侵權(quán)投訴
訂閱
糾錯
加入自媒體

勒索軟件2021:黑客為什么沒人管?

2021-08-31 19:04
放大燈
關(guān)注

集體啞火的網(wǎng)絡安全服務商

網(wǎng)絡安全廠商幾乎掃平了電腦病毒,但面對勒索軟件往往無可奈何。

一方面,“人”是勒索軟件的幫兇。

勒索軟件入侵電腦的途徑主要有四種:系統(tǒng)漏洞、釣魚郵件、垃圾廣告和U盤病毒,后三種都需要人為介入——企業(yè)員工打開來源不明的郵件、點擊不安全的鏈接,或是把被感染的U盤插入公司電腦,都會幫助勒索團隊越過安防系統(tǒng),入侵公司[17]。

其中,利用“社工”原理郵件釣魚,是最常見的入侵途徑。

如果你是一名企業(yè)助理,那你一定收到這種郵件——它假裝成你的老板,用命令的口吻要求你向這個郵箱發(fā)送機密文件,或者向指定賬戶匯款,即便老板此時可能就在你工位對面。這就是社工釣魚郵件。

幾封顯而易見的釣魚郵件

亞信安全數(shù)據(jù)顯示,91%的定向攻擊始于社工釣魚郵件。這些郵件通常偽裝成訂單、工資單、發(fā)票等,讓人防不勝防[18]。企業(yè)員工眾多,但凡有一名員工疏忽,勒索團伙就會通過橫向感染,接管整個企業(yè)的系統(tǒng)[19]。

網(wǎng)絡安全廠商能夠應付來自外部的破壞,卻沒法控制每一位員工的鼠標。騰訊安全玄武實驗室負責人于旸認為,“企業(yè)的人員是流動的,一些安全意識弱的新員工可能會打破原本的安全體系。”[20]

因此,“人”成了企業(yè)網(wǎng)絡安全系統(tǒng)中最薄弱的環(huán)節(jié)。

另一方面,病毒的攻擊方式不斷變化,傳統(tǒng)反入侵工具收效甚微。

網(wǎng)絡攻防不是靜態(tài)的。于旸舉例解釋,“可能今天企業(yè)把安全做到了95分,攻擊者那邊是90分,他便攻不進來,但對方不可能永遠是90分!泵總月甚至每天有新的攻擊技術(shù)、有新的漏洞出現(xiàn),這些都會讓分數(shù)向攻擊者傾斜。

比如,2020年新出現(xiàn)的勒索軟件,大多采用無文件攻擊策略。攻擊者在利用這種技術(shù)實施攻擊時,無需在磁盤上寫入惡意文件,可以避免傳統(tǒng)安全軟件的檢測,讓大多數(shù)安全軟件“啞火”[21]。

微步在線木馬研究團隊負責人也告訴放大燈團隊,最新的勒索軟件采用了一些提升權(quán)限的技術(shù),能夠加密重要的系統(tǒng)文件,還會利用Windows系統(tǒng)中某些特殊端口,提高加密文件的速度,增加了防控難度。

該負責人表示,目前業(yè)界對于勒索軟件的防護更多地體現(xiàn)在預防和緩解上,如排查暴露在公網(wǎng)的資產(chǎn),提升相關(guān)人員安全意識等進行預防,一旦發(fā)現(xiàn)主機被勒索,可對相關(guān)主機進行隔離,防止勒索軟件通過內(nèi)網(wǎng)橫移,攻陷更多主機。

近年,網(wǎng)絡安全公司也在加強檢測和響應能力,以應對勒索軟件。

瑞星、奇安信、微步在線等公司用于防御勒索軟件的產(chǎn)品,都能起到較好的事前防御作用,但這仍無法根治勒索軟件。

終端響應技術(shù)有望改變這種局面。終端響應即在終端通過威脅情報、文件檢測引擎與全攻擊鏈路行為分析等技術(shù)手段,能夠精準發(fā)現(xiàn)并及時告警、阻斷入侵行為。但是目前業(yè)界在勒索軟件“運行時”的檢測及響應上,尚缺乏完善的方案,才讓人有了‘安全軟件不行’的印象!蔽⒉皆诰木馬研究團隊負責人解釋。

但勒索團伙為什么偏愛美國呢?

