勒索软件2021:黑客为什么没人管?
集体哑火的网络安全服务商
网络安全厂商几乎扫平了电脑病毒,但面对勒索软件往往无可奈何。
一方面,“人”是勒索软件的帮凶。
勒索软件入侵电脑的途径主要有四种:系统漏洞、钓鱼邮件、垃圾广告和U盘病毒,后三种都需要人为介入——企业员工打开来源不明的邮件、点击不安全的链接,或是把被感染的U盘插入公司电脑,都会帮助勒索团队越过安防系统,入侵公司[17]。
其中,利用“社工”原理邮件钓鱼,是最常见的入侵途径。
如果你是一名企业助理,那你一定收到这种邮件——它假装成你的老板,用命令的口吻要求你向这个邮箱发送机密文件,或者向指定账户汇款,即便老板此时可能就在你工位对面。这就是社工钓鱼邮件。
几封显而易见的钓鱼邮件
亚信安全数据显示,91%的定向攻击始于社工钓鱼邮件。这些邮件通常伪装成订单、工资单、发票等,让人防不胜防[18]。企业员工众多,但凡有一名员工疏忽,勒索团伙就会通过横向感染,接管整个企业的系统[19]。
网络安全厂商能够应付来自外部的破坏,却没法控制每一位员工的鼠标。腾讯安全玄武实验室负责人于旸认为,“企业的人员是流动的,一些安全意识弱的新员工可能会打破原本的安全体系。”[20]
因此,“人”成了企业网络安全系统中最薄弱的环节。
另一方面,病毒的攻击方式不断变化,传统反入侵工具收效甚微。
网络攻防不是静态的。于旸举例解释,“可能今天企业把安全做到了95分,攻击者那边是90分,他便攻不进来,但对方不可能永远是90分。”每个月甚至每天有新的攻击技术、有新的漏洞出现,这些都会让分数向攻击者倾斜。
比如,2020年新出现的勒索软件,大多采用无文件攻击策略。攻击者在利用这种技术实施攻击时,无需在磁盘上写入恶意文件,可以避免传统安全软件的检测,让大多数安全软件“哑火”[21]。
微步在线木马研究团队负责人也告诉放大灯团队,最新的勒索软件采用了一些提升权限的技术,能够加密重要的系统文件,还会利用Windows系统中某些特殊端口,提高加密文件的速度,增加了防控难度。
该负责人表示,目前业界对于勒索软件的防护更多地体现在预防和缓解上,如排查暴露在公网的资产,提升相关人员安全意识等进行预防,一旦发现主机被勒索,可对相关主机进行隔离,防止勒索软件通过内网横移,攻陷更多主机。
近年,网络安全公司也在加强检测和响应能力,以应对勒索软件。
瑞星、奇安信、微步在线等公司用于防御勒索软件的产品,都能起到较好的事前防御作用,但这仍无法根治勒索软件。
终端响应技术有望改变这种局面。终端响应即在终端通过威胁情报、文件检测引擎与全攻击链路行为分析等技术手段,能够精准发现并及时告警、阻断入侵行为。但是目前业界在勒索软件“运行时”的检测及响应上,尚缺乏完善的方案,才让人有了‘安全软件不行’的印象。”微步在线木马研究团队负责人解释。
但勒索团伙为什么偏爱美国呢?
感谢央行、感谢内网
美国的互联网行业在全球首屈一指,但受勒索软件攻击也最严重。
根据SonicWall在2021年的调查,全球勒索软件受灾国Top 10中,美国位居第一,是其他九个国家的总和[22]。
一名前安全行业从业者告诉放大灯团队(ID:guokr233),美国互联网公司技术发达,但传统企业的代码老化严重,而且只能跑就不改,导致多年前的漏洞一直存在。
美国的市政部门也有同样的缺陷,包括旧金山在内的美国大量市政府,至今仍在用上世纪80年代的软件控制交通灯、车辆登记、法庭记录和财产税,极易遭黑客入侵[23]。另外,大多数美国关键基础设施都归私人企业所有,而国家没有相应鼓励措施,多数公共事业公司也都没有实施网络安全监控。一旦发生危机,私人公司无力应对[24]。
中国同样是勒索软件攻击的重灾地。根据卡巴斯基的统计,2020年下半年,中国大陆有48.4%的工业控制系统计算机遭到攻击,位居全球第九[25]。但为什么很少听说国内有大型勒索事件?
