黑客網(wǎng)絡(luò)勒索犯罪悄然升級:鎖定數(shù)據(jù),索要贖金,全球多家企業(yè)中招
所謂網(wǎng)絡(luò)勒索,其實質(zhì)是一種網(wǎng)絡(luò)犯罪活動,網(wǎng)絡(luò)勒索者通過勒索軟件對企業(yè)造成攻擊事實或攻擊威脅,然后向企業(yè)提出金錢要求以避免或停止受到攻擊行為。
勒索軟件,又稱勒索病毒,是一種惡意軟件,其工作方式基本與計算機病毒類似。不過,與一般的計算機病毒不同的是,它通常不會直接破壞數(shù)據(jù),而是將數(shù)據(jù)進行加密鎖定,然后要求被勒索者支付贖金,否則不予解密或者威脅將數(shù)據(jù)公開或者銷毀。
一場新的勒索行動正在實施
2021年5月,一個名為DarkSide的黑客團伙侵入美國最大的燃料管道運營商科洛尼爾公司。據(jù)悉,在這次網(wǎng)絡(luò)攻擊中,黑客通過安裝勒索軟件,控制了該公司的計算機系統(tǒng)或數(shù)據(jù)系統(tǒng),并要求公司支付大筆贖金才能重新獲得訪問權(quán)限。當(dāng)時,約有近100GB的數(shù)據(jù)被劫持。這次網(wǎng)絡(luò)攻擊的直接后果是讓美國東部沿海各州供油的關(guān)鍵燃油網(wǎng)絡(luò)被迫關(guān)閉,導(dǎo)致部分地區(qū)出現(xiàn)燃油供應(yīng)短缺。不僅如此,美國燃油價格也隨之飆升創(chuàng)下新高。
不久,一場新的勒索行動又悄悄接近了毫無防備的中小企業(yè)。當(dāng)?shù)貢r間7月2日,美國邁阿密一家IT軟件管理公司Kaseya遭到一個勒索軟件的攻擊。據(jù)當(dāng)?shù)孛襟w報道,該黑客組織利用Kaseya與客戶、其客戶的客戶的聯(lián)系發(fā)起了超大規(guī)模網(wǎng)攻,致使全球數(shù)百家科技公司的計算機癱瘓,導(dǎo)致全球多達(dá)4萬臺電腦被感染。
從以往經(jīng)驗來看,勒索軟件攻擊的目標(biāo)主要包括超市、學(xué)校、旅游部門及信貸聯(lián)盟,還有一些會計機構(gòu)等。此前,據(jù)《華盛頓郵報》報道,當(dāng)?shù)貢r間6月1日,全球最大肉類加工商JBS也遭遇了這伙黑客攻擊,導(dǎo)致其在美牛肉加工廠全部關(guān)停。事件發(fā)生后,JBS乖乖向黑客團伙支付了 1100 萬美元的比特幣。
對此,F(xiàn)BI勸阻受害者不要付款,因為根據(jù)今年的一份報告,92%付款的組織無法恢復(fù)所有數(shù)據(jù),大多數(shù)付款的受害者只能部分恢復(fù)其加密文件的內(nèi)容。
瑞典多家IT服務(wù)供應(yīng)商受影響
此次美國IT軟件管理公司遭到勒索軟件的攻擊,致使全球數(shù)百家企業(yè)和機構(gòu)受到影響,其中包括瑞典的一家連鎖超市Coop。7月3日,Coop發(fā)布聲明稱,因為“超市收銀機受到勒索軟件攻擊”,無法接受顧客付款。Coop表示,其已經(jīng)暫時關(guān)閉了全國各地約800家商店。
與此同時,瑞典國家鐵路服務(wù)部門和另一家連鎖藥店也遭到了黑客的攻擊。目前瑞典已經(jīng)確認(rèn)受威脅的IT服務(wù)供應(yīng)商達(dá)到20家,它們旗下的客戶則超過了1000家。“毫無疑問,這次攻擊非常危險,相關(guān)機構(gòu)必須提高防范意識。”瑞典國防部長彼得·赫爾奎斯特在接受采訪時如是說。
經(jīng)過反復(fù)比對,很快,瑞典受害者之間的共同點被確認(rèn):它們都使用了美國公司Kaseya旗下一款名為VSA的產(chǎn)品,而黑客正是對這一工具推送了惡意更新,進而加密了其眾多客戶的文件。值得注意的是,Kaseya主要為大型IT服務(wù)供應(yīng)商提供服務(wù),這些供應(yīng)商又為更多的中小企業(yè)提供外包式服務(wù):使用其工具的客戶通常為規(guī)模太小或資源有限而無法擁有自己的技術(shù)部門的公司,Kaseya提供的IT工具可以幫助這些小公司處理后臺工作。
瑞典檢方經(jīng)過調(diào)查,認(rèn)為這起惡性事件的策劃者正是臭名昭著的勒索團伙REvil。據(jù)悉,該團伙是世界上規(guī)模最大的網(wǎng)絡(luò)勒索團伙之一。根據(jù)粗略估計,其背后的黑客在全球已經(jīng)勒索超過1億美元,短短數(shù)月內(nèi)令數(shù)百家企業(yè)陷入癱瘓。根據(jù)已經(jīng)掌握的案例,勒索團伙REvil攻擊手段一直處于不斷變化之中。最早他們使用暴力破解,隨后進化到釣魚郵件、僵尸網(wǎng)絡(luò)分發(fā)和高危漏洞攻擊。最近一次,他們就利用了Microsoft Exchange的漏洞進行襲擊,成功竊取了計算機巨頭的內(nèi)部數(shù)據(jù)。