感謝央行、感謝內(nèi)網(wǎng)

美國的互聯(lián)網(wǎng)行業(yè)在全球首屈一指,但受勒索軟件攻擊也最嚴重。

根據(jù)SonicWall在2021年的調(diào)查,全球勒索軟件受災國Top 10中,美國位居第一,是其他九個國家的總和[22]。

一名前安全行業(yè)從業(yè)者告訴放大燈團隊(ID:guokr233),美國互聯(lián)網(wǎng)公司技術(shù)發(fā)達,但傳統(tǒng)企業(yè)的代碼老化嚴重,而且只能跑就不改,導致多年前的漏洞一直存在。

美國的市政部門也有同樣的缺陷,包括舊金山在內(nèi)的美國大量市政府,至今仍在用上世紀80年代的軟件控制交通燈、車輛登記、法庭記錄和財產(chǎn)稅,極易遭黑客入侵[23]。另外,大多數(shù)美國關(guān)鍵基礎設施都歸私人企業(yè)所有,而國家沒有相應鼓勵措施,多數(shù)公共事業(yè)公司也都沒有實施網(wǎng)絡安全監(jiān)控。一旦發(fā)生危機,私人公司無力應對[24]。

中國同樣是勒索軟件攻擊的重災地。根據(jù)卡巴斯基的統(tǒng)計,2020年下半年,中國大陸有48.4%的工業(yè)控制系統(tǒng)計算機遭到攻擊,位居全球第九[25]。但為什么很少聽說國內(nèi)有大型勒索事件?

國內(nèi)外企業(yè)數(shù)字化水平的差異是一個重要原因。翼盾智能和第五空間研究院創(chuàng)始人朱易翔認為,國外總體數(shù)字化程度更高,對互聯(lián)網(wǎng)的依賴性更大[20]。

雖然國內(nèi)傳統(tǒng)企業(yè)因數(shù)字化水平偏弱躲過一劫,但也不能心存僥幸。實際上,國內(nèi)數(shù)字化水平較高的企業(yè),也有應對之法。

首先,國內(nèi)企業(yè)的安全意識相當高。

國內(nèi)中大型企業(yè),都有自己的安全中心,安全策略跟進速度快,能夠把大部分勒索攻擊拒之門外。而一般小公司若無機密數(shù)據(jù),出了事也不在乎。數(shù)字化轉(zhuǎn)型后的企業(yè),會定期備份數(shù)據(jù),一旦遭遇勒索,只要從云端恢復即可。

備份能夠幫助企業(yè)免于支付贖金| 圖源:[26]

另外,國內(nèi)加密貨幣支付困難,成了勒索團伙的掣肘。

加密貨幣交易的安全性和匿名性,給司法部門追查帶來很大難度,這助長了勒索軟件的氣焰[27]。區(qū)塊鏈數(shù)據(jù)平臺ChainAlysis數(shù)據(jù)顯示,2021年勒索軟件受害者支付的加密貨幣總金額增加了 311%,約合近 3.5 億美元,占加密貨幣總交易金額的 7% 左右[28]。

而國內(nèi)加密貨幣交易一直受到有關(guān)部門監(jiān)管、監(jiān)控加密貨幣最近流向[29],甚至在近年5月,中國央行聯(lián)合中國互聯(lián)網(wǎng)金融協(xié)會、中國銀行業(yè)協(xié)會等部門“封殺”加密貨幣。這些本為打擊炒作活動的政策,無意中遏制了勒索軟件對中國企業(yè)的影響。

最后,國內(nèi)政府、政企的內(nèi)外網(wǎng)分離方案。

這些企業(yè)為了防止內(nèi)部核心數(shù)據(jù)泄露,會將企業(yè)內(nèi)網(wǎng)與互聯(lián)網(wǎng)隔離,把內(nèi)部數(shù)據(jù)“困在”內(nèi)部網(wǎng)絡,同時還能屏蔽來自外部網(wǎng)絡的攻擊[30]。

即便如此,勒索軟件仍不可小覷。

隨著技術(shù)發(fā)展,互聯(lián)網(wǎng)已不再是單純用于娛樂和生產(chǎn)的工具。利用IoT等技術(shù),用戶可以通過互聯(lián)網(wǎng)控制各種電子設備。這也意味著,如果你的手機、電腦被黑客入侵,他也同樣可以控制你家里的電子門鎖或者窗鎖,用你的人身安全威脅你支付巨額贖金。

如果你有一些特殊癖好,用上了增進情趣的IoT“小玩具”,那也有危險,你很可能已被不懷好意的黑客盯上,這事兒可是有先例——

圖源:[31]

如果這些還只算是少數(shù)人的小愛好,那么請設想一下,影響未來大多數(shù)人生活的自動駕駛被黑,會是怎么驚悚場面——你正坐在時速120km的自動駕駛車上,收到了勒索軟件的信息:支付100萬,否則汽車會沖下高速。

這時候,除了付錢,你還有得選嗎?

