10月14號,美國、歐盟和其他30個國家的代表出席由美國主導的虛擬反勒索軟件倡議會議,承諾降低勒索軟件的風險并加強金融系統(tǒng)免受破壞生態(tài)系統(tǒng)的攻擊,將勒索軟件攻擊稱之為“不斷升級的全球安全威脅,具有嚴重的經濟和安全后果。”但是值得一提的是,這些國家里并不包括俄羅斯和中國。
其聯(lián)合聲明表示,勒索軟件對關鍵基礎設施、基本服務、公共安全、消費者保護、隱私以及經濟構成重大風險。為此,預計將通過采用網絡衛(wèi)生良好做法來提高網絡彈性,例如使用強密碼、通過多因素身份驗證保護帳戶、維護定期離線數(shù)據(jù)備份、保持軟件最新以及提供培訓以防止單擊可疑鏈接或打開不受信任的文檔。
除了促進勒索軟件受害者與相關執(zhí)法和網絡應急響應團隊(CERT)之間的事件信息共享外,該計劃還旨在改進有效應對此類攻擊的機制,同時打擊濫用金融基礎設施進行贖金支付的行為。
美國之所以如此大張旗鼓地針對勒索軟件,是因為在這幾個月的時間里,美國深受其害,嘗盡了苦頭。勒索軟件事件響應公司Coveware調查了從7月到8月的數(shù)千起事件,其第三季度趨勢新報告顯示,當企業(yè)、政府機構或任何其他組織受到勒索軟件的攻擊并選擇向攻擊者支付贖金以換取解密密鑰或其他承諾時,平均需要支付140,000美元。與第二季度相比,平均贖金支付基本保持穩(wěn)定,但中位數(shù)增長了50%以上。
Coveware表示,這種轉變是在5月份一系列引人注目的勒索軟件攻擊之后開始的,其中包括DarkSide破壞了美國的最大的輸油管道Colonial Pipeline,導致消費者恐慌性購買燃料,美國宣布進入國家緊急狀態(tài)。不久之后,REvil攻擊了世界肉類加工巨頭JBS在美國的公司,成功索取1,100萬美元贖金,并在7月4日攻擊了遠程管理軟件公司Kaseya的軟件,該軟件由托管服務提供商使用,此次攻擊至少影響了1500多家企業(yè),REvil團伙更是開出7,000萬美元天價贖金,這是迄今為止索要的最高贖金。
這些攻擊引發(fā)了美國政府和其他政府強烈的政治反應,通過執(zhí)法手段打擊勒索軟件攻擊者,破壞加密貨幣流動以蠶食利潤,并專注于提高國內企業(yè)的網絡安全復原力。美國白宮也一直在增加對俄羅斯的外交壓力,以打擊在俄羅斯境內活動的網絡犯罪分子。
幾乎每天都有勒索軟件攻擊的受害者,似乎勒索軟件正在美國野蠻生長。不得不承認,沒有絕對安全的網絡。但勒索軟件是如何一次又一次的得手呢?美國政府為什么沒有更好地預防它們?打擊勒索軟件的難點又在哪里?
