最近,“国内某公司被勒索攻击支付197万赎金”成为热点,而在美国类似的事件已经司空见惯。就在上周,美国新奥尔良市遭大规模勒索软件攻击,全市进入紧急状态。

2019年,针对美国政府机构和公共部门的勒索攻击快速上升:

  • 截至2019年12月12日,115起

  • 2018年全年,54起

  • 2013-2017年共103起,年均20.6起

全美勒索攻击地图

勒索攻击成为美国2020年大选头号网络威胁

2019年9月,美国国土安全部(DHS)和国家安全局(NSA)将勒索攻击列为2020年大选的头号网络威胁。

勒索攻击让美国许多市民无法使用市政服务,让警察不得不手写罚单……现在,美国政府明显担心,若有城市的选举系统在明年大选时被勒索攻击,造成该地区选民无法正常投票,这样的后果是难以承受的。

所以美国对勒索攻击高度重视,采取了很多应对举措,包括:

  • 国土安全部发布了 “勒索软件爆发”警告,呼吁城镇“备份数据、系统镜像和配置”,并让重要数据和系统隔离,敦促各城市政府机构更新他们的软件;

  • 联邦机构和州政府协会鼓励州和地方政府采取措施提高勒索攻击防护能力,备份关键数据和系统、培训员工、制定事件响应计划;

  • 在城市勒索攻击事件处置响应中,FBI和国民警卫队参与调查和协助恢复。

  • 多个州专门针对“勒索软件”立法。

但针对政府机构和公共部门的勒索攻击事件愈演愈烈,过去的1个半月内又发生了15起,背后的“漏洞”值得思考。

机制“漏洞”让各州政府遭遇勒索时愿意支付赎金

从网络产业发展、技术创新、防护能力到战略、政策和法律,美国无疑是领先的,但美国的国家体制为各州政府频繁遭受勒索攻击埋下了“漏洞”。

美国是联邦制国家,联邦(即中央政府)是在州的基础上组成的,州政府不是联邦政府的下属,所以州的权利很大,除外交和军事外,州就是一个独立的“小国”:有自己的法律、税收、财政预算、警察甚至选举制度。这也意味着各州需要自己“出钱”来解决自己的问题。

“集中管理和分散管理之间权衡难是美国网络安全的系统性挑战。”国防部前负责网络政策的代理副助理国防部长凯瑟琳·查莱特在《理解美国联邦网络安全》报告中总结。

这种“权衡难”在勒索攻击中体现得淋漓尽致。比如上面提到的国土安全部发布的“勒索软件爆发”警告,只能呼吁和敦促州、城镇采取措施,而被勒索攻击的城市几乎都没有执行。FBI也只能协助调查取证,没有追责和处罚机制。

是许多美国中小城市政府的首要权衡因素。这些城市资金紧张,他们认为,重建系统的成本比支付赎金更高,因此支付赎金就成了理想选项。比如,巴尔的摩市拒绝向黑客支付价值7.6万美元比特币赎金,选择重建系统,花费超过530万美元;盐湖城评估后,选择直接向黑客支付46万美元比特币,解决了问题。

有的城市直接让保险公司“付钱”。比如,佛罗里达州的莱克城购买了网络安全险,由保险公司支付大部分赎金。FireEye的安全专家称,证据表明,有一些勒索攻击开始特别针对有保险的城市和机构。

FedScoop和StateScoop针对联邦和州政府IT官员的一份调查显示,很多被攻击机构不顾联邦调查局和国土安全部的警告,选择支付赎金恢复数据。

人性“漏洞”是勒索攻击的主要驱动力

此前,业内研究人员和美国政府普遍认为,针对美国政府机构的勒索攻击多为海外黑客团体,因为美国有大量高科技公司能容纳高水平技术人员,黑产对他们的吸引力并不大,但事实可能并非如此。

人性逐利。

一个没有黑客技术的犯罪分子,只要花几百美元购买攻击工具,就可以向一个城市勒索几十万甚至上百万美元。一些最新的勒索软件使用SaaS(软件即服务)模式,犯罪分子向黑客付费就能发动攻击。

在美国的许多黑客论坛上可以看到类似的服务宣传,比如攻击德克萨斯州多个城市的Sodinokibi勒索软件是黑客论坛上热销的勒索软件,它的创建者声称通过SaaS模式,在15个月内赚了20亿美元。

大多数以美国中小城市为目标的攻击都是为了钱,仅有两个城市在遭受攻击后没有被要求支付赎金

网络安全公司Barracuda Networks八月底发布的报告显示,2019年美国发生的大多数勒索软件攻击都是针对州和地方政府的。45%遭受勒索攻击的城市不到5万居民,另外24%的受攻击城市居民不到15000人。

这些城市因为资金紧张,各种设备和软件陈旧,没有足够的财政预算和人员来保护城市的网络安全,也缺乏有效的安全事件响应机制;还是因为资金紧张,他们不愿重建系统,而选择支付赎金,间接地纵容了黑客。

小编手记

勒索攻击在美国已经开始规模化和产业化。在我国,从2017年遭遇“永恒之蓝”后,勒索攻击事件没有像美国一样出现猛烈增长。这充分体现了“举国之力”的优势,网络安全法、等保以及网信、公安等部门“全国一盘棋”的常态化监管、检查机制无疑发挥了巨大作用。

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。