References:

[1] Reuters Staff. 白宮警告企業(yè)加強網(wǎng)絡安全措施,防范勒索軟件攻擊 2021.6.3 

[2] Carrie Mihalcik, Richard Nieva. Google, Amazon, Microsoft unveil massive cybersecurity initiatives after White House meeting 2021.8.25 

[3] Andrea Shalal. U.S. to work with Big Tech, finance sector on new cybersecurity guidelines 2021.8.26 

[4] 獵影實驗室. 2021年上半年全球勒索軟件趨勢報告 2021.6.25 

[5] The State of Ransomware 2021 

[6] AIDS(Trojan horse) 

[7] 專題|勒索軟件簡史 2017.5.19 

[8] nana. 勒索軟件新常態(tài) 2019.3.25 

[9] Ghosh, Agamoni. 'President Trump what the f**k are you doing' say Shadow Brokers and dump more NSA hacking tools. International Business Times UK. April 9, 2017

[10] Unit 42勒索軟件威脅報告:2020年勒索軟件的平均贖金增加近兩倍達31萬2493美元 2021.3.18 

[11] Richard Lawler. Kaseya ransomware attackers demand $70 million, claim they infected over a million devices 2021.7.5 

[12] Further_eye. 2020上半年勒索軟件洞察報告 2020.9.21 

[13] 張瑩. 新聞分析:勒索軟件威脅有何新特點 2021.7.8 

[14] Internet Organised Crime Threat Assessment (IOCTA) 2020 

[15] 小二郎. “大流行”中的“大流行”:勒索軟件即服務(RaaS)犯罪團伙大起底 2020.12.19

[16] Check Point 研究顯示:與 2020 年初相比,今年全球遭受勒索軟件攻擊的組織增加 102% 2021.5.17

[17] Kriston. 企業(yè)組織易受勒索軟件攻擊的10大原因 2019.11.25 

[18] 郵件安全 | 商業(yè)電子郵件詐騙(BEC),真假難辨又屢屢得手?2021.7.30 

[19] 網(wǎng)絡攻擊最佳CP!勒索軟件聯(lián)手網(wǎng)絡釣魚再“奪冠” 2021.8.3

[20] 騰訊勒索病毒媒體溝通會

[21] Alpha_h4ck. 技術(shù)分析 | 淺析無文件攻擊 2018.12.18 

[22] 2021年上半年3億多次勒索軟件攻擊量創(chuàng)紀錄,已超2020全年數(shù)據(jù)——青少年網(wǎng)絡安全教育 

[23] 舊金山等一些美國城市仍在使用老化的軟件來滿足市政需求 2019.3.4 

[24] 宋欣儀. 醫(yī)療郵政銀行癱瘓三周后,佛羅里達兩城市接連向黑客屈服,支付超百萬比特幣贖金 2019.6.27

[25] Threat landscape for industrial automation systems. Statistics for H2 2020 2021.3.25 

[26] 面對勒索軟件,除了交贖金,還能怎么辦?——我們有11個建議給你 2016.12.1 

[27] 網(wǎng)絡安全專家稱加密貨幣助長了勒索軟件攻擊 2021.6.11 

[28] Ransomware Skyrocketed in 2020, But There May Be Fewer Culprits Than You Think 

[29] Wolfie Zhao. 中國央行開始監(jiān)控虛擬貨幣資金流向 2018.2.28 

[30] 顧娟. 企業(yè)內(nèi)外網(wǎng)分離方案是什么?2020.4.27 

[31] Lorenzo Franceschi-Bicchierai. ‘Your Cock Is Mine Now:’ Hacker Locks Internet-Connected Chastity Cage, Demands Ransom 2021.1.11 

<上一頁  1  2  
聲明: 本文由入駐維科號的作者撰寫,觀點僅代表作者本人,不代表OFweek立場。如有侵權(quán)或其他問題,請聯(lián)系舉報。

發(fā)表評論

0條評論,0人參與

請輸入評論內(nèi)容...

請輸入評論/評論長度6~500個字

您提交的評論過于頻繁,請輸入驗證碼繼續(xù)

暫無評論

暫無評論

    安防 獵頭職位 更多
    文章糾錯
    x
    *文字標題:
    *糾錯內(nèi)容:
    聯(lián)系郵箱:
    *驗 證 碼:

    粵公網(wǎng)安備 44030502002758號