2021年上半年全球勒索软件发展研究
发布日期:2021-11-23
来源:信息安全与通信保密杂志社
勒索软件已成为一种日益普遍的全球威胁,2021年上半年,在众多网络威胁中表现最为亮眼也最为疯狂。据SonicWall报告称,相比2020年上半年,2021上半年勒索软件攻击数量增长了151%。攻击规模和频率以惊人的速度增长,复杂性和创新水平不断提高,成为政府、企业、个人最为关注的安全风险之一,也是网络安全最重大威胁之一。因此,有必要从发生原因、发展特点、打击措施和防御建议等方面进行分析研究。
一
2021年上半年大型勒索攻击事件回顾
勒索软件作为最具破坏性且传播广泛的一种恶意软件,旨在加密目标设备上的文件,阻止目标访问,并索要赎金以换取解密密钥。此外,部分勒索软件还会在攻击过程中窃取目标信息,并威胁在暗网上发布或出售数据,对企业和个人造成严重的影响。2021年上半年,全球勒索攻击事件激增,据不完全统计,2021年上半年至少发生了1200多起勒索软件攻击事件,攻击目标向汽车、保险、能源、制造、水务、核武器、软件供应、电信等关键基础设施行业发展。本节选取部分大型事件予以介绍,以期为各行业敲响警钟。
2月,起亚汽车美国公司遭DoppelPaymer勒索软件攻击,要求两到三周内支付约2000万美元的比特币赎金(约合人民币1.29亿元),一旦延期支付,赎金将达到约3000万美元(约合人民币1.93亿元),同时宣称若起亚汽车不与之谈判,将公布窃取的大量数据。
3月,美国最大的保险公司之一CAN Financial 遭Phoenix勒索软件攻击,因无法自行恢复数据,支付了4000万美元(约合人民币2.57亿元)高额赎金。3月,台湾计算机制造商宏基遭Revil勒索软件攻击,索要5000万美元(约合人民币3.25亿元),如提前支付赎金,可提供20%的赎金折扣,提供解密工具,漏洞报告,并删除窃取到的文件。
5月,美国最大成品油管道运营商科洛尼尔(Colonial Pipeline)公司遭到Darkside勒索软件攻击,该公司每天运送多达1亿加仑的汽油、柴油、航空煤油与家用燃料油,占美国东岸燃油供应的45%,负责美国7个机场的燃油供应。攻击导致美国东部沿海主要城市输送油气的管道系统被迫下线,成品油供应中断,公司被迫支付约500万美元(约合人民币3200万元),获得勒索病毒软件解密工具。5月,巴西肉类制造巨头企业JBS遭受Revil勒索软件攻击,导致其位于美国和加拿大地区的部分工厂暂停作业,其中,澳大利亚所有JBS肉类工厂停产。最终,JBS美国部分同意支付1100万美元(约合人民币7030万元)比特币赎金,以防止黑客泄露公司数据。5月,美国最大的供水和污水处理公司之一WSSC Water,在发现事件后数小时内公司即删除了恶意软件并锁定了威胁,但攻击者仍然成功访问到内部文件,就目前的情况看,攻击事件似乎并未影响到当地供水,调查工作仍在进行当中。
6月,美国能源部核安全管理局(NNSA)的核武器分包商Sol Oriens遭受Revil勒索软件攻击,企业员工信息数据文件遭受窃取,但攻击者未获得核武器合作项目文件等机密内容的访问权限。6月,北约“北极星”计划云平台供应商遭受勒索软件攻击,云平台相关代码、文档等敏感信息可能遭受窃取,并威胁将数据发送到俄罗斯情报部门,以此勒索10亿欧元(约合人民币76亿元)的赎金。
7月,美国软件供应商卡西亚(Kaseya)遭受疑似Revil勒索软件攻击,Kaseya为40000多家组织提供服务,攻击者入侵了卡西亚软件补丁和漏洞管理系统VSA服务器设备,锁定大量系统,并利用软件更新机制传播Revil勒索病毒,并威迫受害者支付约7000万美元(约合人民币4.5亿元)的赎金,该攻击导致包括瑞典最大杂货零售品牌在内的全球数百家企业启动紧急应急响应,以应对潜在的违规漏洞,其中瑞典杂货零售连锁店Coop被迫关闭了至少 800家门店。7月,西班牙电信运营商MasMovil Iberoom遭受Revil勒索软件攻击,且攻击团伙在其专门的数据泄露网站中表示,已窃取大量敏感信息,并公开备份文件、经销商名单等作为成功实施攻击的证据。
