勒索软件,又称勒索病毒,是一种恶意软件,其工作方式基本与计算机病毒类似。不过,与一般的计算机病毒不同的是,它通常不会直接破坏数据,而是将数据进行加密锁定,然后要求被勒索者支付赎金,否则不予解密或者威胁将数据公开或者销毁。
一场新的勒索行动正在实施
2021年5月,一个名为DarkSide的黑客团伙侵入美国最大的燃料管道运营商科洛尼尔公司。据悉,在这次网络攻击中,黑客通过安装勒索软件,控制了该公司的计算机系统或数据系统,并要求公司支付大笔赎金才能重新获得访问权限。当时,约有近100GB的数据被劫持。这次网络攻击的直接后果是让美国东部沿海各州供油的关键燃油网络被迫关闭,导致部分地区出现燃油供应短缺。不仅如此,美国燃油价格也随之飙升创下新高。
不久,一场新的勒索行动又悄悄接近了毫无防备的中小企业。当地时间7月2日,美国迈阿密一家IT软件管理公司Kaseya遭到一个勒索软件的攻击。据当地媒体报道,该黑客组织利用Kaseya与客户、其客户的客户的联系发起了超大规模网攻,致使全球数百家科技公司的计算机瘫痪,导致全球多达4万台电脑被感染。
从以往经验来看,勒索软件攻击的目标主要包括超市、学校、旅游部门及信贷联盟,还有一些会计机构等。此前,据《华盛顿邮报》报道,当地时间6月1日,全球最大肉类加工商JBS也遭遇了这伙黑客攻击,导致其在美牛肉加工厂全部关停。事件发生后,JBS乖乖向黑客团伙支付了 1100 万美元的比特币。
对此,FBI劝阻受害者不要付款,因为根据今年的一份报告,92%付款的组织无法恢复所有数据,大多数付款的受害者只能部分恢复其加密文件的内容。
瑞典多家IT服务供应商受影响
此次美国IT软件管理公司遭到勒索软件的攻击,致使全球数百家企业和机构受到影响,其中包括瑞典的一家连锁超市Coop。7月3日,Coop发布声明称,因为“超市收银机受到勒索软件攻击”,无法接受顾客付款。Coop表示,其已经暂时关闭了全国各地约800家商店。
与此同时,瑞典国家铁路服务部门和另一家连锁药店也遭到了黑客的攻击。目前瑞典已经确认受威胁的IT服务供应商达到20家,它们旗下的客户则超过了1000家。“毫无疑问,这次攻击非常危险,相关机构必须提高防范意识。”瑞典国防部长彼得·赫尔奎斯特在接受采访时如是说。
经过反复比对,很快,瑞典受害者之间的共同点被确认:它们都使用了美国公司Kaseya旗下一款名为VSA的产品,而黑客正是对这一工具推送了恶意更新,进而加密了其众多客户的文件。值得注意的是,Kaseya主要为大型IT服务供应商提供服务,这些供应商又为更多的中小企业提供外包式服务:使用其工具的客户通常为规模太小或资源有限而无法拥有自己的技术部门的公司,Kaseya提供的IT工具可以帮助这些小公司处理后台工作。
瑞典检方经过调查,认为这起恶性事件的策划者正是臭名昭著的勒索团伙REvil。据悉,该团伙是世界上规模最大的网络勒索团伙之一。根据粗略估计,其背后的黑客在全球已经勒索超过1亿美元,短短数月内令数百家企业陷入瘫痪。根据已经掌握的案例,勒索团伙REvil攻击手段一直处于不断变化之中。最早他们使用暴力破解,随后进化到钓鱼邮件、僵尸网络分发和高危漏洞攻击。最近一次,他们就利用了Microsoft Exchange的漏洞进行袭击,成功窃取了计算机巨头的内部数据。
事实已经很清楚,此次黑客“攻击风暴”的核心正是总部位于美国佛罗里达州的技术公司Kaseya,而使用这一技术工具的企业因为黑客攻击而瘫痪。据《华尔街日报》报道,当这些企业的工作人员点击“待更新”后,他们没有获得 Kaseya 的最新更新,而是收到了REvil的勒索软件。据了解,REvil最初是通过其系统中一个未知的漏洞——被称为“零日”(0-day)去攻破的。
据说,发现此类漏洞时,软件制造商只有0日时间来修复它,所以被称为“零日”。网络犯罪分子在专家们修复漏洞之前,可以利用该漏洞对网络系统实施严重破坏。VSA软件中存在大量0-day漏洞,这些漏洞成为部署勒索软件的渠道。然后,他们使用勒索软件锁定数据,攻击者通过 HTTP访问连接到主机,并手动注入恶意软件。
“我们随时准备进行谈判。”黑客早些时候告诉路透社。对此,网络安全专家表示,“这个团伙也比较‘好商量’,在与谈判专家协商后,他们通常会大幅度降低赎金”。
网络勒索犯罪悄然升级
作为此次黑客攻击的“第一目标”,IT服务商Kaseya发布声明称,已经主动关闭了该公司的SaaS服务器,同时提醒接收到黑客信息时不要点击任何链接。7月4日,幕后的黑客向Kaseya索要7000万美元赎金。
毫无疑问,如果Kaseya答应了勒索者的要求,那么这将成为全球范围内金额最大的网络勒索案件。不过,目前该公司还未公开声明是否考虑向REvil支付赎金,或许它是在等待来自政府或者相关产业链公司的解救。当地媒体报道,就在这场攻击发生后不久,美国总统拜登下令对这次勒索软件的幕后黑手进行调查,并且视情况给予受害者援助。
有专家表示,网络勒索者为了索取赎金,一般会采用以下几种手段:加密数据勒索、锁定系统勒索、威胁恐吓勒索和数据泄漏勒索。其中,加密数据勒索是勒索犯罪最常采用的手段,勒索者加密用户系统内重要的数据和文档,如果没有攻击者的私钥,用户就无法解密被锁定的文件。然而,令不少人感到困惑的是,美国是互联网的发祥地之一,网络安全产业早已成熟,为何在这种情况下,仍然会有黑客乘虚而入?
答案出在安全成本上。从结果来看,多年来发生的一系列恶性攻击事件,并没有触动这些企业主。从此前《华尔街日报》对389家制造业企业的调查来看,只有不到三分之二的企业有属于自己的网络安全项目,而更多企业“不计划在未来一年内对安全领域实施改进”,这些改进包括网络保险、员工网络安全培训、制定突发网安事件响应计划等。说到底,企业主不愿把钱花在安全上。
对于制造业而言,解决网络安全问题往往需要付出巨大的成本,因为这需要他们让设备离线以更新安全系统,而系统脱机维护很有可能导致旧系统出现问题,甚至可能导致永久性故障。毕竟,很多制造商的设备在设计之初是以效率及合规为优先,而不是安全。对于目前众多的互联网中小企业来说,专门设置一个安全团队同样成本过高,致使他们难以承受这笔花销,更重要的是,这些投进去的钱难以为其创造收益。
如此一来,企业主的顾虑让网络勒索更加泛滥。“或许,只有在一个网络攻击无孔不入,人人自危的环境中,这些企业主才会把信息安全提上议事日程吧。”一位从业者如此感叹道。专业人士表示,这次袭击也标志着勒索软件团伙犯罪手法悄然升级。有媒体评论称,不管这次勒索事件的后续如何,REvil的攻击手段无疑又得到了进一步的“磨炼”。