勒索软件的2021：黑客从哪来，为什么没人管？

白宫坐不住了。

两个月前,美国政府曾警告企业防范勒索软件攻击[1],但就在8月26日,拜登调门升级,他召集苹果、微软、谷歌、亚马逊、摩根大通在内的科技金融公司高管齐聚白宫,讨论网络安全问题,勒索软件是重点议题[2]。拜登承认美国基础设施“由私人公司运作,联邦政府无法独立应对挑战”[3]。在会后,微软和谷歌分别承诺为网络安全投入数百亿美元。

跪在勒索软件的阴影下的,又岂止是美国。

杨景诒 | 作者

李拓 | 编辑

放大灯团队 | 策划

2021年,勒索软件成了全球噩梦。据安恒信息威胁情报中心统计,今年上半年,全球至少发生了1200多起勒索软件攻击事件,造成的直接经济损失超过300亿美元[4]。

被勒索的企业或组织,有两条路可选:

要么一开始就老实交钱,息事宁人;要么像巴尔的摩市那样,坚持拒绝支付赎金,以致城市瘫痪三周,最终还是屈于淫威。但即便就范,也难得善终——2021年上半年,那些支付赎金的企业平均只能找回65%的文件,其余部分则被损坏并无法访问[5]。

在这场不平等游戏里,各国政府、公司乃至个人用户都无可奈何,勒索软件由此成为不法分子的“财富密码”。

财源滚滚的“好生意”

1989年12月,美国进化生物学家约瑟夫·波普(Joseph Popp)向世界卫生组织艾滋病会议和《个人电脑商业世界》杂志(PC Business World)分别邮寄了一张被感染的软盘,标签是“艾滋病信息介绍软盘”,软盘上印有“赛博格电脑公司”(PC Cyborg Corporation)的标志。盘上存了两个文件:一个伪装成关于艾滋病毒调查问卷的特洛伊木马(名为AIDS Trojan),另一个是安装程序。

一旦电脑被感染,C盘的全部文件名将会被加密,致使系统无法启动,并出现支付赎金的界面(声称用户安装的赛博格电脑公司软件已过期,需要续费)。

图源:[6]

AIDS Trojan是有记录以来第一个勒索软件。虽然始作俑者约瑟夫·波普辩称,他收到的赎金是为了支持艾滋病研究[7],但病毒感染了数万台电脑,导致不少医学机构多年的研究数据毁于一旦。

当时的加密手段十分容易破解,AIDS Trojan的制作者也没收到多少钱,勒索软件很快无人问津。直到2006年,一个名为Archievus的勒索软件用上了几乎无解的非对称加密算法。此后,勒索软件重获不法分子重视,得以再次流行。

近年来,勒索团伙的策略又发生变化。它们盯上了政企机构。数年来,中招的机构与公司越来越多——

近三年重大网络入侵勒索事件一览 | 放大灯团队制图

行业媒体安全牛也提到,2018年超过80%的勒索软件感染都是针对企业[8]。为什么企业成了“香饽饽”?

一方面,企业IT安全往往存在薄弱环节。多数恶意软件都依赖于桌面操作系统中的漏洞,而企业电脑操作系统往往不能及时更新升级,这给了勒索团伙可乘之机。

2017年著名的勒索软件WannaCry,就利用Windows操作系统的SMB协议漏洞,大肆传播,未及时修复漏洞的电脑,得到了“重点关照”[9]。

另一方面,勒索企业的成功率高、回报“丰厚”,这个“生意”稳赚不赔。

以往针对个人的勒索,加密的数据价值较小,成功率低。如今,越来越多的团伙使用“双重勒索”策略攻击目标企业。

“双重勒索”,即不法团伙在加密企业文件的同时,还窃取被勒索公司的数据并进行备份,如果企业不交钱,他们就威胁曝光或售卖数据。总之,无论交不交赎金,勒索团伙都稳赚不赔[4]。数据被加密尚可以通过备份恢复,可一旦机密数据泄露,企业不仅品牌声誉大损,还要承担法律责任,并赔偿客户远高于赎金的损失。

双重勒索对大企业十分有效。表格中提及的上市咨询公司埃森哲、硬件生产商技嘉,均被勒索团伙以曝光数据要挟。

不仅勒索屡屡得手,赎金也水涨船高。

Unit 42勒索软件威胁报告显示,受勒索企业支付的平均赎金从2019年的11．5万美元增加到2020年的31．2万美元,同比增长171%[10]。到今年上半年,平均赎金又突破80万美元[4],而单次勒索赎金最高纪录已高达7000万美元[11]。

图源:[12]

如此大张旗鼓的勒索,必然不是几个人的团队小打小闹。现在的勒索行业,甚至出现产业化趋势,形成了勒索软件即服务(RaaS)——一种开发者提供勒索软件,分发者入侵和勒索企业,前者从后者所获赎金中抽成的商业模式。

该模式下的团队由勒索软件供应商、攻击执行人员、赎金谈判人员及话务员组成,在编写软件、实施攻击、沟通谈判、接收赎金等环节各司其职[13]。

勒索软件即服务模式的勒索流程

勒索软件即服务既降低了勒索的技术门槛,又分担了犯罪活动的风险,令网络勒索对不法分子的吸引力越来越强[14]。

安全企业Intel 471调查发现,2019年至2020年间新出现了25个新的勒索软件即服务团伙,它们发动攻击的规模与所造成的灾情几乎无法统计[15]。在今年5月,攻击美国燃油管道公司Colonial Pipeline、致使美国进入国家紧急状态的勒索团队DarkSide,便是勒索软件即服务模式的团伙。

模式创新带来了更严重的灾情。

据安全公司Check Point的数据,2020年勒索软件给全球企业造成约200亿美元损失,比2019年增加了近75%。在数量上,今年被勒索的公司较去年增加了102%[16]。

勒索软件这么猖獗,网络安全公司就不管管?