作者
翟尤腾讯研究院产业安全中心主任、高级研究员
1989年,哈佛大学学生约瑟夫·L·波普制作了全球首个勒索病毒—AIDS木马,这位哈佛高材生将勒索病毒隐藏在软盘中并分发给国际卫生组织艾滋病大会的参会者。此款勒索病毒会记录用户设备重启次数,一旦超过90次就会对电脑中的文件进行加密,并要求邮寄189美元才能解密重新访问系统。虽然“名牌大学生恶作剧+邮寄支付赎金”的标签在今天看来既没有多大危害,也不够专业,但勒索病毒发起的对经济社会的攻击,在此后的30多年中逐渐演变为让人闻之色变的网络攻击浪潮。
勒索攻击从恶作剧向
专业组织化网络攻击演变
勒索攻击又称为“赎金木马”,是指网络攻击者通过对目标数据强行加密,导致企业核心业务停摆,以此要挟受害者支付赎金进行解密。如同我们把钱放在保险箱,小偷没有撬开保险箱偷钱,反而把放保险箱的房间加了把锁。如果没有房间的钥匙,我们依然拿不到保险箱里的钱。勒索攻击发展历程并不长,在30多年的发展过程中,主要经历三个阶段:1989至2009年是勒索攻击的萌芽期,在这20年中,勒索攻击处于起步阶段,勒索攻击软件数量增长较为缓慢,且攻击力度小、危害程度低。2006年我国首次出现勒索攻击软件。2010年以后,勒索软件进入活跃期,几乎每年都有变种出现,其攻击范围不断扩大、攻击手段持续翻新。2013年以来,越来越多的攻击者要求以比特币形式支付赎金;2014年出现了第一个真正意义上针对Android平台的勒索攻击软件,标志着攻击者的注意力开始向移动互联网和智能终端转移。勒索攻击在2015年后进入高发期,2017年WannaCry勒索攻击在全球范围内大规模爆发,至少150个国家、30万名用户受害,共计造成超过80亿美元的损失,至此勒索攻击正式走入大众视野并引发全球关注。
勒索攻击典型特征与案例
近年来勒索攻击席卷全球,几乎所有国家的政府、金融、教育、医疗、制造、交通、能源等行业均受到影响,可以说有互联网的地方就可能存在勒索攻击。2021年5月,美国17个州能源系统受到勒索攻击,导致美国最大的燃料管道运营商Colonial关闭约8851公里的运输管道,犯罪分子在短时间内获取了100G数据,并锁定相关服务器等设备数据,要求支付75个比特币作为赎金(相当于440万美元)。勒索攻击已经成为未来一段时期网络安全的主要威胁。总的来看,勒索攻击有4个显著特征:
(一)隐蔽性强且危害显著
勒索攻击善于利用各种伪装达到入侵目的,常见的传播手段有借助垃圾邮件、网页广告、系统漏洞、U盘等。隐蔽性是勒索攻击的典型攻击策略。在入口选择上,攻击者以代码仓库为感染位置对源代码发动攻击;在上线选择上,宁可放弃大量的机会也不愿在非安全环境上线;在编码上,高度仿照目标公司的编码方式和命名规范以绕过复杂的测试、交叉审核、校验等环节。此外,攻击者往往在发动正式攻击之前就已控制代码仓库,间隔几个月甚至更长时间才引入第一个恶意软件版本,其潜伏时间之长再一次印证了勒索攻击的高隐蔽性。
调查发现,某些勒索攻击事件的制造者利用尚未被发现的网络攻击策略、技术和程序,不仅可以将后门偷偷嵌入代码中,而且可以与被感染系统通信而不被发现。这些策略、技术和程序隐藏极深且很难完全从受感染网络中删除,为攻击活动细节的调查取证和后续的清除工作带来巨大的挑战。此外,勒索攻击一般具有明确的攻击目标和强烈的勒索目的,勒索目的由获取钱财转向窃取商业数据和政治机密,危害性日益增强。
(二)变异较快且易传播
