博覽,2021,38(01):86-90.
[4]張寶移.計算機勒索病毒及防治策略分析[J].技術與市場,2020,27(10):109-110.
[5]高紅靜.近年勒索軟件威脅分析及防範策略綜述[J].保密科學技術,2018(12):21-28.
[6]李易尚.勒索軟件:過去、現在和未來[J].北京警察學院學報,2017(06):99-104.
[7]李建平.供應鏈安全:防不勝防的軟肋[J].保密工作,2021,{4}(04):58-59.
[8]嵇紹國.2020年勒索軟件攻擊情況及趨勢預測[J].保密科學技術,2020(12):33-43.
[9]2021上半年勒索病毒趨勢報告及防護方案建議,南方都市報,2021-5-10
[10] 門嘉平.勒索病毒防治策略淺析[J].網絡安全技術與應用,2020(06):23-24.
[11]吳崇斌,成星愷.勒索軟件發展現狀及應對[J].通訊世界,2019,26(08):111-112.
[12].盤點2019年勒索病毒災難事件[J].電腦知識與技術(經驗技巧),2019(12):88-90.