二
2021年上半年全球典型勒索软件组织概述
2021年上半年勒索软件组织也发生了翻天覆地的变化,一些停止运营,一些解散后重组,一些暂时停止活动,主流团伙退位,新兴团伙替换,勒索家族总体呈现为生生不息之态。正如美国国家网络总监克里斯·英格利所言,应将勒索软件视为长期持续的威胁。为此,本节筛选了典型的、较为活跃的勒索组织,简要分析其攻击目标及主要技术特征,以期提供警示。
(一)Revil(又名Sodinokibi)组织
Revil组织今年相当活跃,以大中型企业为攻击目标,攻击了多个国家的重要机构和实体,例如美国核武器承包商、巴西司法局、JBS肉类生产商等。据研究,该勒索软件已影响了近20个行业,受害比例最大的是工程与制造(30%),其次是金融(14%)、专业与消费者服务(9%)、法律(7%)以及IT与电信(7%)。
该组织于2019年4月首次在意大利被发现,采用勒索软件即服务 (RaaS) 运营模式,主要针对Windows、Linux平台,属于数据窃取类勒索病毒。传播方式主要包括钓鱼邮件、远程桌面入侵、漏洞利用等,该软件套用、利用现有恶意工具作为攻击载体,同时传播勒索病毒、挖矿木马、窃密程序,并通过加密用户文件、窃取用户数据进行双重勒索。2021年3月,该组织侵入宏碁,索要5000万美元的赎金,创下最高勒索软件赎金的记录。在多次获得高额赎金后,该组织变得愈发猖狂,6月11日,攻击了美国核武器承包商Sol Oriens,声称窃取了机密文件,并打算在暗网拍卖窃取的数据。
该勒索软件使用Salsa20对称流算法通过椭圆曲线非对称算法来加密文件和密钥的内容。该恶意软件样本有一个加密的配置块,其中包含许多字段,攻击者可以对该负载进行微调。主要通过受损的RDP访问、网络钓鱼和软件漏洞进行分发。附属机构负责获得对公司网络的初始访问权限并部署locker—RaaS模型的标准实践。成功攻击后,会有特权提升,侦察和横向移动,然后操作员对敏感文件进行评估、窃取和加密,下一步是与被攻击的公司谈判。如果受害者决定不支付赎金,那么REvil操作员将开始在。onion Happy Blog网站上发布受攻击公司的敏感数据。应该注意的是,该团伙对新成员的招募有非常严格的规定,只招募会说俄语、有进入网络经验的高技能合作伙伴。
(二)DarkSide组织
DarkSide组织是美国燃油管道攻击事件的始作俑者,现已宣布暂停运营。该组织于2020年8月成立,母语为俄语的网络犯罪团伙,曾声称不会勒索医疗、教育、非盈利及政府机构。DarkSide主要针对Windows、Linux平台,属于数据窃取类勒索病毒,同时具有勒索软件即服务 (RaaS)功能。DarkSide通过收集到的企业信息评估企业的财力,然后再决定勒索的赎金数额。据调查,该组织在成立不到一年的时间内,感染了99个组织,其中大约有47%的受害者支付了赎金,平均付款为190万美元,总收入高达9000万美元。
DarkSide的技术是使用MetaSploit和其他攻击性安全工具框架来扫描攻击目标网络中的漏洞,其目的是建立初始访问权限。经过监测发现,该组织会通过RDP会话从得到的管理员(域控)账号,转向使用拥有文件服务器权限的账号进行登录。当获取到文件服务器上的权限后,该组织会将公司的数据通过Privatlab和mega网盘进行手动上传,在一些活动中,DarkSide会将数据传到他们的CDN服务器上。随后该组织会加密目标公司的文件,并将部分信息上传至其暗网博客,采用“解密和泄密”双重勒索策略,声称若不交付赎金,将公布目标公司的敏感数据。
(三)Babuk组织
Babuk作为2021年新出现的勒索软件组织,于2021年1月首次被披露,目标是窃取高级机密类文件。该团伙主要针对欧洲、美国和大洋洲的大型著名组织或企业,目标行业包括但不限于运输服务、医疗保健部门以及各种工业设备供应商,曾攻击如NBA休斯顿火箭队、美国主要军事承包商PDI集团以及日本制造商Yamabiko公司等。2021年4月,攻击了美国华盛顿特区大都会警察局,威胁警方不交赎金就向当地黑帮泄露警方线人信息,并声称会继续攻击美国的FBI及CSA部门,性质极其恶劣。
