白宮坐不住了。

兩個月前,美國政府曾警告企業(yè)防范勒索軟件攻擊[1],但就在8月26日,拜登調(diào)門升級,他召集蘋果、微軟、谷歌、亞馬遜、摩根大通在內(nèi)的科技金融公司高管齊聚白宮,討論網(wǎng)絡(luò)安全問題,勒索軟件是重點議題[2]。拜登承認(rèn)美國基礎(chǔ)設(shè)施“由私人公司運作,聯(lián)邦政府無法獨立應(yīng)對挑戰(zhàn)”[3]。在會后,微軟和谷歌分別承諾為網(wǎng)絡(luò)安全投入數(shù)百億美元。

跪在勒索軟件的陰影下的,又豈止是美國。

楊景詒 | 作者

李拓 | 編輯

放大燈團(tuán)隊 | 策劃

2021年,勒索軟件成了全球噩夢。據(jù)安恒信息威脅情報中心統(tǒng)計,今年上半年,全球至少發(fā)生了1200多起勒索軟件攻擊事件,造成的直接經(jīng)濟(jì)損失超過300億美元[4]。

被勒索的企業(yè)或組織,有兩條路可選:

要么一開始就老實交錢,息事寧人;要么像巴爾的摩市那樣,堅持拒絕支付贖金,以致城市癱瘓三周,最終還是屈于淫威。但即便就范,也難得善終——2021年上半年,那些支付贖金的企業(yè)平均只能找回65%的文件,其余部分則被損壞并無法訪問[5]。

在這場不平等游戲里,各國政府、公司乃至個人用戶都無可奈何,勒索軟件由此成為不法分子的“財富密碼”。

財源滾滾的“好生意”

1989年12月,美國進(jìn)化生物學(xué)家約瑟夫·波普(Joseph Popp)向世界衛(wèi)生組織艾滋病會議和《個人電腦商業(yè)世界》雜志(PC Business World)分別郵寄了一張被感染的軟盤,標(biāo)簽是“艾滋病信息介紹軟盤”,軟盤上印有“賽博格電腦公司”(PC Cyborg Corporation)的標(biāo)志。盤上存了兩個文件:一個偽裝成關(guān)于艾滋病毒調(diào)查問卷的特洛伊木馬(名為AIDS Trojan),另一個是安裝程序。

一旦電腦被感染,C盤的全部文件名將會被加密,致使系統(tǒng)無法啟動,并出現(xiàn)支付贖金的界面(聲稱用戶安裝的賽博格電腦公司軟件已過期,需要續(xù)費)。

圖源:[6]

AIDS Trojan是有記錄以來第一個勒索軟件。雖然始作俑者約瑟夫·波普辯稱,他收到的贖金是為了支持艾滋病研究[7],但病毒感染了數(shù)萬臺電腦,導(dǎo)致不少醫(yī)學(xué)機(jī)構(gòu)多年的研究數(shù)據(jù)毀于一旦。

當(dāng)時的加密手段十分容易破解,AIDS Trojan的制作者也沒收到多少錢,勒索軟件很快無人問津。直到2006年,一個名為Archievus的勒索軟件用上了幾乎無解的非對稱加密算法。此后,勒索軟件重獲不法分子重視,得以再次流行。

近年來,勒索團(tuán)伙的策略又發(fā)生變化。它們盯上了政企機(jī)構(gòu)。數(shù)年來,中招的機(jī)構(gòu)與公司越來越多——

近三年重大網(wǎng)絡(luò)入侵勒索事件一覽 | 放大燈團(tuán)隊制圖

行業(yè)媒體安全牛也提到,2018年超過80%的勒索軟件感染都是針對企業(yè)[8]。為什么企業(yè)成了“香餑餑”?

