黑客網(wǎng)絡(luò)勒索犯罪悄然升級(jí)

高榮偉 （河南 社旗 473300）

［內(nèi)容提要］

網(wǎng)絡(luò)勒索是一種犯罪活動(dòng)，勒索者通過(guò)勒索軟件對(duì)企業(yè)造成攻擊事實(shí)或攻擊威脅，然后向企業(yè)提出金錢要求以避免或停止他們的攻擊行為。因此，警惕網(wǎng)絡(luò)勒索需要引起網(wǎng)絡(luò)信息主管部門的高度重視，為防止勒索軟件對(duì)企業(yè)造成攻擊或威脅，需要全社會(huì)提高網(wǎng)絡(luò)安全意識(shí)，避免被網(wǎng)絡(luò)勒索的事件發(fā)生。

網(wǎng)絡(luò)黑客 勒索犯罪 悄然升級(jí)

網(wǎng)絡(luò)勒索是一種網(wǎng)絡(luò)犯罪活動(dòng)，勒索者通過(guò)勒索軟件對(duì)企業(yè)造成攻擊事實(shí)或攻擊威脅，然后向企業(yè)提出金錢要求以避免或停止他們的攻擊行為。勒索軟件又稱勒索病毒，與一般計(jì)算機(jī)病毒不同的是，它通常不會(huì)直接破壞數(shù)據(jù)，而是將數(shù)據(jù)進(jìn)行加密鎖定，然后要求被勒索者支付贖金，否則不予解密或者威脅將數(shù)據(jù)公開或者銷毀。

一、一場(chǎng)新的勒索行動(dòng)正在實(shí)施

最近幾個(gè)月，黑客對(duì)美國(guó)公司進(jìn)行了一系列突出的網(wǎng)絡(luò)攻擊，其中包括沿東海岸運(yùn)輸燃料的科洛尼爾公司和全球最大肉食品加工商JBS。

2個(gè)月前，2021年5月，一個(gè)名為DarkSide的黑客團(tuán)伙侵入美國(guó)最大的燃料管道運(yùn)營(yíng)商科洛尼爾公司。據(jù)悉，在這次網(wǎng)絡(luò)攻擊中，黑客Darkside通過(guò)安裝勒索軟件，控制了Colonial Pipeline的計(jì)算機(jī)系統(tǒng)或數(shù)據(jù)系統(tǒng)，并要求支付大筆贖金才能重新獲得訪問(wèn)權(quán)限。當(dāng)時(shí)，約有近100GB的數(shù)據(jù)被劫持，入侵者稱，只有交付贖金才能重新拿回?cái)?shù)據(jù)。這次網(wǎng)絡(luò)攻擊的直接后果是讓美國(guó)東部沿海各州供油的關(guān)鍵燃油網(wǎng)絡(luò)被迫關(guān)閉，導(dǎo)致部分地區(qū)出現(xiàn)燃油供應(yīng)短缺問(wèn)題。不僅如此，美國(guó)燃油價(jià)格也隨之飆升創(chuàng)了新高。

繼美國(guó)最大燃油管道被黑客“掐斷”后，不久，一場(chǎng)新的勒索行動(dòng)又悄悄接近了毫無(wú)防備的中小企業(yè)。當(dāng)?shù)貢r(shí)間7月2日，美國(guó)邁阿密一家IT軟件管理公司Kaseya遭到一個(gè)勒索軟件的攻擊。據(jù)當(dāng)?shù)孛襟w報(bào)道，該黑客組織利用Kaseya與客戶、其客戶的客戶的聯(lián)系發(fā)起了超大規(guī)模網(wǎng)攻，致使全球數(shù)百家科技公司的計(jì)算機(jī)癱瘓，導(dǎo)致全球多達(dá)4萬(wàn)臺(tái)電腦被感染。業(yè)內(nèi)人士表示，此次黑客攻擊主要集中在KaseyaVSA軟件上。Kaseya的VSA用于監(jiān)控和管理基礎(chǔ)架構(gòu)，它由Kaseya作為托管云服務(wù)或通過(guò)本地VSA服務(wù)器提供。據(jù)信，黑客通過(guò)襲擊Kaseya公司的VSA的工具，向使用該公司技術(shù)的管理服務(wù)提供商（MSP）進(jìn)行勒索，同時(shí)加密這些提供商客戶的文件。

據(jù)IT公司Sophos的調(diào)查，從以往經(jīng)驗(yàn)來(lái)看，勒索軟件攻擊的目標(biāo)主要包括超市、學(xué)校、旅游部門及休閑行業(yè)、信貸聯(lián)盟，還有一些會(huì)計(jì)機(jī)構(gòu)等。比如，此次攻擊目標(biāo)就包括美國(guó)牙醫(yī)辦公室以及會(huì)計(jì)師事務(wù)所。此前，據(jù)《華盛頓郵報(bào)》報(bào)道，當(dāng)?shù)貢r(shí)間6月1日，全球最大肉類加工商JBS也遭遇了這家黑客攻擊，導(dǎo)致其在美牛肉加工廠全部關(guān)停。事件發(fā)生后，JBS乖乖就范向黑客團(tuán)伙支付了1100萬(wàn)美元的比特幣。