该勒索软件使用与椭圆曲线Diffie-Hellman(ECDH)结合的对称算法。加密成功后,该恶意软件会在每个处理过的目录中添加“How To Restore Your Files.txt”。除了文本之外,赎金记录还包含指向一些被窃取数据的屏幕截图的链接列表。这证明恶意软件样本是在受害者的数据被泄露之后被制作的。在赎金记录中,该团伙还建议受害者使用其个人聊天门户网站进行谈判。这些步骤并不仅限于Babuk,但通常出现在Big Game Hunting中很常见。
(四)Conti组织
Conti是近年来最为活跃和危险的勒索软件团伙之一。该组织同样采用勒索软件即服务 (RaaS) 运营模式,其中核心团队管理恶意软件和Tor站点,而招募的联盟机构则执行网络漏洞和数据加密攻击。核心团队赚取赎金的20~30%,附属公司赚取其余部分。
该软件于2019年12月首次被发现,主要针对Windows、Linux平台,属于数据窃取类勒索病毒,并在2020年7月作为个人的勒索软件即服务(RaaS)开始运营,感染攻击目标删除卷影副本,并禁用修复、删除本地设备备份目录,采用并发线程技术对感染设备的文件快速加密,属于新兴的双重勒索软件团伙,被认为是流行的Ryuk勒索软件家族的变种。Conti勒索软件团伙通过多种流行的恶意软件传播,包括Trickbot/Emotet和BazarLoader。2021年5月,Conti 勒索软件团伙连续攻击了美国国防承包商 BlueForce和爱尔兰公共卫生服务执行局HSE,分别索要969,000美元和19,999,000美元的赎金。在过去的一年中,Conti勒索软件团伙袭击了美国至少16个医疗保健和紧急服务机构,影响了超过400个全球组织,其中290个受害组织位于美国。
(五)LockBit组织
LockBit组织及相关的恶意软件最早出现于2019年9月。2021年6月,该组织发布了LockBit 2.0并招募合作伙伴,到目前已经影响过全世界范围内数以千计的单位,涵盖行业相当广泛,包含会计、汽车、顾问、工程、财务、高科技、医疗、保险、执法单位、法律服务、制造业、非营利能源产业、零售业、物流业,以及公共事业领域等。
LockBit 2.0以拥有当今勒索软件威胁环境中最快、最有效的加密方法之一而自豪。分析表明,虽然它在加密中使用了多线程方法,但也只对文件进行了部分加密,因为每个文件只加密了4 KB的数据。与其他勒索软件即服务(RaaS)操作一样,LockBit 2.0寻找附属机构对目标执行入侵和渗漏。其背后的组织还通过提供StealBit来帮助附属机构,这是一种可以自动泄露数据的工具。攻击者还可以使用有效的远程桌面协议(RDP)账户访问受害者的系统。一旦进入系统,LockBit 2.0就会使用网络扫描器来识别网络结构并找到目标域控制器。它还使用多个批处理文件,可用于终止进程、服务和安全工具。还有用于在受感染机器上启用RDP连接的批处理文件。LockBit 2.0的持久性、传播速度和入侵方法,可能会对受害者造成重大损害,无论是经济上还是声誉上。
(六)Avaddon组织
Avaddon勒索软件团伙2020年6月首现于俄罗斯黑客论坛,主要针对Windows平台,并通过钓鱼邮件等传播,采用RSA2048和AES256加密算法对文本进行加密。所开发的勒索软件除供自身使用之外,也通过提供勒索即服务(RaaS)谋求外部合作以获取更大的利益。Avaddon勒索团伙利用Phorpiex僵尸网络传播,攻击对象包括中国和非独立国家联合体,平均赎金要求约为 60 万美元。2021年6月,Avaddon勒索软件团伙宣布停止运营,随后关闭所有业务,并为过去的受害者发布了2934 个解密密钥。
三
勒索软件攻击迅猛及高发的主要原因
