揭秘勒索软件威胁“新套路”:锁定高价目标
近日美国软件企业卡西亚公司遭勒索软件攻击,其客户企业中有800家至1500家受波及。今年以来,全球勒索软件攻击有愈演愈烈之势,给经济和社会生活造成严重损失,已成为网络安全主流威胁之一。勒索软件攻击自20世纪80年代末出现,其攻击模式不断发展演化,呈现新的特点和趋势,包括更多地针对高价值目标、负面影响扩大、逐渐形成网络犯罪“产业链”、越来越多地采用双重勒索策略等。
锁定高价目标
近几个月来,全球发生多起重大勒索软件攻击事件。这些勒索软件攻击案有一定相似性,它们都锁定高价值的关键资产并有针对性地发起攻击,索要的赎金数额巨大,造成广泛负面影响。
5月初,美国科洛尼尔管道运输公司遭勒索软件攻击,一条输油干线被迫关停数日,导致美国多个州和地区一度面临燃油供应危机。美国联邦调查局称,一个名为“黑暗面”的网络犯罪团伙是幕后黑手。为尽快恢复系统,科洛尼尔公司以比特币方式向黑客支付价值近500万美元赎金。部分赎金后来由美国司法部追回。
5月中旬,爱尔兰卫生服务执行局网络系统遭黑客攻击,造成全国多家医院的电子信息系统无法进入。爱尔兰公共支出与改革部负责政府电子政务的国务部长奥西安·史密斯表示,对卫生服务执行局网络系统的攻击也许是该国迄今遭受的最严重网络攻击。攻击者是来自国外的网络犯罪团伙,其目的是为了钱。
5月底,世界肉类加工巨头JBS公司受到黑客攻击,其北美和澳大利亚的信息系统被“黑”,部分工厂瘫痪。一个名为“邪恶”的黑客团伙被指认为幕后黑手。该公司美国分部发布声明证实,已向黑客支付相当于1100万美元的赎金,以结束对公司业务的攻击。
最新遭到攻击的卡西亚公司是一家向IT外包公司提供软件的企业。该公司首席执行官弗雷德·沃科拉对媒体表示,最多有1500家客户企业受波及,而这些客户企业的下游用户所受影响还难以确切估计。英国牛津大学网络安全教授夏兰·马丁认为,这种“供应链袭击”以服务数千家下游企业的公司为目标,受害企业总数可能巨大。
美国媒体称,这起攻击同样与“邪恶”黑客团伙有关,该团伙在其暗网网站上提出,卡西亚公司可以用7000万美元加密货币赎金换取解除故障的通用解密器。目前该公司拒绝透露是否打算与黑客谈判或支付赎金等事项。
对高价值目标的定向攻击是随着实体经济的信息化程度不断提升而出现的。据中国安天科技集团首席技术架构师肖新光介绍,较早的勒索软件主要是非定向传播的、带有数据加密和删除功能的蠕虫病毒,依靠网络或U盘大面积感染计算机,勒索赎金额度较低。此后,勒索攻击与高级持续性威胁攻击相结合,演化出针对高价值目标的定向勒索。
勒索模式进化
网络勒索高发、威胁升级的一个重要原因是网络犯罪生态系统的形成发展。美国媒体报道,勒索软件攻击如今演化为“高度分工合作的行业”,由勒索软件供应商、赎金谈判人员、攻击执行人员及话务员等组成。肖新光介绍,在网络勒索“产业链”上,一般上游团伙编写勒索软件并提供攻击设施,下游团伙负责实施攻击,上下游“分享”赎金。
据媒体报道,“邪恶”和“黑暗面”均采取名为“勒索软件即服务”的作案模式。它们向其附属团伙提供勒索软件和相关设施,并从附属团伙所获的赎金中抽成。加密追踪企业英国埃利普蒂克公司联合创始人汤姆·鲁宾逊说,从美国政府缴获的比特币可以看出“黑暗面”与其合作伙伴的分赃比例。
在攻击模式上,上述两个黑客团伙都使用渐成主流趋势的“双重勒索”策略:黑客首先窃取存储在受害者系统内的敏感信息,然后对这些敏感数据加密,并要求以赎金换取密钥;勒索者还会发出额外威胁:如果勒索目标拒绝支付赎金,他们就在网上公布窃取的数据。这意味着无论受害者是否预先备份了数据,都可能被迫支付赎金。
中国瑞星公司6月发布的《瑞星防勒索指南》认为,这种“复合勒索”使受害企业既面临隐私数据泄露,还面临相关法规、财务和声誉受损等多重风险。
由于网络勒索多为跨国、跨境作案并具有在网络空间难以追踪等特性,取证和执法面临诸多挑战。欧洲刑警组织去年10月发布报告建议,为了更有效应对网络犯罪挑战,应通过公共部门和私人伙伴之间的协调与合作加强信息共享,增强防范意识和防御能力建设,同时让多边协作机制继续在打击网络犯罪领域发挥关键作用。