對(duì)此，F(xiàn)BI勸阻受害者不要付款，因?yàn)楦鶕?jù)今年的一份報(bào)告，92%付費(fèi)的組織無(wú)法恢復(fù)所有數(shù)據(jù)，大多數(shù)付費(fèi)的受害者只能部分恢復(fù)其加密文件的內(nèi)容。

二、瑞典多家IT服務(wù)供應(yīng)商受影響

此次美國(guó)IT軟件管理公司遭到勒索軟件的攻擊，致使全球數(shù)百家企業(yè)和機(jī)構(gòu)受到影響，其中包括瑞典的一家連鎖超市Coop。7月3日，Coop發(fā)布聲明稱，因?yàn)椤俺兄惺浙y機(jī)受到勒索軟件攻擊”，無(wú)法接受顧客付款。Coop表示，其管理服務(wù)提供商遭到攻擊后，影響了該超市的收銀系統(tǒng)和自助收銀臺(tái)。該公司已經(jīng)暫時(shí)關(guān)閉了其在全國(guó)各地約800家商店。

與此同時(shí)，其他幾家瑞典公司——例如服務(wù)器管理公司Visma Esscom，瑞典國(guó)家鐵路服務(wù)部門和另一家連鎖藥店也遭到了黑客的攻擊。目前瑞典已經(jīng)確認(rèn)受威脅IT服務(wù)供應(yīng)商達(dá)到20家，它們旗下的客戶則超過(guò)了1000家。“毫無(wú)疑問(wèn)，這次攻擊非常危險(xiǎn)，相關(guān)機(jī)構(gòu)必須提高防范意識(shí)。”瑞典國(guó)防部長(zhǎng)彼得·赫爾奎斯特在接受采訪時(shí)如是說(shuō)。

經(jīng)過(guò)反復(fù)比對(duì)，很快，瑞典受害者之間的共同點(diǎn)被確認(rèn)：它們都使用了美國(guó)公司Kaseya旗下一款名為VSA的產(chǎn)品，而黑客正是對(duì)這一工具推送了惡意更新，進(jìn)而加密了其眾多客戶的文件。值得注意的是，Kaseya主要為大型IT服務(wù)供應(yīng)商提供服務(wù)，而這些供應(yīng)商又為更多的中小企業(yè)提供外包式服務(wù)：使用其工具的客戶通常為規(guī)模太小或資源有限而無(wú)法擁有自己技術(shù)部門的公司，Kaseya提供的IT工具可以幫助這些小公司處理后臺(tái)工作。以此推測(cè)，黑客們找到了病毒傳播的最佳節(jié)點(diǎn)。“在這場(chǎng)似乎是迄今為止規(guī)模最大的供應(yīng)鏈黑客攻擊事件中，黑客將目標(biāo)鎖定在了IT管理軟件供應(yīng)商Kaseya上。”《華爾街日?qǐng)?bào)》評(píng)論稱。

瑞典檢方經(jīng)過(guò)調(diào)查，認(rèn)為這起惡性事件的策劃者正是臭名昭著的勒索團(tuán)伙REvil。據(jù)悉，該團(tuán)伙是世界上規(guī)模最大的網(wǎng)絡(luò)勒索團(tuán)伙之一。根據(jù)粗略估計(jì)，截至目前，其背后的黑客在全球已經(jīng)勒索超過(guò)1億美元，短短數(shù)月內(nèi)令數(shù)百家企業(yè)陷入癱瘓。根據(jù)已經(jīng)掌握的案例，勒索團(tuán)伙REvil攻擊手段一直處于不斷變化之中。最早他們使用暴力破解，隨后進(jìn)化到釣魚郵件、僵尸網(wǎng)絡(luò)分發(fā)和高危漏洞攻擊。最近一次，他們就利用了Microsoft Exchange的漏洞進(jìn)行襲擊，成功竊取了計(jì)算機(jī)巨頭的內(nèi)部數(shù)據(jù)。