勒索软件伴随着网络犯罪技术的发展而发展,快速迭代并迅速传播,同时勒索软件中蕴藏的巨大收益,致使网络犯罪分子对其趋之若鹜,不断探索新的利润扩张途径,直接致使勒索软件攻击在全球大规模泛滥并呈高发态势,分析其原因,主要有如下几点:
(一)牟取暴利的绝佳手段
勒索软件攻击对象往往针对企业机构、政府部门和个人具有重要作用的系统和数据,有些关键敏感数据甚至是企业的经济命脉,一旦泄露或损毁,将造成无法挽回的损失。此外,受害者还担心其敏感数据被暴露给全世界,面临声誉受损的风险。而勒索团伙在攻击企业时所提出的赎金也从最初的几万美元,过渡到现在的数百万,甚至数千万的勒索赎金。例如,5月30日,全球最大的肉类生产商遭到Revil勒索组织攻击,事后,该公司通过备份系统恢复正常运营,但仍选择支付1100万美元的赎金,以防止Revil泄露被盗数据。在获取巨额赎金的背后,其实际上的攻击成本却不到5000美元。同时,DarkSide勒索团伙在过去六个月里赚了9000万美元。低成本和高回报率对犯罪分子具有极大的诱惑力,吸引越来越多的数字赎金“游戏”的掠夺者蜂拥而至,同时暗网、虚拟货币等技术趋于成熟,更加助推勒索软件攻击大面积爆发。
(二)勒索能力不断升级,破解难度越来越大
最早的勒索软件攻击并不复杂,以欺骗为主,然后发展到仅锁住用户设备索要赎金,到现在流行的以加密用户数据为手段的更恶毒的勒索赎金的形式。而且最流行的加密勒索软件早已抛弃可被破解的对称加密算法,普遍采用非对称的强加密算法,除非在实现上有漏洞或密钥泄密,不然在没有私钥的情况下,除了付费获得密钥,别无其他解密方法。内部技术的不断迭代,加之网络技术的快速进步,促使勒索能力不断升级。此外,勒索软件新变种层出不穷,每个变种都添加一些新技术,从而拥有加强的新功能,越来越多的躲避检测和查杀的高级技术的出现,致使破解难度越来越大。例如,2021年出现了“间歇性加密”技术,可有效逃避依赖于使用统计分析来检测加密内容的检测,还有“内存映射输入/输出”技术,采用相对不常见的过程来加密文件以逃避检测。这些新技术的更迭让勒索软件“如虎添翼”,试图以更隐蔽的形式发动更猛烈的攻势,来获取更大的利益。
(三)攻击范围和目标越发广泛、多样
勒索软件攻击日益肆虐,被攻击行业几乎涉及全领域,政府部门是勒索重点,紧随其次的是教育和医疗卫生行业,关键制造、金融行业、效能系统、商业行业、食品和农业、水务和污水处理、国防工业基础行业、交通通信等诸多关键基础设施和重要领域无一幸免。从地理区域看,攻击范围扩展至全球,已发生多起全球范围的大规模勒索软件攻击事件,如WannaCry、NotPetya 等事件,攻击不再限于信息化程度较高、网络设施发达的国家和地区,许多信息化水平不高的国家和地区也在所难免。
攻击目标最大的变化是从个人用户到企业设备。勒索软件犯罪团伙已经不再以家庭用户为目标,而主要针对大型企业服务器和关键业务系统,甚至整个企业网络已成为新的攻击目标。另一变化是随着移动互联网的普及,勒索软件攻击开始从电脑端蔓延至移动端,并且有愈演愈烈趋势。无论是横扫各大领域、涉猎全球各地,还是攻击目标的不断延展,对更高利润的索取是其最大驱动力,也是勒索软件入侵能力不断提升的体现。
(四)传播媒介趋于多元化
勒索软件主要通过钓鱼邮件、网络共享文件和移动存储介质等方式进行传播。部分勒索软件借鉴蠕虫病毒的特点,自我复制能力越来越强,比如以被感染设备为跳板,然后利用漏洞在网络中自动渗透,攻击局域网内的其他电脑。还有的借助更多的漏洞、更隐蔽的方式进行传播,并越来越多地利用社交媒体,如通过在推特、微博等网站上分享恶意内容诱惑受害者点击恶意链接而传播。现在勒索病毒更多利用远程桌面入侵传播、鱼叉式攻击等非常专业的黑客攻击方式进行传播,还有的针对各企业对于软件供应链的管理弱点,通过行业供应链攻击传播,极大地提高了入侵成功率和病毒影响面。
(五)比特币为勒索软件猖狂充当了“保护伞”