一方面,企業(yè)IT安全往往存在薄弱環(huán)節(jié)。多數(shù)惡意軟件都依賴于桌面操作系統(tǒng)中的漏洞,而企業(yè)電腦操作系統(tǒng)往往不能及時更新升級,這給了勒索團(tuán)伙可乘之機(jī)。

2017年著名的勒索軟件WannaCry,就利用Windows操作系統(tǒng)的SMB協(xié)議漏洞,大肆傳播,未及時修復(fù)漏洞的電腦,得到了“重點關(guān)照”[9]。

另一方面,勒索企業(yè)的成功率高、回報“豐厚”,這個“生意”穩(wěn)賺不賠。

以往針對個人的勒索,加密的數(shù)據(jù)價值較小,成功率低。如今,越來越多的團(tuán)伙使用“雙重勒索”策略攻擊目標(biāo)企業(yè)。

“雙重勒索”,即不法團(tuán)伙在加密企業(yè)文件的同時,還竊取被勒索公司的數(shù)據(jù)并進(jìn)行備份,如果企業(yè)不交錢,他們就威脅曝光或售賣數(shù)據(jù)�？傊�,無論交不交贖金,勒索團(tuán)伙都穩(wěn)賺不賠[4]。數(shù)據(jù)被加密尚可以通過備份恢復(fù),可一旦機(jī)密數(shù)據(jù)泄露,企業(yè)不僅品牌聲譽大損,還要承擔(dān)法律責(zé)任,并賠償客戶遠(yuǎn)高于贖金的損失。

雙重勒索對大企業(yè)十分有效。表格中提及的上市咨詢公司埃森哲、硬件生產(chǎn)商技嘉,均被勒索團(tuán)伙以曝光數(shù)據(jù)要挾。

不僅勒索屢屢得手,贖金也水漲船高。

Unit 42勒索軟件威脅報告顯示,受勒索企業(yè)支付的平均贖金從2019年的11．5萬美元增加到2020年的31．2萬美元,同比增長171%[10]。到今年上半年,平均贖金又突破80萬美元[4],而單次勒索贖金最高紀(jì)錄已高達(dá)7000萬美元[11]。

圖源:[12]

如此大張旗鼓的勒索,必然不是幾個人的團(tuán)隊小打小鬧�，F(xiàn)在的勒索行業(yè),甚至出現(xiàn)產(chǎn)業(yè)化趨勢,形成了勒索軟件即服務(wù)(RaaS)——一種開發(fā)者提供勒索軟件,分發(fā)者入侵和勒索企業(yè),前者從后者所獲贖金中抽成的商業(yè)模式。

該模式下的團(tuán)隊由勒索軟件供應(yīng)商、攻擊執(zhí)行人員、贖金談判人員及話務(wù)員組成,在編寫軟件、實施攻擊、溝通談判、接收贖金等環(huán)節(jié)各司其職[13]。

勒索軟件即服務(wù)模式的勒索流程

勒索軟件即服務(wù)既降低了勒索的技術(shù)門檻,又分擔(dān)了犯罪活動的風(fēng)險,令網(wǎng)絡(luò)勒索對不法分子的吸引力越來越強[14]。

安全企業(yè)Intel 471調(diào)查發(fā)現(xiàn),2019年至2020年間新出現(xiàn)了25個新的勒索軟件即服務(wù)團(tuán)伙,它們發(fā)動攻擊的規(guī)模與所造成的災(zāi)情幾乎無法統(tǒng)計[15]。在今年5月,攻擊美國燃油管道公司Colonial Pipeline、致使美國進(jìn)入國家緊急狀態(tài)的勒索團(tuán)隊DarkSide,便是勒索軟件即服務(wù)模式的團(tuán)伙。

模式創(chuàng)新帶來了更嚴(yán)重的災(zāi)情。

據(jù)安全公司Check Point的數(shù)據(jù),2020年勒索軟件給全球企業(yè)造成約200億美元損失,比2019年增加了近75%。在數(shù)量上,今年被勒索的公司較去年增加了102%[16]。

勒索軟件這么猖獗,網(wǎng)絡(luò)安全公司就不管管?