但除了直接和间接的经济损失外,勒索软件还运用了深层的心理犯罪机制来攫取最大利益,这让它区别于其他形式的网络攻击。与其他所有类型的恶意软件相比,勒索软件在发起攻击时并不会隐藏其活动,而是向受害者说明他们已经被攻击,并强迫受害者采取行动(比如支付赎金)。
勒索软件在攻击时准确地利用了受害人的恐惧、认知、是否交赎金的动机和被锁定的资料价值,这些因素都会随着时间的流逝而发生变化,比如有的受害者据直接选择不付赎金,也有受害人会选择安全商,进行异地备份并创建解密器。在本文中,我们将探讨勒索软件的攻击者所使用的心理机制是如何随着时间而发展的,从而攫取最大利益。
使用勒索软件的攻击者要发起心理攻击需要具备什么条件?
勒索软件的基本功能包括初始感染、快速加密和受害者通知,在这种情况下,受害者被告知他们失去了访问数据的权限,为了访问这些数据,受害者必须支付赎金。从心理上讲,罪犯如果要达成目的,需要确保的是:
- 勒索软件锁定的是受害者的关键数据,且短期内不可破解;
- 对受害者施加影响,让受害者觉得支付赎金是他们唯一可行的选择;
- 营造紧迫感:为了最大程度地提高利润,支付赎金的速度至关重要,以免出现破解软件。
自从1989年第一个勒索软件出现以来,索取赎金的方法就在不断的“试验和错误”中不断演变,试图最大限度地提高利润,减少相关的风险。
早期勒索软件索取赎金的方法
第一款勒索软件出现于1989年,哈佛大学毕业的Joseph L.Popp创建,名为“艾滋病信息木马”(AIDS Trojan)。这款勒索软件使用对称加密,解密工具没花多少时间就修复了文件名,但这一举动激发了随后近乎30年的勒索软件工具。据 Popp 本人回忆,1989 年,他设计勒索软件的初衷是为了抗击艾滋病。为了募集抗艾资金,他弄巧成拙,给世界卫生组织论坛的与会代表发送了 20,000 份病毒加密磁盘。当代表们运行磁盘文件时,电脑被冻结,屏幕信息要求汇钱之后才能打开磁盘,取回电脑里的文件。当时,受害者一旦执行恶意软件,该恶意软件就会隐藏文件目录,如果受害者希望解密数据,则需要支付189美元。有报道称,一些医疗机构在遭到AIDS Trojan攻击后,长达10年的研究资料瞬间化为乌有。
像现在的许多勒索软件一样,Popp当时也使用了多种通知受害者的方式,并吓唬和恐吓受害者:
目前勒索软件索取赎金的方法
勒索软件在经历了许多年之后才开始流行,并开始采用其他心理机制。首先被引入的是一种计时器,它倒计时到不久的将来的某一时刻(例如,从感染开始的48小时内),之后文件将被删除,并且完全无法恢复,不管受害者随后是否想要支付赎金。
其实这种倒计时心理机制在营销界已被广泛运用,其目的就是用于营造紧迫感。但是,这种营造的紧迫感往往也会给攻击者自己挖坑,比如许多勒索软件受害者无法在给定的时间内付款,或者因为受害者不知道在这期间该怎么做,或者因和攻击者沟通而浪费了截止日期,以致他们中的许多人错过了截止日期,迫使攻击者执行删除文件或锁定文件的操作。如上所述,虽然倒数计时方法有助于达成攻击的成功率,但对攻击者来说也有不利的一面:就最大限度地攫取利润而言,这并不是很有效,往往无法收取到赎金。现在,新形式的勒索软件现在常常试图通过提供更低的赎金价格来激励受害者,只要受害者支付赎金的速度快,则所交的赎金也越少,反之时间耗的越长,则交的赎金越多。
使用令人害怕的声音和图像来吓唬受害者
虽然利用倒计时和赎金数量会促使受害者采取行动,但使用令人害怕的声音和图像来吓唬受害者也是攻击者使用的重要手段。因为融合了恐怖的视觉效果和令人震惊的声音,会增加攻击效果和赎金的收回概率。
对比其他勒索软件,Cerber勒索软件增加了新的功能。首先,Cerber通过电子邮件附件的形式进入受害者计算机。一旦被打开,就像其他勒索软件一样加密文件并向受害者索要赎金。同时,它会进一步确认计算机联网状态,并将受感染的计算机用于其他目的。例如,实施分布式拒绝服务攻击或作为垃圾邮件程序使用。
Cerber因为其独特的赎金索要通知方式而著称。多数勒索软件通过文字讯息索要赎金,而Cerber却独树一帜,通过语音通知受害人。Cerber勒索软件使用VBScript播放音频消息,并反复声明“注意!你的文档、照片、数据库和其他重要文件已加密!”。