比特币等加密货币支付方式在勒索软件全球大规模爆发中发挥了重要作用。基于比特币的赎金支付在很大程度上消除了与传统赎金支付相关的交易成本和风险,由于不同的国家和地区对其管控不足,或者有的国家就根本没有任何管控措施,导致其难以追踪。通过加密货币,被勒索者可以不通过银行或其他受政府管控机构,直接将赎金电汇到指定账号。目前还没有其他机制能够满足一次转移数百万美元的要求,只有加密货币非常适合数千英里以上的大规模转移,并且以高度抵抗执法、监管监视及拦截的方式。可以说,比特币的出现为网络勒索提供了低风险、易操作、便捷性强的赎金交易和变现方式,成为网络犯罪活动的主要支付形式。此外,病毒制作者常将勒索服务器搭建在暗网,通过洋葱网络与受害者进行通信,进一步掩盖了攻击的来源,这些手段先进实用,又唾手可得。由此可见,<}0{>勒索软件环境中的技术变化与强大的加密技术的发展、无限扩展的互联网通信、管辖范围内的网络犯罪避风港(如俄罗斯)的存在以及加密货币支付的易用性等加速了勒索软件的猖獗和泛滥。<0}< span=“”>
四
勒索软件攻击的发展新特点
(一)针对性定制勒索软件成最大威胁
2021年无疑是针对性勒索软件集团不断发展并寻找新的策略对受害者施压支付赎金的一年。早期勒索软件传播任意,攻击目标较为分散,不限行业范围,且主要分布于中小企业,因其缺乏大型企业和组织拥有的深度安全基础架构,更容易被攻击,但数据价值和支付赎金的能力有限,难以满足勒索团伙不断扩大收益的目的。2021年从广撒网的攻击方式向针对高价值的关键资产攻击方式转变,顶级和高技能的网络犯罪集团不再不分青红皂白地以大量小规模受害者为目标,而是针对特定的百万或十亿美元的公司定制勒索活动(称为“大型狩猎”)。瞄准特定行业,如制造业、金融、医疗、能源等关键基础设施的大型企业,此类目标的数据损坏可造成大面积社会影响,每次选取一个攻击目标,并尽可能多地在受害者网络上加密计算机信息,可能的话还会清除对方的备份数据。以此为基础,提出相当夸张的赎金要求,如2021上半年,REvil 勒索团伙已经连续攻击了多家世界知名企业,且每次勒索赎金额度都超过 5000 万美元。即便针对性勒索软件攻击实施起来极为困难且相当耗时,但潜在回报极大,因此采取这类攻击的团伙开始激增。
(二)物联网成为勒索软件攻击的新突破口
越来越多的企业依靠物联网(IoT)设备采集数据,为黑客提供了进入企业网络的通道,而且制造商为每个物联网设备创建的应用程序种类繁多,也为黑客以多种方式造成破坏提供了可能性。黑客使用恶意软件感染IoT设备并将其转变为僵尸网络,黑客可以使用僵尸网络来探查和探索启动过程,以找到获得网络访问的最佳方法。黑客也会搜索IoT设备固件中存在的未禁用、未删除、未更新的有效凭证,然后,攻击者将受感染的设备用作企业网络的入口点。新冠疫情带来的一夜之间激增的远程办公方式为网络犯罪分子提供了更有吸引力的攻击目标,开辟了新的攻击面,感染勒索软件的机会比以往任何时候都高,导致在新冠大流行期间仍保持运营的公司面临的潜在威胁剧增,据统计,IoT恶意软件攻击直接增加了30%。事实上,远程工作人员的增加以及连接到公司网络的不安全设备的数量增加,再加之物联网设备自身的安全风险,为勒索软件运营提供了全新的领域。
(三)从双重勒索向三重勒索策略转变
勒索团伙一直在尝试使用各种策略对受害公司施加压力,以增加赎金数目及确保缴纳率,为此,从最初的单一加密勒索演变为2020年的“双重勒索”,即在加密前攻击者会先窃取大量受害者敏感数据,威胁受害者如果不缴纳赎金则公开数据,使受害者不仅要面临数据泄露威胁,还有相关法规、财务和声誉影响。2021年开始逐渐演化出“三重勒索”攻击,则在双重勒索的基础上增加了 DDoS 攻击威胁。目前,部分勒索软件已整合了DDOS攻击能力,不仅能加密受害者电脑文件,还能对外出售敏感数据,并利用被感染电脑发送恶意网络流量,以此影响受害者系统的带宽或运行速度,这三种攻击若同时实施,将带来非常严重且不可逆转的后果。由此可推测,在未来的数年内为实现收益最大化,勒索攻击形式还会层出不穷。
(四)从经济公害升级到对国家安全构成威胁