目前活跃在市面上的勒索攻击病毒种类繁多呈现“百花齐放”的局面,而且每个家族的勒索病毒也处于不断地更新变异之中。2016年勒索软件变种数量达247个,而2015年全年只有29个,其变体数量比上一年同期增长了752%。变体的增多除了依赖先进网络技术飞速发展以外,还与网络攻击者“反侦查”意识的增强相关。很多勒索软件编写者知道安全人员试图对其软件进行“逆向工程”,从而不断改进勒索软件变体以逃避侦查。比如爆发于2017年的WannaCry,在全球范围蔓延的同时也迅速出现了新的变种——WannaCry 2.0,与之前版本的不同是,这个变种不能通过注册某个域名来关闭传播,因而传播速度变得更快。
(三)攻击路径多样化
近年来越来越多的攻击事件表明,勒索攻击正在由被动式攻击转为主动式攻击。以工业控制系统为例,由于设计之初没有考虑到海量异构设备以及外部网络的接入,随着开放性日益增加,设备中普遍存在的高危漏洞给了勒索攻击以可乘之机,一旦侵入成功即可造成多达数十亿台设备的集体沦陷。随着远程监控和远程操作加快普及并生产海量数据,网络攻击者更容易利用系统漏洞发动远程攻击,实现盗取数据、中断生产的目的。为了成功绕过外部安装的防火墙等安全设施,不少勒索攻击诱导企业内部员工泄露敏感信息。除了针对运营管理中存在的薄弱环节,勒索攻击还在设备安装过程中利用内置漏洞进行横向渗透,一旦发现系统已有漏洞则立即感染侵入。
(四)攻击目标多元化
一方面是从电脑端到移动端。勒索病毒大多以电脑设备为攻击目标,其中Windows操作系统是重灾区。但随着移动互联网的普及,勒索攻击的战场从电脑端蔓延至移动端,并且有愈演愈烈的趋势。俄罗斯卡巴斯基实验室检测发现,2019年针对移动设备用户个人数据的攻击达67500个,相比2018年增长了50%。同年卡巴斯基移动端产品共检测到350多万个恶意安装软件包,近7万个新型移动端银行木马和6.8万多个新型移动端勒索软件木马。
另一方面是从个人用户到企业设备。个人设备在勒索软件攻击目标中一直占据较高比例,但随着传统勒索软件盈利能力的持续下降,对更高利润索取的期待驱使网络攻击者将目标重点聚焦在政府或企业的关键业务系统和服务器上。比如在今年7月16日发生的国家级勒索事件中,厄瓜多尔最大网络运营商CNT遭遇勒索软件RansomEXX的攻击,致使其业务运营、支付门户及客户支持全部陷入瘫痪,犯罪团伙声称已经取得190GB的数据,并在隐藏的数据泄露页面上分享了部分文档截图。
随着AI、5G、物联网等技术的快速普及和应用,以及加密货币的持续火爆,勒索攻击呈现出持续高发态势,全球大量知名企业都曾遭到勒索攻击并导致经济和声誉损失。据《2020年我国互联网网络安全态势综述》统计,2020年我国全年捕获勒索病毒软件78.1万余个,较2019年同比增长6.8%。据Cybersecurity Adventure统计,2021年全球勒索软件破坏成本预计将达到200亿美元,高于2015年3.25亿美元的61倍。
勒索攻击7大趋势特点
(一)影响社会正常运转且难解密
勒索攻击对社会正常运转带来较大挑战。在民生方面,大型企业遭到勒索攻击严重影响民众正常生活。2021年5月全球最大的肉类供应商JBS遭到勒索病毒攻击,部分牛羊屠宰加工厂停摆,美国肉类批发价格出现上涨,使得本就受到疫情冲击的全球食品供应链雪上加霜。在医疗卫生方面,勒索攻击不但造成巨额经济损失,同时也威胁到病人生命安全。2020年9月,德国杜塞尔多夫医院30多台内部服务器遭到勒索攻击,一位前来寻求紧急治疗的妇女被迫转送至其他医院后死亡。这是公开报道的第一起因勒索攻击导致人死亡的事件。国内也出现过类似的勒索攻击事件,如某建筑设计院遭遇勒索病毒攻击,数千台电脑文件被加密,工程图纸无法访问,损失惨重。