国内外企业数字化水平的差异是一个重要原因。翼盾智能和第五空间研究院创始人朱易翔认为,国外总体数字化程度更高,对互联网的依赖性更大[20]。
虽然国内传统企业因数字化水平偏弱躲过一劫,但也不能心存侥幸。实际上,国内数字化水平较高的企业,也有应对之法。
首先,国内企业的安全意识相当高。
国内中大型企业,都有自己的安全中心,安全策略跟进速度快,能够把大部分勒索攻击拒之门外。而一般小公司若无机密数据,出了事也不在乎。数字化转型后的企业,会定期备份数据,一旦遭遇勒索,只要从云端恢复即可。
备份能够帮助企业免于支付赎金| 图源:[26]
另外,国内加密货币支付困难,成了勒索团伙的掣肘。
加密货币交易的安全性和匿名性,给司法部门追查带来很大难度,这助长了勒索软件的气焰[27]。区块链数据平台ChainAlysis数据显示,2021年勒索软件受害者支付的加密货币总金额增加了 311%,约合近 3.5 亿美元,占加密货币总交易金额的 7% 左右[28]。
而国内加密货币交易一直受到有关部门监管、监控加密货币最近流向[29],甚至在近年5月,中国央行联合中国互联网金融协会、中国银行业协会等部门“封杀”加密货币。这些本为打击炒作活动的政策,无意中遏制了勒索软件对中国企业的影响。
最后,国内政府、政企的内外网分离方案。
这些企业为了防止内部核心数据泄露,会将企业内网与互联网隔离,把内部数据“困在”内部网络,同时还能屏蔽来自外部网络的攻击[30]。
即便如此,勒索软件仍不可小觑。
随着技术发展,互联网已不再是单纯用于娱乐和生产的工具。利用IoT等技术,用户可以通过互联网控制各种电子设备。这也意味着,如果你的手机、电脑被黑客入侵,他也同样可以控制你家里的电子门锁或者窗锁,用你的人身安全威胁你支付巨额赎金。
如果你有一些特殊癖好,用上了增进情趣的IoT“小玩具”,那也有危险,你很可能已被不怀好意的黑客盯上,这事儿可是有先例——
图源:[31]
如果这些还只算是少数人的小爱好,那么请设想一下,影响未来大多数人生活的自动驾驶被黑,会是怎么惊悚场面——你正坐在时速120km的自动驾驶车上,收到了勒索软件的信息:支付100万,否则汽车会冲下高速。
这时候,除了付钱,你还有得选吗?
References:
[1] Reuters Staff. 白宫警告企业加强网络安全措施,防范勒索软件攻击 2021.6.3
[2] Carrie Mihalcik, Richard Nieva. Google, Amazon, Microsoft unveil massive cybersecurity initiatives after White House meeting 2021.8.25
[3] Andrea Shalal. U.S. to work with Big Tech, finance sector on new cybersecurity guidelines 2021.8.26
[4] 猎影实验室. 2021年上半年全球勒索软件趋势报告 2021.6.25
[5] The State of Ransomware 2021
[6] AIDS(Trojan horse)
[7] 专题|勒索软件简史 2017.5.19
[8] nana. 勒索软件新常态 2019.3.25
[9] Ghosh, Agamoni. 'President Trump what the f**k are you doing' say Shadow Brokers and dump more NSA hacking tools. International Business Times UK. April 9, 2017
[10] Unit 42勒索软件威胁报告:2020年勒索软件的平均赎金增加近两倍达31万2493美元 2021.3.18
[11] Richard Lawler. Kaseya ransomware attackers demand $70 million, claim they infected over a million devices 2021.7.5
[12] Further_eye. 2020上半年勒索软件洞察报告 2020.9.21
[13] 张莹. 新闻分析:勒索软件威胁有何新特点 2021.7.8
[14] Internet Organised Crime Threat Assessment (IOCTA) 2020
[15] 小二郎. “大流行”中的“大流行”:勒索软件即服务(RaaS)犯罪团伙大起底 2020.12.19
[16] Check Point 研究显示:与 2020 年初相比,今年全球遭受勒索软件攻击的组织增加 102% 2021.5.17
[17] Kriston. 企业组织易受勒索软件攻击的10大原因 2019.11.25
[18] 邮件安全 | 商业电子邮件诈骗(BEC),真假难辨又屡屡得手?2021.7.30
[19] 网络攻击最佳CP!勒索软件联手网络钓鱼再“夺冠” 2021.8.3
[20] 腾讯勒索病毒媒体沟通会
[21] Alpha_h4ck. 技术分析 | 浅析无文件攻击 2018.12.18
[22] 2021年上半年3亿多次勒索软件攻击量创纪录,已超2020全年数据——青少年网络安全教育
[23] 旧金山等一些美国城市仍在使用老化的软件来满足市政需求 2019.3.4
[24] 宋欣仪. 医疗邮政银行瘫痪三周后,佛罗里达两城市接连向黑客屈服,支付超百万比特币赎金 2019.6.27
[25] Threat landscape for industrial automation systems. Statistics for H2 2020 2021.3.25
[26] 面对勒索软件,除了交赎金,还能怎么办?——我们有11个建议给你 2016.12.1
[27] 网络安全专家称加密货币助长了勒索软件攻击 2021.6.11
[28] Ransomware Skyrocketed in 2020, But There May Be Fewer Culprits Than You Think
[29] Wolfie Zhao. 中国央行开始监控虚拟货币资金流向 2018.2.28
[30] 顾娟. 企业内外网分离方案是什么?2020.4.27
[31] Lorenzo Franceschi-Bicchierai. ‘Your Cock Is Mine Now:’ Hacker Locks Internet-Connected Chastity Cage, Demands Ransom 2021.1.11
图片新闻
发表评论
请输入评论内容...
请输入评论/评论长度6~500个字
暂无评论
暂无评论