美国网军司令、国安局局长中曾根将军表示,勒索软件攻击已经不再是单纯的黑客犯罪活动,现如今开始对整个国家产生影响,已转变为实际存在的国家安全问题。2021年勒索软件攻击更是瞄准国家关键基础设施,其中政府部门是勒索的重点;紧随其次是教育行业和医疗卫生行业;关键制造、通信、商业行业、金融行业、能源、食品和农业、水务和污水处理、国防工业基础行业等都未能幸免。勒索软件攻击能力一旦与国家网络武器结合起来,其攻击能力和毁伤效果将得到大幅提升,将对网络空间构成重大威胁。美国燃油管道商遭“黑暗面”勒索攻击事件,是非国家行为体对网络空间重大影响的缩影。Colonial Pipeline攻击也是这种情况,该攻击由俄罗斯犯罪分子实施,瞄准关键基础设施,将会对国家安全产生影响。勒索软件越来越多地陷入犯罪行为与国家安全行为重叠的关系中。在网络犯罪和国家安全的交叉点,与政府关系不明的犯罪组织实施勒索软件,目的是在政府不同级别的控制和指导下兼获经济利益和战略动机。
五
美国政府针对勒索软件威胁的最新打击措施
拜登政府采取了集中、综合的措施来应对勒索软件威胁。然而,仅靠政府行动是不够的。政府呼吁拥有和运营美国大部分关键基础设施的私营部门对其网络防御进行现代化改造,以应对勒索软件的威胁。政府宣布了鼓励弹性的具体措施,包括为关键基础设施管理人员举行的机密威胁简报会以及工业控制系统网络安全倡议等。此外,国际伙伴关系至关重要,跨国犯罪组织往往是勒索犯罪的实施者,利用全球基础设施和洗钱网络实施袭击,政府已加紧领导打击勒索软件的国际努力。总体而言,美政府的反勒索工作分为四个方面:
(1)破坏勒索软件基础设施和参与者:政府正在充分发挥美国政府的能力,以破坏勒索软件参与者、协助者、网络和金融基础设施;
(2)增强抵御勒索软件攻击的弹性:政府呼吁私营部门加大投资力度,重点关注网络防御以应对威胁。政府还概述了关键基础设施的预期网络安全阈值,并对交通关键基础设施提出了网络安全要求;
(3)解决滥用虚拟货币进行赎金支付的问题:虚拟货币受到与法定货币相同的反洗钱和反恐怖主义融资(AML/CFT)控制,这些控制和法律必须强制执行。政府正在利用现有能力并获取创新能力来追踪和拦截勒索软件收益;
(4)利用国际合作破坏勒索软件生态系统并解决勒索软件罪犯的安全港问题:美国正与国际合作伙伴合作,破坏勒索软件网络,提高合作伙伴在本国境内侦查和应对此类活动的能力,包括对允许罪犯在其管辖范围内活动的国家施加后果并追究其责任。
针对上述四个方面,迄今为止,美国已经采取的行动包括:
(一)破坏勒索软件基础设施和参与者
(1)司法部成立了一个工作组,以加强执法和检察机关打击勒索软件举措的协调和统一。执法机构通过国家网络调查联合工作组 (NCIJTF) 并在跨部门的支持下,正在大力开展调查、资产追回和其他努力,以追究勒索软件犯罪分子的责任。
(2)财政部首次对虚拟货币交易所实施制裁。财政部将继续破坏并追究这些勒索软件参与者及其洗钱网络的责任,以降低网络犯罪分子继续进行这些攻击的动机。
(3)财政部发布了最新的制裁公告,鼓励并强调向美国政府当局报告勒索事件和付款的重要性。
(4)美国网络司令部和国家安全局正在投入人力、技术和专业知识来生成针对勒索软件攻击者的洞察力和选项。
(5)国务院奖励司法 (RFJ) 办公室悬赏 1,000 万美元,用于提供信息,以识别或定位在外国政府指导或控制下从事、协助或教唆,针对美国关键基础设施的某些恶意网络活动,包括勒索软件活动。
(二)增强抵御勒索软件攻击的弹性
(1)拜登于4月启动了一项工业控制系统网络安全(ICS)计划——这是联邦政府和关键基础设施社区之间的自愿合作。ICS 计划已促使代表近 9000 万居民客户的 150 多家电力公司部署或承诺部署控制系统网络安全技术,从而加强这些设施的安全性和弹性。ICS 计划已扩展到天然气管道,不久将扩展到水利部门。
(2)7月,美国国土安全部(DHS)和美国司法部(DOJ)建立了StopRansomware.gov网站,以帮助私人和公共组织访问资源以降低其勒索软件风险。
