2022年3月8日，美國聯(lián)邦調(diào)查局（FBI）、網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）聯(lián)合發(fā)布警告稱，Ragnar Locker勒索軟件正大規(guī)模入侵美國關(guān)鍵基礎(chǔ)設(shè)施。截至2022年1月，聯(lián)邦調(diào)查局已在10個受該勒索軟件影響的關(guān)鍵基礎(chǔ)設(shè)施部門確定了至少52個實體，包括關(guān)鍵制造業(yè)、能源、金融服務(wù)、政府和信息技術(shù)部門的實體。該事件攻擊者的攻擊特點是什么，勒索軟件在重拳打擊之下為何依然活躍，為什么關(guān)鍵基礎(chǔ)設(shè)施容易“失守”，可以采取哪些措施予以有效防范，這些勢必引起深思。

　　一

　　Ragnar Locker勒索軟件的新動作

　　Ragnar Locker勒索軟件是Ragnarok勒索團伙運營的勒索病毒，于2019年12月底首次被發(fā)現(xiàn)。2020年6月，該團伙與臭名昭著的迷宮 （Maze） 勒索軟件團伙合作，分享彼此專業(yè)知識，提升攻擊技術(shù)水平。作為近兩年崛起的勒索軟件，至少有44個組織/企業(yè)被Ragnar Locker采用“雙重勒索”模式進行攻擊，以下為部分典型攻擊案例：

　　（1）2020年4月，歐洲能源巨頭—葡萄牙跨國能源公司EDP遭攻擊，被索要1580的比特幣贖金（折合約1090萬美元）。幕后黑手聲稱已經(jīng)獲取了10TB的敏感文件，如果不支付贖金，將公開泄露這些數(shù)據(jù)。

　　（2）2020年11月，意大利白酒巨頭—Campari Group遭攻擊，2TB未加密文件被盜（包含銀行對賬單、文件、合約等），勒索團伙并十分囂張地通過投放臉書廣告公然要求支付高達1500萬美元的贖金。

　　（3）2020年12月，日本視頻游戲巨頭—Capcom遭攻擊，并竊取了Capcom存儲在日本、加拿大與美國子公司網(wǎng)絡(luò)上多達1TB的機密情報，涵蓋390,000名客戶、業(yè)務(wù)合作伙伴和其他外部方的個人數(shù)據(jù)。

　　（4）2021年5月，全球第二大電腦內(nèi)存制造商—臺灣的ADATA（威剛）遭攻擊，并對外聲稱，在部署勒索軟件Payload之前就已經(jīng)成功地從威剛公司的網(wǎng)絡(luò)系統(tǒng)中竊取了1.5TB的敏感數(shù)據(jù)。此外，該團伙對外發(fā)布了被盜文件和文件夾的部分截圖，并繼續(xù)威脅稱，如果拒絕支付贖金，將泄露其余敏感數(shù)據(jù)。

　　有報道稱，2021年8月Ragnarok勒索軟件團伙宣布解散，并免費發(fā)布解密密鑰。目前尚不清楚 Ragnarok 決定退出的原因，或許是迫于美國政府越來越大的壓力，采取了類似的自毀策略。但是，2022年，該團伙又浮出水面，而這一次的攻擊目標轉(zhuǎn)向美國關(guān)鍵基礎(chǔ)設(shè)施。

　　二

　　Ragnar Locker勒索軟件的攻擊特點

　　（一）具有高度針對性

　　據(jù)美國聯(lián)邦調(diào)查局報道，Ragnar Locker自2019年首次被發(fā)現(xiàn)后，于2020年上半年開始頻繁攻擊全球大型知名企業(yè)/組織，具有高度針對性，每個樣本都是針對目標組織量身定制。而且該勒索組織的終止托管服務(wù)提供商（MSP）使用遠程管理軟件，包括ConnectWise、Kaseya，遠程管理受感染的企業(yè)，利于躲避系統(tǒng)檢測，確保遠程登錄的管理員不會干擾或阻止勒索軟件部署過程。

