揭秘勒索軟件威脅“新套路”:鎖定高價目標
近日美國軟件企業卡西亞公司遭勒索軟件攻擊,其客戶企業中有800家至1500家受波及。今年以來,全球勒索軟件攻擊有愈演愈烈之勢,給經濟和社會生活造成嚴重損失,已成為網絡安全主流威脅之一。勒索軟件攻擊自20世紀80年代末出現,其攻擊模式不斷發展演化,呈現新的特點和趨勢,包括更多地針對高價值目標、負面影響擴大、逐漸形成網絡犯罪“產業鏈”、越來越多地採用雙重勒索策略等。
鎖定高價目標
近幾個月來,全球發生多起重大勒索軟件攻擊事件。這些勒索軟件攻擊案有一定相似性,它們都鎖定高價值的關鍵資產並有針對性地發起攻擊,索要的贖金數額巨大,造成廣泛負面影響。
5月初,美國科洛尼爾管道運輸公司遭勒索軟件攻擊,一條輸油幹線被迫關停數日,導緻美國多個州和地區一度面臨燃油供應危機。美國聯邦調查局稱,一個名為“黑暗面”的網絡犯罪團伙是幕後黑手。為盡快恢復系統,科洛尼爾公司以比特幣方式向黑客支付價值近500萬美元贖金。部分贖金後來由美國司法部追回。
5月中旬,愛爾蘭衛生服務執行局網絡系統遭黑客攻擊,造成全國多家醫院的電子信息系統無法進入。愛爾蘭公共支出與改革部負責政府電子政務的國務部長奧西安·史密斯表示,對衛生服務執行局網絡系統的攻擊也許是該國迄今遭受的最嚴重網絡攻擊。攻擊者是來自國外的網絡犯罪團伙,其目的是為了錢。
5月底,世界肉類加工巨頭JBS公司受到黑客攻擊,其北美和澳大利亞的信息系統被“黑”,部分工廠癱瘓。一個名為“邪惡”的黑客團伙被指認為幕後黑手。該公司美國分部發布聲明證實,已向黑客支付相當於1100萬美元的贖金,以結束對公司業務的攻擊。
最新遭到攻擊的卡西亞公司是一家向IT外包公司提供軟件的企業。該公司首席執行官弗雷德·沃科拉對媒體表示,最多有1500家客戶企業受波及,而這些客戶企業的下游用戶所受影響還難以確切估計。英國牛津大學網絡安全教授夏蘭·馬丁認為,這種“供應鏈襲擊”以服務數千家下游企業的公司為目標,受害企業總數可能巨大。
美國媒體稱,這起攻擊同樣與“邪惡”黑客團伙有關,該團伙在其暗網網站上提出,卡西亞公司可以用7000萬美元加密貨幣贖金換取解除故障的通用解密器。目前該公司拒絕透露是否打算與黑客談判或支付贖金等事項。
對高價值目標的定向攻擊是隨著實體經濟的信息化程度不斷提升而出現的。據中國安天科技集團首席技術架構師肖新光介紹,較早的勒索軟件主要是非定向傳播的、帶有數據加密和刪除功能的蠕蟲病毒,依靠網絡或U盤大面積感染計算機,勒索贖金額度較低。此後,勒索攻擊與高級持續性威脅攻擊相結合,演化出針對高價值目標的定向勒索。
勒索模式進化
網絡勒索高發、威脅升級的一個重要原因是網絡犯罪生態系統的形成發展。美國媒體報導,勒索軟件攻擊如今演化為“高度分工合作的行業”,由勒索軟件供應商、贖金談判人員、攻擊執行人員及話務員等組成。肖新光介紹,在網絡勒索“產業鏈”上,一般上游團伙編寫勒索軟件並提供攻擊設施,下游團伙負責實施攻擊,上下游“分享”贖金。
據媒體報導,“邪惡”和“黑暗面”均採取名為“勒索軟件即服務”的作案模式。它們向其附屬團伙提供勒索軟件和相關設施,並從附屬團伙所獲的贖金中抽成。加密追踪企業英國埃利普蒂克公司聯合創始人湯姆·魯賓遜說,從美國政府繳獲的比特幣可以看出“黑暗面”與其合作夥伴的分贓比例。
在攻擊模式上,上述兩個黑客團伙都使用漸成主流趨勢的“雙重勒索”策略:黑客首先竊取存儲在受害者係統內的敏感信息,然後對這些敏感數據加密,並要求以贖金換取密鑰;勒索者還會發出額外威脅:如果勒索目標拒絕支付贖金,他們就在網上公佈竊取的數據。這意味著無論受害者是否預先備份了數據,都可能被迫支付贖金。
中國瑞星公司6月發布的《瑞星防勒索指南》認為,這種“複合勒索”使受害企業既面臨隱私數據洩露,還面臨相關法規、財務和聲譽受損等多重風險。
由於網絡勒索多為跨國、跨境作案並具有在網絡空間難以追踪等特性,取證和執法面臨諸多挑戰。歐洲刑警組織去年10月發布報告建議,為了更有效應對網絡犯罪挑戰,應通過公共部門和私人夥伴之間的協調與合作加強信息共享,增強防範意識和防禦能力建設,同時讓多邊協作機制繼續在打擊網絡犯罪領域發揮關鍵作用。