事實已經(jīng)很清楚,此次黑客“攻擊風(fēng)暴”的核心正是總部位于美國佛羅里達(dá)州的技術(shù)公司Kaseya,而使用這一技術(shù)工具的企業(yè)因為黑客攻擊而癱瘓。據(jù)《華爾街日報》報道,當(dāng)這些企業(yè)的工作人員點擊“待更新”后,他們沒有獲得 Kaseya 的最新更新,而是收到了REvil的勒索軟件。據(jù)了解,REvil最初是通過其系統(tǒng)中一個未知的漏洞——被稱為“零日”(0-day)去攻破的。
據(jù)說,發(fā)現(xiàn)此類漏洞時,軟件制造商只有0日時間來修復(fù)它,所以被稱為“零日”。網(wǎng)絡(luò)犯罪分子在專家們修復(fù)漏洞之前,可以利用該漏洞對網(wǎng)絡(luò)系統(tǒng)實施嚴(yán)重破壞。VSA軟件中存在大量0-day漏洞,這些漏洞成為部署勒索軟件的渠道。然后,他們使用勒索軟件鎖定數(shù)據(jù),攻擊者通過 HTTP訪問連接到主機,并手動注入惡意軟件。
“我們隨時準(zhǔn)備進行談判。”黑客早些時候告訴路透社。對此,網(wǎng)絡(luò)安全專家表示,“這個團伙也比較‘好商量’,在與談判專家協(xié)商后,他們通常會大幅度降低贖金”。
網(wǎng)絡(luò)勒索犯罪悄然升級
作為此次黑客攻擊的“第一目標(biāo)”,IT服務(wù)商Kaseya發(fā)布聲明稱,已經(jīng)主動關(guān)閉了該公司的SaaS服務(wù)器,同時提醒接收到黑客信息時不要點擊任何鏈接。7月4日,幕后的黑客向Kaseya索要7000萬美元贖金。
毫無疑問,如果Kaseya答應(yīng)了勒索者的要求,那么這將成為全球范圍內(nèi)金額最大的網(wǎng)絡(luò)勒索案件。不過,目前該公司還未公開聲明是否考慮向REvil支付贖金,或許它是在等待來自政府或者相關(guān)產(chǎn)業(yè)鏈公司的解救。當(dāng)?shù)孛襟w報道,就在這場攻擊發(fā)生后不久,美國總統(tǒng)拜登下令對這次勒索軟件的幕后黑手進行調(diào)查,并且視情況給予受害者援助。
有專家表示,網(wǎng)絡(luò)勒索者為了索取贖金,一般會采用以下幾種手段:加密數(shù)據(jù)勒索、鎖定系統(tǒng)勒索、威脅恐嚇勒索和數(shù)據(jù)泄漏勒索。其中,加密數(shù)據(jù)勒索是勒索犯罪最常采用的手段,勒索者加密用戶系統(tǒng)內(nèi)重要的數(shù)據(jù)和文檔,如果沒有攻擊者的私鑰,用戶就無法解密被鎖定的文件。然而,令不少人感到困惑的是,美國是互聯(lián)網(wǎng)的發(fā)祥地之一,網(wǎng)絡(luò)安全產(chǎn)業(yè)早已成熟,為何在這種情況下,仍然會有黑客乘虛而入?
答案出在安全成本上。從結(jié)果來看,多年來發(fā)生的一系列惡性攻擊事件,并沒有觸動這些企業(yè)主。從此前《華爾街日報》對389家制造業(yè)企業(yè)的調(diào)查來看,只有不到三分之二的企業(yè)有屬于自己的網(wǎng)絡(luò)安全項目,而更多企業(yè)“不計劃在未來一年內(nèi)對安全領(lǐng)域?qū)嵤└倪M”,這些改進包括網(wǎng)絡(luò)保險、員工網(wǎng)絡(luò)安全培訓(xùn)、制定突發(fā)網(wǎng)安事件響應(yīng)計劃等。說到底,企業(yè)主不愿把錢花在安全上。
對于制造業(yè)而言,解決網(wǎng)絡(luò)安全問題往往需要付出巨大的成本,因為這需要他們讓設(shè)備離線以更新安全系統(tǒng),而系統(tǒng)脫機維護很有可能導(dǎo)致舊系統(tǒng)出現(xiàn)問題,甚至可能導(dǎo)致永久性故障。畢竟,很多制造商的設(shè)備在設(shè)計之初是以效率及合規(guī)為優(yōu)先,而不是安全。對于目前眾多的互聯(lián)網(wǎng)中小企業(yè)來說,專門設(shè)置一個安全團隊同樣成本過高,致使他們難以承受這筆花銷,更重要的是,這些投進去的錢難以為其創(chuàng)造收益。
如此一來,企業(yè)主的顧慮讓網(wǎng)絡(luò)勒索更加泛濫。“或許,只有在一個網(wǎng)絡(luò)攻擊無孔不入,人人自危的環(huán)境中,這些企業(yè)主才會把信息安全提上議事日程吧。”一位從業(yè)者如此感嘆道。專業(yè)人士表示,這次襲擊也標(biāo)志著勒索軟件團伙犯罪手法悄然升級。有媒體評論稱,不管這次勒索事件的后續(xù)如何,REvil的攻擊手段無疑又得到了進一步的“磨煉”。