　　（二）使用虛擬機對計算機進行加密

　　從虛擬機內(nèi)部對計算機進行加密，也是該勒索軟件特有的技術(shù)。Ragnar Locker使用VMProtect、UPX和自定義打包算法，并在目標站點上攻擊者的自定義Windows XP虛擬機中部署。首先會檢查當前的感染情況，以防止對數(shù)據(jù)進行多次轉(zhuǎn)換加密，從而可能破壞數(shù)據(jù)。并迭代所有正在運行的服務(wù)，并終止托管服務(wù)提供商通常用于遠程管理網(wǎng)絡(luò)的服務(wù)。然后，嘗試以靜默方式刪除所有卷影副本，從而阻止用戶恢復(fù)加密文件。最后，會加密所有感興趣的可用文件，不選擇要加密的文件，而是選擇不加密的文件夾。以讓計算機繼續(xù)“正常”運行，同時惡意軟件會對包含對受害者有價值數(shù)據(jù)的已知和未知擴展名的文件進行加密。

　　（三）繞開獨聯(lián)體國家

　　據(jù)美國聯(lián)邦調(diào)查局報道，Ragnarok勒索團伙專注于地理定位。該團伙使用Windows API GetLocaleInfoW識別受感染計算機的位置。如果受害者的位置被確定為阿塞拜疆、亞美尼亞、白俄羅斯、哈薩克斯坦、吉爾吉斯斯坦、摩爾達維亞、塔吉克斯坦、俄羅斯、土庫曼斯坦、烏茲別克斯坦、烏克蘭或格魯吉亞這些獨聯(lián)體國家，那么勒索軟件感染的進程自動終止。究其原因，是因為Ragnar Locker會針對獨聯(lián)體國家，在勒索軟件中嵌入一些Unicode形式的自定義語言字符串。依據(jù)Windows中選擇的語言判斷所在國家，防止特定國家的用戶感染勒索軟件，當然，并非所有這些國家的人都會在Windows中使用獨聯(lián)體國家的語言，也可能使用英語，如果選擇其他語言作為默認語言，則無法避免被感染。

　　（四）采取“雙重勒索”策略

　　Ragnarok勒索團伙于2020年年底開始效仿迷宮 （Maze）組織，正式將“雙重勒索”策略加入其運營模式，從Ragnar Locker典型攻擊案例中也可見一斑。雙重勒索是勒索軟件自然演進的結(jié)果，該勒索策略先利用惡意軟件盜取數(shù)據(jù)，然后再使用勒索病毒對獲取的數(shù)據(jù)進行復(fù)雜加密，如果受害者不在指定的期限內(nèi)繳納贖金，就會選擇撕票——直接將盜取數(shù)據(jù)公之于眾。這無疑讓受害者承受更大的數(shù)據(jù)泄露壓力，同時使得受害者被迫支付贖金的可能性大幅提高。

　　三

　　幾點認識

　　（一）通過虛擬機實現(xiàn)從幕后發(fā)動網(wǎng)絡(luò)攻擊的新水平

　　Ragnar Locker勒索軟件采用了一種新的攻擊技術(shù)，將惡意代碼隱藏在Windows XP虛擬機中，加密主機文件，或者竊取用戶重要數(shù)據(jù)，不但可肆意運行，還很難被端點的安全軟件檢測或阻止，這是一個創(chuàng)新的伎倆。雖然這種攻擊方式相對傳統(tǒng)方式來說需要消耗更多的網(wǎng)絡(luò)資源、存儲資源和計算資源，但隨著當前計算機硬件性能的快速提升以及各種輕量級虛擬化技術(shù)出現(xiàn)，給這種攻擊方式帶來了可行性和可操作性。由此可見，勒索軟件內(nèi)部技術(shù)的不斷迭代，越來越多的躲避檢測和查殺的高級技術(shù)的出現(xiàn)，促使勒索能力不斷升級，破解難度越來越大，這些新技術(shù)的更迭讓勒索軟件“如虎添翼”，試圖以更隱蔽的形式發(fā)動更猛烈的攻勢，以獲取更大的利益，這也不難理解為何勒索軟件在重拳打擊之下依然存在并非常活躍。