(3)5月和7月,国土安全部交通安全管理局(TSA)分别发布了两项安全指令,要求关键管道所有者和运营商:向美国网络安全和基础设施安全局(CISA)报告确认的和潜在的网络安全事件;指定网络安全协调员每周7天、每天24小时待命;审查现行做法;识别网络风险的漏洞及相关补救措施,并在30天内向TSA和CISA报告结果。第二份安全指令要求TSA指定的关键管道的所有者和运营商实施具体的缓解措施,以防止勒索软件攻击和其他已知的信息技术和运营技术系统的威胁,制定并实施网络安全应急和恢复计划,并进行网络安全架构设计审查。
(4)负责网络和新兴技术的副国家安全顾问安妮·纽伯格(Anne Neuberger)于 6 月向首席执行官们发送了一封公开信,传达了防御和准备勒索软件事件的最佳实践,包括备份数据、实施多因素身份验证和测试事件响应计划。
(5)8月,拜登总统会见了私营部门和教育部门领导人,讨论了解决网络安全威胁所需的全国性努力——领导人宣布了支持国家网络安全的雄心勃勃的计划。
(6)商务部下属的国家标准与技术研究所(NIST)正在与业界合作,以改进当前和新兴的标准、实践和技术方法,以解决勒索软件问题。他们的工作包括制定勒索软件风险管理的网络安全框架概要,该概要以NIST网络安全框架为基础,为组织提供预防、应对勒索软件事件和从勒索事件中恢复的指南。
(7)财政部和国土安全部的CISA正在与网络保险部门合作,探索激励措施,以加强网络卫生的实施并提高勒索软件活动的可见性。
(三)打击滥用虚拟货币洗钱
(1)美国仍然处于对虚拟货币业务和活动应用反洗钱/打击资助恐怖主义 (AML/CFT) 要求的最前沿。美国虚拟货币交易所将继续对监管要求负责,并且通过金融犯罪执法网络 (FinCEN) 交换计划等场所与虚拟货币和更广泛的金融部门分享了虚拟货币滥用的指标和类型。
(2)财政部正在牵头推动金融行动特别工作组执行与虚拟资产相关的金融透明度国际标准,并建立双边伙伴关系,旨在加强海外虚拟货币交易的反洗钱/反恐融资控制。国际反洗钱/反恐融资虚拟货币标准的不均衡实施会造成勒索软件参与者利用的漏洞,并抑制美国政府破坏与勒索软件相关的洗钱活动的能力。
(3)在联邦调查局的领导下,美国政府正在建立非法虚拟资产通知(IVAN)信息共享伙伴关系和支持平台,以改善勒索软件和其他非法虚拟货币支付流的检测和中断时间。
(四)加强国际合作
(1)政府正与国际合作伙伴密切合作,以应对勒索软件的共同威胁,并激发全球政治意愿来对抗勒索软件活动——正如最近七国集团和北大西洋财政组织(北约)的联合声明以及金融行动特别工作组(FATF)所反映的那样,等等。行政当局继续倡导扩大加入和执行《布达佩斯公约》及其原则。
(2)各部门和机构继续与各国合作,以提高其应对勒索软件威胁的能力,包括通过促进网络安全最佳实践和打击网络犯罪的能力建设,例如网络防御和弹性、网络卫生、虚拟货币分析以及其他培训和向外国执法伙伴提供技术援助,以打击滥用信息技术的犯罪行为。
(3)美国仍致力于通过更直接的外交途径消除勒索罪犯的安全港。拜登直接与普京接触,并成立了白宫和克里姆林宫专家组,直接讨论和解决勒索活动。
六
英国如何保护组织免受勒索软件攻击
为保护组织免受勒索软件攻击,英国国家网络安全中心发布了《减轻恶意软件和勒索软件攻击》指南,以帮助英国私营和公共部门组织应对勒索软件威胁,降低影响并如何进行有效防范,具体举措主要包括:
(一)定期备份
最新备份是从勒索软件攻击中恢复的最有效方法。主要包括:(1)定期备份最重要的文件,检查是否知道如何从备份中恢复文件,并定期测试是否按预期工作。(2)使用不同的备份解决方案和存储位置制作多个文件副本。(3)确保包含备份的设备(例如外部硬盘驱动器和 U 盘) 没有永久连接到网络。攻击者将瞄准连接的备份设备和解决方案,使恢复更加困难。(4)确保云服务保护以前版本的备份不被立即删除,并允许可恢复。(5)开始恢复之前,确保备份仅连接到已知的干净设备。(6)在还原之前扫描恶意软件的备份。勒索软件可能已经在一段时间内渗透到网络中,并在被发现之前复制到备份中。(7)定期修补用于备份的产品,因此攻击者无法利用它们可能包含的任何已知漏洞。
