作者 | 安帝科技
10月14号,美国、欧盟和其他30个国家的代表出席由美国主导的虚拟反勒索软件倡议会议,承诺降低勒索软件的风险并加强金融系统免受破坏生态系统的攻击,将勒索软件攻击称之为“不断升级的全球安全威胁,具有严重的经济和安全后果。”但是值得一提的是,这些国家里并不包括俄罗斯和中国。
其联合声明表示,勒索软件对关键基础设施、基本服务、公共安全、消费者保护、隐私以及经济构成重大风险。为此,预计将通过采用网络卫生良好做法来提高网络弹性,例如使用强密码、通过多因素身份验证保护帐户、维护定期离线数据备份、保持软件最新以及提供培训以防止单击可疑链接或打开不受信任的文档。
除了促进勒索软件受害者与相关执法和网络应急响应团队(CERT)之间的事件信息共享外,该计划还旨在改进有效应对此类攻击的机制,同时打击滥用金融基础设施进行赎金支付的行为。
美国之所以如此大张旗鼓地针对勒索软件,是因为在这几个月的时间里,美国深受其害,尝尽了苦头。勒索软件事件响应公司Coveware调查了从7月到8月的数千起事件,其第三季度趋势新报告显示,当企业、政府机构或任何其他组织受到勒索软件的攻击并选择向攻击者支付赎金以换取解密密钥或其他承诺时,平均需要支付140,000美元。与第二季度相比,平均赎金支付基本保持稳定,但中位数增长了50%以上。
Coveware表示,这种转变是在5月份一系列引人注目的勒索软件攻击之后开始的,其中包括DarkSide破坏了美国的最大的输油管道Colonial Pipeline,导致消费者恐慌性购买燃料,美国宣布进入国家紧急状态。不久之后,REvil攻击了世界肉类加工巨头JBS在美国的公司,成功索取1,100万美元赎金,并在7月4日攻击了远程管理软件公司Kaseya的软件,该软件由托管服务提供商使用,此次攻击至少影响了1500多家企业,REvil团伙更是开出7,000万美元天价赎金,这是迄今为止索要的最高赎金。
这些攻击引发了美国政府和其他政府强烈的政治反应,通过执法手段打击勒索软件攻击者,破坏加密货币流动以蚕食利润,并专注于提高国内企业的网络安全复原力。美国白宫也一直在增加对俄罗斯的外交压力,以打击在俄罗斯境内活动的网络犯罪分子。
几乎每天都有勒索软件攻击的受害者,似乎勒索软件正在美国野蛮生长。不得不承认,没有绝对安全的网络。但勒索软件是如何一次又一次的得手呢?美国政府为什么没有更好地预防它们?打击勒索软件的难点又在哪里?
首先,在预防方面,最简单的安全改进方案——双因素身份验证(2FA)在组织中并未普遍实施,要么未能实施2FA,要么未能完全实施。用户犯错,在所难免,攻击者利用网络钓鱼技术强针对企业员工,即使信息安全从业者也难以幸免。
其次,在技术方面,许多防病毒解决方案仍然依赖基于签名的系统来检测恶意软件,在受保护的沙盒中运行代码,但是这些技术已经过时。更强大的检测和响应(DR)端点解决方案也存在其局限性,其处理端点事件的逻辑存在于云端,这意味着在事件发生和到达管理员控制台之间可能会有几秒到几分钟的延迟,这容易丢失勒索软件执行。
最后,在其他方面,各种免费工具的出现,使得成功完成勒索软件攻击的门槛大大降低,无论是网络钓鱼工具集、混淆框架、初始访问工具、命令和控制(C2)基础设施、凭证滥用工具还是开源勒索软件的有效载荷,都可以在GitHub上找到。以及加密货币助长了整个勒索软件犯罪行业,因为它提供了一个绕过美国控制的全球金融体系的金融框架,通常难以追踪,并且很容易跨越国际边界。
勒索软件并不是一种新威胁,但它变得越来越容易实现、得手和逃脱。其中原因之一就是勒索软件组织相互协作,甚至比安全团队之间合作得更好,这也是他们在美国政府打击之下能够存在并壮大的原因。勒索软件组织通过将任务分散到多个犯罪集团,使其战术、技术和程序(TTP)更难以归因于任何单个参与者,可以混淆恶意参与者的意图,进而躲避美国政府的打击,并允许勒索软件即服务(RaaS)组织优先考虑高价值目标。在美国白宫发布声明之后,10月22日,Groove 勒索软件组织在俄罗斯博客上发布了一条消息,呼吁其他勒索软件团伙联合起来共同打击美国公共部门,似乎是对最近关闭REvil 团伙行为的报复。
美国勒索软件问题的很大一部分则出在公共部门层面,多年来,美国联邦政府就如何应对这些攻击,一直没有明确的政策、方向或战略规划。因此,许多受到打击的企业除了支付赎金外别无他法。美国政府对个人的定向起诉对犯罪或民族国家的活动几乎没有任何影响。而公共/私营部门的协调一直非常缺乏,直到最近才将该问题提上日程,分配了更高的优先级。
7月13号早些时候,与俄罗斯有关联的勒索软件团伙REvil的网站突然无法访问。尽管下线的原因尚不明确,但这家组织显然已经成为美国政府打击的对象。美国总统拜登表示,他在7月9号与俄罗斯总统普京的通话中谈到这一问题。拜登称,他非常明确地对普京表示,美国希望俄罗斯根据有关信息采取行动,并暗示美国可能会对发动入侵的服务器直接采取报复。9月下旬,美国财政部对俄罗斯加密货币交易所 Suex实施制裁,因为它帮助威胁行为者从至少八种勒索软件变体中洗钱,这是针对虚拟货币交易所采取此类行动的首例。但这些行动只不过是沧海一粟罢了。美国难以有力打击勒索软件,还有一个重要的原因,那就是地缘政治。
勒索软件团伙经常在美国管辖范围以外的国家运作,而且没有美国的引渡协议,这一事实加剧了上述公共政策问题。俄罗斯已经明确表示,除非是与美国达成更大的协议(和地缘政治战略),否则他们不会从本国引渡不良行为者,也不会采取任何国内执法行动,除非这些行为者攻击俄罗斯企业。这意味着犯罪分子基本上可以自由行动,不受阻碍,不受惩罚。
这就是为什么大多数勒索软件有效载荷会检查操作系统正在使用的俄语,如果它们检测到自己运行在一个此次攻击可能引起俄罗斯政府愤怒的国家的系统上,会立即无害地自我销毁。
这个问题的地缘政治方面是非同小可的,如果它们甚至可以被解决的话。互联网没有边界,虽然攻击者可能决定混淆他们的位置并模仿俄罗斯的攻击者,但没有办法绝对肯定地确定攻击来自俄罗斯境内。这使得传统的使政府屈服于国家意志的方法,如制裁、禁运、增加进口税等变得不可行。
但并非只有美国是勒索软件攻击重灾区,世界各地的组织都在遭受其茶毒,包括各个领域,各个规模的企业。勒索软件不仅关注大公司,同样也将目光放在了小公司身上。不幸的是,没有什么灵丹妙药可以阻止勒索软件对计算、关键基础设施和日益互联的世界构成的威胁。但仍可以通过以下几种做法增强防范:
宣传教育,提高安全意识
立法先行,完善法律保障
系统治理,构建多层防御
注重技术,加大研发力度
联合打击,各国共同行动
声明:本文来自网络安全应急技术国家工程实验室,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。