　　（二）瞄準關(guān)鍵基礎(chǔ)設(shè)施，實現(xiàn)低成本高收益的攻擊目的

　　當今，頂級和高技能的勒索團伙不再不分青紅皂白地以大量小規(guī)模受害者為目標，而是向制造業(yè)、金融、醫(yī)療、能源等關(guān)鍵基礎(chǔ)設(shè)施行業(yè)不斷擴展蔓延，已成為全球網(wǎng)絡(luò)安全的新挑戰(zhàn)。瞄準高價值目標，一方面是這些企業(yè)數(shù)據(jù)一旦被泄露或損毀，將造成無法挽回的損失，可造成大面積的社會影響；另一方面受害者還擔(dān)心其敏感數(shù)據(jù)被暴露將面臨自身聲譽受損的風(fēng)險。以此為基礎(chǔ)，勒索團伙可以提出相當夸張的贖金要求，正如Ragnar Locker勒索軟件一度曾從受害目標那索要上千萬美元的贖金。索取高額贖金的同時，勒索組織付出的成本卻非常低。統(tǒng)計數(shù)據(jù)表明，針對關(guān)鍵基礎(chǔ)設(shè)施目標的勒索軟件攻擊所需的費用僅僅為1000美元或更少。而且隨著在暗網(wǎng)上出售的Netwalker等現(xiàn)成的勒索軟件工具的普及，較低的技術(shù)門檻進一步促使對關(guān)鍵基礎(chǔ)設(shè)施目標的攻擊變得越來越頻繁。低成本和高回報率是勒索軟件實施攻擊的最大動力，這將吸引越來越多的數(shù)字贖金“游戲”的掠奪者蜂擁而至，同時暗網(wǎng)、虛擬貨幣等技術(shù)趨于成熟，更加助推勒索軟件攻擊大面積爆發(fā)。

　　（三）美國采取集中、綜合的措施應(yīng)對勒索軟件威脅

　　在全球范圍內(nèi)，據(jù)估計每11秒就會發(fā)生一次勒索軟件攻擊，僅2021年贖金損失就達到200億美元。對勒索團伙來說，贖金已成為一種很有吸引力的網(wǎng)絡(luò)武器，是對行業(yè)和個人最具破壞性的網(wǎng)絡(luò)攻擊之一。因此，如何防范和應(yīng)對勒索攻擊成為各國亟需解決的問題，美國、英國、澳大利亞、韓國都先后出臺了相關(guān)政策法規(guī)予以防范和打擊。以美國為例，拜登政府強調(diào)集中、綜合措施的重要性。重點從四方面入手：一是破壞勒索軟件基礎(chǔ)設(shè)施和參與者。美國政府正在充分發(fā)揮政府的能力，以破壞勒索軟件參與者、協(xié)助者、網(wǎng)絡(luò)和金融基礎(chǔ)設(shè)施；二是增強抵御勒索軟件攻擊的彈性。政府宣布了鼓勵彈性的具體措施，包括為關(guān)鍵基礎(chǔ)設(shè)施管理人員舉行的機密威脅簡報會以及工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全倡議等。政府呼吁擁有和運營美國大部分關(guān)鍵基礎(chǔ)設(shè)施的私營部門對其網(wǎng)絡(luò)防御進行現(xiàn)代化改造，以應(yīng)對勒索軟件的威脅；三是打擊濫用虛擬貨幣進行贖金支付的問題。美國認為虛擬貨幣應(yīng)受到與法定貨幣相同的反洗錢和反恐怖主義融資控制，而且必須強制執(zhí)行這些控制和法律；四是利用國際合作破壞勒索軟件生態(tài)系統(tǒng)并解決勒索軟件罪犯的安全港問題。美國正與國際合作伙伴合作，破壞勒索軟件網(wǎng)絡(luò)，提高合作伙伴在本國境內(nèi)偵查和應(yīng)對此類活動的能力，包括對允許罪犯在其管轄范圍內(nèi)活動的國家施加壓力并追究其責(zé)任。