勒索攻击使用的加密手段越来越复杂多样,绝大多数不能被解密。业内专家普遍认为遭受勒索攻击之后,没有“特效药”。受害者往往需要在支付巨额赎金和数据恢复重建中做出选择。即使一些勒索攻击采用的加密算法是公开的,但是依靠现有的算力或者是通过暴力破解的方式也难以进行解密,因为暴力解密往往需要上百年的时间。
(二)勒索攻击SaaS化
随着云计算、人工智能等新技术的快速普及和应用,勒索软件即服务成为当前网络攻击的新模式。勒索软件黑色产业层级分明,全链条协作,开发者只管更新病毒,拓展传播渠道大肆释放勒索病毒,各级分销参与者点击鼠标就能从中瓜分利润。这种黑色产业分销模式大大降低了勒索攻击的传播门槛,使网络安全风险快速扩散。例如,依靠这种黑产模式,某勒索攻击软件仅用一年多时间就敛财20亿美元。
勒索攻击从制作、传播、攻击到收益呈现系统化、便捷化趋势,开发者可以提供一整套解决方案,甚至包括利用加密货币进行赎金支付等服务。这些解决方案具有“开箱即用”的便捷性,犯罪分子获得勒索病毒后,可以通过多种渠道进行传播并获利,攻击模式更为便捷。此外,攻击者往往并不需要任何编程技术就可以开展违法犯罪活动,理论上任何人只要支付少量费用就可以通过这类服务开展勒索攻击,导致网络攻击的门槛大幅降低。
(三)加密货币普及助推赎金额度快速增长
勒索病毒的制造者对赎金的要求越来越高。2017年在全球140多个国家和地区迅速蔓延的WannaCry勒索病毒赎金仅为300美元,4年后勒索病毒要求企业支付的赎金则大多在上百万美元,Sodinokibi勒索病毒在2019年前后出现在中国时,索要金额仅7000元人民币,到了2020年,该团伙的勒索金额已动辄千万美元以上。例如2020年3月,计算机巨头宏碁公司被要求支付5000万美元赎金;2020年11月,富士康墨西哥工厂被要求支付超过3400万美元赎金。
高额赎金不仅让犯罪分子赚得盆满钵满,同时可以借此招揽更多人铤而走险加入勒索攻击行列。加密货币近年来成为社会关注的焦点,尤其是加密货币的匿名化导致监管部门很难对其进行管理。犯罪分子利用加密货币这一特点,有效隐匿其犯罪行径,导致网络攻击门槛降低、变现迅速、追踪困难,一定程度上成为网络犯罪快速增长的“助推剂”。
(四)大型企业和基础设施成为攻击重点
传统勒索病毒攻击者使用广撒网、误打误撞的手法,这种无差别攻击很难预测受害者是谁,哪些受害者有价值。同时,普通用户的数据价值相对不高,且缴纳赎金的意愿并不强烈。近年来,勒索攻击对象涉及面越来越广,目前主要针对掌握大量数据的大型企业,且定向精准攻击趋势愈发明显,勒索攻击日趋APT化。所谓APT化,即攻击不计成本、不择手段,从低权限帐号入手,持续渗透攻击,直到控制企业核心服务器,再释放勒索病毒,使巨型企业彻底瘫痪。此外,勒索攻击APT化还意味着攻击者入侵后会首先窃取该企业的核心数据,即使企业使用备份恢复系统,核心机密泄露也会导致极其严重的损失。波音公司、台积电、富士康、全球最大的助听器制造商Demant、法国最大商业电视台M6 Group都曾成为被攻击对象。BlackFog研究发现,2020年勒索攻击主要针对政府部门、制造业、教育和医疗保健等行业。
同时,攻击者开始针对特定企业有针对性地制定攻击策略,哪些企业掌握大量有价值的数据,哪些企业就越容易遭到攻击。针对目标企业,攻击者手法更加多样化、对高价值目标的攻击进行“量身定做”,形成一整套攻击“组合拳”。对于大型企业来讲,网络节点和上下游关联企业与供应商都成为潜在的攻击漏洞,产业链中安全薄弱环节均成为攻击者实现突破的关键点。许多企业为了避免业务被中断,往往选择支付巨额赎金。
(五)“双重勒索”模式引发数据泄露风险