首先,在預防方面,最簡單的安全改進方案——雙因素身份驗證(2FA)在組織中并未普遍實施,要么未能實施2FA,要么未能完全實施。用戶犯錯,在所難免,攻擊者利用網絡釣魚技術強針對企業(yè)員工,即使信息安全從業(yè)者也難以幸免。
其次,在技術方面,許多防病毒解決方案仍然依賴基于簽名的系統(tǒng)來檢測惡意軟件,在受保護的沙盒中運行代碼,但是這些技術已經過時。更強大的檢測和響應(DR)端點解決方案也存在其局限性,其處理端點事件的邏輯存在于云端,這意味著在事件發(fā)生和到達管理員控制臺之間可能會有幾秒到幾分鐘的延遲,這容易丟失勒索軟件執(zhí)行。
最后,在其他方面,各種免費工具的出現(xiàn),使得成功完成勒索軟件攻擊的門檻大大降低,無論是網絡釣魚工具集、混淆框架、初始訪問工具、命令和控制(C2)基礎設施、憑證濫用工具還是開源勒索軟件的有效載荷,都可以在GitHub上找到。以及加密貨幣助長了整個勒索軟件犯罪行業(yè),因為它提供了一個繞過美國控制的全球金融體系的金融框架,通常難以追蹤,并且很容易跨越國際邊界。
勒索軟件并不是一種新威脅,但它變得越來越容易實現(xiàn)、得手和逃脫。其中原因之一就是勒索軟件組織相互協(xié)作,甚至比安全團隊之間合作得更好,這也是他們在美國政府打擊之下能夠存在并壯大的原因。勒索軟件組織通過將任務分散到多個犯罪集團,使其戰(zhàn)術、技術和程序(TTP)更難以歸因于任何單個參與者,可以混淆惡意參與者的意圖,進而躲避美國政府的打擊,并允許勒索軟件即服務(RaaS)組織優(yōu)先考慮高價值目標。在美國白宮發(fā)布聲明之后,10月22日,Groove 勒索軟件組織在俄羅斯博客上發(fā)布了一條消息,呼吁其他勒索軟件團伙聯(lián)合起來共同打擊美國公共部門,似乎是對最近關閉REvil 團伙行為的報復。
美國勒索軟件問題的很大一部分則出在公共部門層面,多年來,美國聯(lián)邦政府就如何應對這些攻擊,一直沒有明確的政策、方向或戰(zhàn)略規(guī)劃。因此,許多受到打擊的企業(yè)除了支付贖金外別無他法。美國政府對個人的定向起訴對犯罪或民族國家的活動幾乎沒有任何影響。而公共/私營部門的協(xié)調一直非常缺乏,直到最近才將該問題提上日程,分配了更高的優(yōu)先級。
7月13號早些時候,與俄羅斯有關聯(lián)的勒索軟件團伙REvil的網站突然無法訪問。盡管下線的原因尚不明確,但這家組織顯然已經成為美國政府打擊的對象。美國總統(tǒng)拜登表示,他在7月9號與俄羅斯總統(tǒng)普京的通話中談到這一問題。拜登稱,他非常明確地對普京表示,美國希望俄羅斯根據(jù)有關信息采取行動,并暗示美國可能會對發(fā)動入侵的服務器直接采取報復。9月下旬,美國財政部對俄羅斯加密貨幣交易所 Suex實施制裁,因為它幫助威脅行為者從至少八種勒索軟件變體中洗錢,這是針對虛擬貨幣交易所采取此類行動的首例。但這些行動只不過是滄海一粟罷了。美國難以有力打擊勒索軟件,還有一個重要的原因,那就是地緣政治。
勒索軟件團伙經常在美國管轄范圍以外的國家運作,而且沒有美國的引渡協(xié)議,這一事實加劇了上述公共政策問題。俄羅斯已經明確表示,除非是與美國達成更大的協(xié)議(和地緣政治戰(zhàn)略),否則他們不會從本國引渡不良行為者,也不會采取任何國內執(zhí)法行動,除非這些行為者攻擊俄羅斯企業(yè)。這意味著犯罪分子基本上可以自由行動,不受阻礙,不受懲罰。
這就是為什么大多數(shù)勒索軟件有效載荷會檢查操作系統(tǒng)正在使用的俄語,如果它們檢測到自己運行在一個此次攻擊可能引起俄羅斯政府憤怒的國家的系統(tǒng)上,會立即無害地自我銷毀。
這個問題的地緣政治方面是非同小可的,如果它們甚至可以被解決的話。互聯(lián)網沒有邊界,雖然攻擊者可能決定混淆他們的位置并模仿俄羅斯的攻擊者,但沒有辦法絕對肯定地確定攻擊來自俄羅斯境內。這使得傳統(tǒng)的使政府屈服于國家意志的方法,如制裁、禁運、增加進口稅等變得不可行。
但并非只有美國是勒索軟件攻擊重災區(qū),世界各地的組織都在遭受其茶毒,包括各個領域,各個規(guī)模的企業(yè)。勒索軟件不僅關注大公司,同樣也將目光放在了小公司身上。不幸的是,沒有什么靈丹妙藥可以阻止勒索軟件對計算、關鍵基礎設施和日益互聯(lián)的世界構成的威脅。但仍可以通過以下幾種做法增強防范:
宣傳教育,提高安全意識
立法先行,完善法律保障
系統(tǒng)治理,構建多層防御
注重技術,加大研發(fā)力度
聯(lián)合打擊,各國共同行動