在上图所示的Cerber赎金说明的底部,请注意拉丁文的格言,“默默地向我报价”,翻译成更熟悉的“不会杀死我的东西,会使我变得更坚强”。攻击者为什么选择包含这种坚毅的格言仍然是一个谜。
但是就确保和加快付款速度而言,这种恐吓方法的结果尚无定论。要深入研究勒索软件启动画面中使用的心理机制,请参阅此文。
同理心策略
当威胁和恐吓技术不足以促使人们采取行动或至少不够快时,勒索软件攻击者便改变了他们的心理策略。勒索软件的最新示例采用了多种方法,从最初表现出的更大的侵略性(旨在说服人们全额支付而不是进行谈判)到现在充满同情心的“软销售”。
表现出的更大的侵略性的一个很好的例子是Megacotex的赎金记录,它警告受害者不要试图发送部分付款或协商折扣,否则他们将再也看不到他们的数据。2019年5月,发,一种名为MegaCortex的新勒索软件被发现,根据当时的监测情况,MegaCortex已在美国、加拿大等多地区传播,该病毒攻击目标为大型企业,其通过域控服务器下发勒索病毒。
不过勒索软件的开发者也明白,不同的受害者可能需要不同的心理攻击机制,因此他们会选择同理心已达到目的。例如,Snake勒索软件试图以合理的方式提醒受害者,并以问答的形式和令人放心的语言表示关注,例如“别担心”和“你可以立即启动并运行”。2020年,出现了一款新的勒索软件Snake(也被称为EKANS,是“snake单词”从后往前的字母组成)。EKANS的主要目标是工业控制系统(ICS)环境,针对的不是单个设备,而是整个网络,它能够终止与工业控制系统(ICS)操作相关的许多流程应用程序。EKANS是一种用Go编程语言编写的混淆勒索软件变体,于2019年12月下旬首次在商业恶意软件存储库中观察到。它旨在终止受影响计算机上的特定进程,包括与ICS操作相关的多个项,以及删除卷影副本以消除Windows备份。
值得注意的是,攻击者的赎金手段已经从原来的暴力恐吓转向了更为“人性”的同理心策略,比如“如果你有兴趣购买……”。
流氓手段
在2013年或2014年前后的某个时候,一些更有组织的攻击者开始在加密之前悄悄窃取受害者的数据。Cerber勒索软件可能就是其中之一,但最近,我们发现直接使用被窃取的数据作为强制支付赎金的手段的趋势越来越明显。这项技术最初可能被Maze勒索软件使用,现在也被DoppelPaymer(BitPaymer勒索软件的一类新变种,自2019年6月以来,DoppelPaymer涉及了一系列恶意勒索活动,其中就包括美国德克萨斯州埃德库奇市和智利的农业部的袭击事件。)、Sodinokibi(自2019年4月被发现以来,Sodinokibi开始被大量使用,并迅速出现许多变体。)和Nemty(NEMTY勒索病毒是一款新型流行勒索病毒,首次发现于2019年8月21号)利用。这一新的转变包括建立一个可公开访问的网站,暴露不合作的受害者的数据。
如果受害者不支付赎金,攻击者就威胁公布他们的敏感数据,这种技术其实会打击受害者支付赎金的积极性,从而使情况变得更加糟糕。因为受害者认为,即使支付了赎金,他们的数据也会被暴露。
人身威胁:不要赎金只要裸照
最后但并非最不重要的一点是,在某些情况下可能是最危险的,最近的一个变体将勒索软件与色情行为结合在一起,并要求使用裸照而不是比特币来支付赎金。该恶意软件显示一条消息,要求受害者将裸照发送到特定的电子邮件地址以恢复其文件。比如2017年出现的“nRansomware”勒索软件需发送最少10张裸照给他们,而黑客还会核查裸照是否属于受害者本人,只有审核通过后黑客才会给受害者解锁密码。而受害者发送给黑客的裸照,则会在Deep Web深网上出售。
总结
网络攻击,特别是以勒索软件为代表,已经由原来的单纯物理攻击转向了心理攻击,这种攻击影响是深远的,已经等同于犯罪。对于许多受害者而言,这会导致忧虑、痛苦、难以置信和无助感。通常,那些经历过此类网络攻击的受害者说,这种影响会持续好几个月。不幸的是,运用心理攻击展开攻击将是勒索软件未来继续使用的手段。