时至今日,勒索攻击已经从单纯的支付赎金即可恢复被加密的数据,逐渐演变成先窃取商业信息和内部机密,而后威胁企业不缴纳赎金将公开数据,这种新模式也被称为“双重勒索”。这样一来,不仅使得勒索攻击杀伤性增强,被勒索企业缴纳赎金的可能性变大,诱使勒索攻击者发动更多攻击,而且极易引发大规模的行业内部数据泄露事件,使得受害企业同时承受数据公开、声誉受损、行政处罚等多重压力。
据不完全统计,自2019年11月首次公开报道勒索病毒窃取数据的事件以来,不到一年时间里,有超过20个流行勒索病毒团伙加入到数据窃取的行列中。以Maze(迷宫)勒索攻击为例,它不仅最先开始系统性地窃取数据,还以泄露数据相逼要挟用户缴纳赎金。越来越多的勒索事件表明,“双重勒索”模式已成为现今网络攻击者实施攻击的重要手段。
(六)供应链成为勒索攻击的重要切入点
供应链攻击作为一种新型攻击手段,凭借自身难发现、易传播、低成本、高效率等特点成功跻身最具影响力的高级威胁之列。供应链攻击一般利用产品软件官网或软件包存储库等进行传播,网络攻击一旦成功攻陷上游开发环节的服务器,便会引发连锁效应,波及处于供应链中下游的大量企业、政府机构、组织等。由于被攻击的应用软件仍然来自受信任的分发渠道,恶意程序将随着软件的下载安装流程悄无声息地入侵目标电脑,逃避传统安全产品检查的同时又可沿供应链发动向后渗透攻击,大大增加安全检测的难度。
近年来供应链攻击备受关注。2017年6月一家不知名的乌克兰软件公司遭受勒索攻击,勒索病毒通过软件公司服务器传播到数家全世界最大的企业之中,令其运营陷入瘫痪,造成全球范围内约100亿美元的损失。2021年7月,美国软件开发商Kaseya遭勒索攻击,网络攻击团伙索要高达7000万美元的赎金,有评论称此次事件可能成为2021年影响最大的供应链攻击事件。
(七)引发网络保险行业的恶性循环
美国战略与国际研究中心与杀毒软件供应商迈克菲联合发布的一份报告指出,估计每年全球网络攻击所带来的损失将达9450亿美元,再加上约1450亿美元的网络防护支出费用,总经济成本将超过1万亿美元。高额的网络攻击成本催生了对网络风险保险的庞大需求市场,根据预测,到2025年网络风险保险费用将从2016年的32.5亿美元上升到200亿美元。伦敦再保险经纪商Willis Re透露,今年7月保单更新季,网络安全相关保险费率将迎来40%的大幅增长。
然而网络保险行业欣欣向荣的表象下,却潜藏着巨大的恶性循环危机。由于最近几个月来全球几大公司接连遭到灾难性的勒索攻击,越来越多的企业向网络保险和再保险公司寻求帮助,网络攻击者特意挑选投保了网络保险的公司作为攻击目标,更加有针对性地实施勒索攻击,使得网络犯罪的成功率大幅提升,整体网络环境面临加速恶化的窘境。为遏制这一情况的继续恶化,已有多家公司开始缩减网络保险覆盖范围,法国正在考虑强制所有网络保险商停止报销赎金支出,以切断网络犯罪这一有利可图的途径。
提高预防意识并
构建前置安全是关键
由于勒索攻击高强度加密算法的难破解性和数字货币交易方式的隐蔽性,并不建议将防治重点放在遭受攻击后的解密环节,而应该着重做好预防工作,不给勒索病毒以可乘之机。
从个人用户来讲,增强员工安全意识与加强数据备份同等重要:一方面要增强安全意识。对于可疑的邮件尤其是附带的网址不建议随意点开,同时系统提示的安装补丁或者软件病毒库要保持及时更新。另一方面,对于使用了非对称加密算法加密的文件,目前尚未找到有效的破解方法,一旦计算机遭到此类新型勒索病毒的攻击只能束手待毙,因而必须在平日里就做好重要数据的备份工作,且最好使用本地磁盘和云服务器双备份的策略。
从企业用户来讲,解决勒索攻击的核心是构建“安全能力前置”,提升自身的“免疫力”:
1.“安全能力前置”成为企业必选项。企业数字化程度越高,潜在的安全风险也就越大,甚至会有致命风险。被动防御性的安全思路难以应对多样化、动态化的网络攻击。因此,一方面要利用AI、大数据、云计算等新技术实现安全能力在业务环节的前置,提前预判潜在安全风险,另一方面要对安全专家或人才能力量化,使过往积累的安全经验与能力标准化、流程化,以实现安全能力的量化部署。
2.构建云上安全提升安全防御能力。产业互联网时代安全威胁逐步扩大,企业在应对勒索攻击时,数据备份和恢复的重要性进一步凸显。云原生安全所具备的开箱即用、自适应等显著优势将成为保障云平台和云上业务安全的重要基础。一方面云原生安全将构建安全服务全生命周期防护,伴随云上业务发展全过程。另一方面云上安全产品将向模块化、敏捷化和弹性化演进,为用户提供差异化服务,成为兼顾成本、效率和安全的“最优解”。
3.零信任有望成为勒索攻击有效解决途径。零信任假定所有身份、设备和行为都是不安全的,即使曾经有过被“信任”的经历也要一视同仁,在接入时需要进行全程安全验证和检查。攻击者使用窃取到的账号信息登录VPN或其他内部业务平台时,由于零信任采用多因子用户验证(即只有账号密码还不够,需要配合短信验证码、token、人脸识别等),即使攻陷了企业的一台服务器,也无法致使勒索攻击扩散到其他服务器。零信任体系还能有效阻止黑客入侵后在内网扩散。攻击者可能控制某些脆弱的单点,当其通过已攻击的终端向网络内部更重要系统渗透时,零信任的安全机制可以及时检测到风险,从而帮助企业将风险控制在最小限度,不至于发生全网崩溃的严重后果。
4.打好保障供应链安全的“组合拳”。一方面,须加强代码审计与安全检查。机构组织可向供应商索要清单,列明其使用的所有代码组件,以识别与开源组件漏洞有关的潜在风险。此外还可以考虑在实施代码前,增加额外的自动化或手工检查,并利用第三方工具对软件及相关产品源代码进行详细的安全分析。另一方面,加快推动建立零信任架构等安全防护机制。供应链攻击暴露出网络安全架构最大的缺陷就是过于信任。而零信任架构意味着每个试图访问网络资源的人都要进行验证,其访问控制不仅能应用于用户,也适用于服务器设备与各类应用,以防止第三方供应商获得不必要的特权,从而降低恶意软件的渗透风险。
近期全球典型勒索攻击汇总表
数据来源:公开信息整理
参考文献:
[1]张晓玉,陈河.从SolarWinds事件看软件供应链攻击的特点及影响[J].网信军民融合,2021(04):37-40.
[2].瑞星2020年中国网络安全报告[J].信息安全研究,2021,7(02):102-109.
[3]李江宁,覃汐赫.工业领域的勒索攻击态势与应对思路[J].自动化博览,2021,38(01):86-90.
[4]张宝移.计算机勒索病毒及防治策略分析[J].技术与市场,2020,27(10):109-110.
[5]高红静.近年勒索软件威胁分析及防范策略综述[J].保密科学技术,2018(12):21-28.
[6]李易尚.勒索软件:过去、现在和未来[J].北京警察学院学报,2017(06):99-104.
[7]李建平.供应链安全:防不胜防的软肋[J].保密工作,2021,(04):58-59.
[8]嵇绍国.2020年勒索软件攻击情况及趋势预测[J].保密科学技术,2020(12):33-43.
[9]2021上半年勒索病毒趋势报告及防护方案建议,南方都市报,2021-5-10
[10]门嘉平.勒索病毒防治策略浅析[J].网络安全技术与应用,2020(06):23-24.
[11]吴崇斌,成星恺.勒索软件发展现状及应对[J].通讯世界,2019,26(08):111-112.
[12].盘点2019年勒索病毒灾难事件[J].电脑知识与技术(经验技巧),2019(12):88-90.