(二)防止勒索软件被传送和传播到设备
针对勒索软件攻击越来越多地通过远程桌面协议 (RDP) 或未打补丁的远程访问设备等公开服务获得远程访问权限的情况,应该:(1)在进入网络的所有远程接入点启用MFA,并使用硬件防火墙强制 IP 允许列表;(2)使用建议的 VPN远程访问服务;(3)软件即服务或其他暴露于 Internet 的服务应使用单点登录 (SSO),其中可以定义访问策略;(4)使用最低权限模型提供远程访问;(5)立即修补所有远程访问和面向外部的设备中的已知漏洞,并遵循供应商补救指南,包括在新补丁可用时立即安装。此外,为防止勒索软件横向移动,恣意传播,应该:(1)使用MFA对用户进行身份验证,以便在恶意软件窃取凭据时无法轻易重用这些凭据;(2)确保过时的平台(操作系统 (OS) 和应用程序)与网络的其余部分正确隔离;(3)定期审查并删除不再需要的用户权限,以限制恶意软件的传播能力;(4)确保系统管理员避免使用其帐户进行电子邮件和网页浏览;(5)实践良好的资产管理,包括跟踪设备上安装的软件版本;(6)保持将设备和基础设施打补丁,尤其是网络边界上的安全强制设备(例如防火墙和 VPN 产品)。
(三)防止勒索软件在设备上运行
防止勒索软件在设备运行应采取的措施主要有:(1)集中管理设备,只允许运行企业信任的应用程序;(2)考虑是否需要企业防病毒或反恶意软件产品,并使软件(及其定义文件)保持最新;(3)为员工提供安全教育和安全意识培训;(4)禁用或限制脚本环境和宏;(5)禁用已安装媒体的自动运行。此外,攻击者可通过利用设备漏洞强制执行其代码,可通过保持设备的良好配置和最新状态来防止这种情况发生,通常可以:(1)尽快安装安全更新,以修复产品中的可利用错误;(2)启用操作系统、应用程序和固件的自动更新;(3)使用最新版本的操作系统和应用程序,以利用最新的安全功能;(4)配置基于主机的防火墙和网络防火墙,默认禁止入站连接。
(四)为事件做好准备
勒索软件攻击可能是毁灭性的,将造成计算机系统不再可用,在某些情况下,数据可能永远无法恢复。如可恢复,也需要数周乃至更长时间,如何确保企业和组织在遭受攻击后能快速恢复,可采取的措施主要有:(1)确定关键资产并确定受到勒索软件攻击后的影响;(2)制定内部和外部沟通策略,确保正确的信息能及时送到到正确的利益相关者;(3)确定如何应对赎金要求以及组织数据被发布的威胁;(4)如无法访问计算机系统,确保事件管理手册和支持资源可用;(5)确定向监管机构报告事件方面的法律义务,并了解应如何处理;(6)执行事件管理计划并确定系统恢复的优先级。例如,广泛的勒索软件攻击是否意味着需要完全关闭网络;(7)事件发生后,修改事件管理计划以及吸取经验教训,以确保相同的事件不会再次以相同的方式发生。
七
结 语
2021年,勒索软件攻击进入最疯狂的阶段,在全球范围内,估计每11秒就有一次勒索软件攻击企业,预计2021年勒索软件损失将达到200亿美元,而且波及的行业非常广泛,向石油、天燃气、能源、制造等关键基础设施行业蔓延,针对的目标公司体量愈来愈大,勒索赎金已创历史新高,成为给企业和组织造成损失最大的攻击手段。面对愈加强大的勒索攻击者,没有一个国家是能孤军奋战的,对各国政府而言,可能有不同的方法,从如何保护网络,到利用外交工具,甚至是打击非法融资的最有效方法等,但是“没有一个国家、没有一个团体可以解决这个问题。” 美国国家安全顾问杰克沙利文说, “跨国犯罪分子通常是勒索软件犯罪的肇事者,他们经常利用全球基础设施和跨多个国家、多个司法管辖区的洗钱网络进行攻击。”因此,勒索软件是一个需要集体行动的全球问题,各国的私营企业和执法部门要联合起来,共同抵御目前攻击技术水平愈加高强的定向针对性勒索软件攻击。