事實(shí)已經(jīng)很清楚，此次黑客“攻擊風(fēng)暴”的核心正是總部位于美國(guó)佛羅里達(dá)州的技術(shù)公司Kaseya，而使用這一技術(shù)工具的全球約800至1500家企業(yè)因?yàn)楹诳凸舳c瘓。據(jù)《華爾街日?qǐng)?bào)》報(bào)道，當(dāng)這些企業(yè)的工作人員點(diǎn)擊“待更新”后，他們沒(méi)有獲得Kaseya的最新更新，而是收到了REvil的勒索軟件。據(jù)了解，Kaseya最初是通過(guò)其系統(tǒng)中一個(gè)未知的漏洞被攻破的——這個(gè)漏洞被稱為“零日”（0-day）。據(jù)說(shuō)，發(fā)現(xiàn)此類漏洞時(shí)，軟件制造商只有0日時(shí)間來(lái)修復(fù)它，所以被稱為“零日”，而網(wǎng)絡(luò)犯罪分子在專家們修復(fù)之前，卻可以利用該漏洞對(duì)網(wǎng)絡(luò)系統(tǒng)實(shí)施嚴(yán)重破壞。而用戶VSA軟件中存在大量0-day漏洞，這些漏洞被用作部署勒索軟件的渠道。然后，他們使用勒索軟件鎖定數(shù)據(jù)，并允許攻擊者通過(guò)HTTP訪問(wèn)連接到主機(jī)，并手動(dòng)注入惡意軟件。

“我們隨時(shí)準(zhǔn)備進(jìn)行談判。”黑客早些時(shí)候告訴路透社。對(duì)此，網(wǎng)絡(luò)安全專家表示，“這個(gè)團(tuán)伙也比較‘好商量’，在與談判專家協(xié)商后，他們通常會(huì)大幅度降低贖金。”

三、網(wǎng)絡(luò)勒索犯罪悄然升級(jí)

作為此次黑客攻擊的“第一目標(biāo)”，IT服務(wù)商Kaseya發(fā)布聲明稱，已經(jīng)主動(dòng)關(guān)閉了該公司的SaaS服務(wù)器，同時(shí)提醒接受到黑客的信息時(shí)不要點(diǎn)擊任何鏈接。白宮網(wǎng)絡(luò)和新興技術(shù)副國(guó)家安全顧問(wèn)安妮·紐伯格稱，美國(guó)聯(lián)邦調(diào)查局和國(guó)土安全部的網(wǎng)絡(luò)部門“將根據(jù)對(duì)國(guó)家風(fēng)險(xiǎn)的評(píng)估”。

7月4日，幕后的黑客向美國(guó)邁阿密IT軟件管理公司Kaseya索要7000萬(wàn)美元贖金，以換取他們劫持的數(shù)據(jù)——REvil在暗網(wǎng)博客上發(fā)布的一條信息中，該團(tuán)伙聲稱有超過(guò)100萬(wàn)系統(tǒng)被其攻擊感染，如果Kaseya想恢復(fù)被加密的文件，就需要交出價(jià)值7000萬(wàn)美元的比特幣。據(jù)了解，這一暗網(wǎng)博客正是由REvil的網(wǎng)絡(luò)犯罪團(tuán)伙使用。

毫無(wú)疑問(wèn)，如果Kaseya答應(yīng)了勒索者的要求，那么這將成為全球范圍內(nèi)金額最大的網(wǎng)絡(luò)勒索案件。不過(guò)，目前該公司還未公開聲明是否考慮向REvil支付贖金，或許它是在等待來(lái)自政府或者相關(guān)產(chǎn)業(yè)鏈公司的解救。當(dāng)?shù)孛襟w報(bào)道，就在這場(chǎng)攻擊發(fā)生后不久，美國(guó)總統(tǒng)拜登下令對(duì)這次勒索軟件的幕后黑手進(jìn)行調(diào)查，并且視情況給予受害者援助。

有專家表示，網(wǎng)絡(luò)勒索者為了索取贖金，一般會(huì)采用以下幾種手段：加密數(shù)據(jù)勒索、鎖定系統(tǒng)勒索、威脅恐嚇勒索和數(shù)據(jù)泄漏勒索。其中，加密數(shù)據(jù)勒索是勒索犯罪最常采用的手段，勒索者通過(guò)加密用戶系統(tǒng)內(nèi)重要的數(shù)據(jù)、資料文檔等，如果沒(méi)有攻擊者的私鑰，就無(wú)法解密被鎖定的文件。然而，令不少人感到困惑的是，美國(guó)是互聯(lián)網(wǎng)的發(fā)祥地之一，網(wǎng)絡(luò)安全產(chǎn)業(yè)早已成熟，為何在這種情況下，仍然會(huì)有黑客乘虛而入？

答案出在安全成本上。從企業(yè)角度看，多年來(lái)發(fā)生的一系列惡性攻擊事件，并沒(méi)有觸動(dòng)這些企業(yè)主。從此前《華爾街日?qǐng)?bào)》對(duì)389家制造業(yè)企業(yè)的調(diào)查來(lái)看，只有不到三分之二的企業(yè)有屬于自己的網(wǎng)絡(luò)安全項(xiàng)目，而更多企業(yè)“不計(jì)劃在未來(lái)一年內(nèi)對(duì)安全領(lǐng)域?qū)嵤└倪M(jìn)”，這些改進(jìn)包括網(wǎng)絡(luò)保險(xiǎn)、員工網(wǎng)絡(luò)安全培訓(xùn)、制定突發(fā)網(wǎng)安事件響應(yīng)計(jì)劃等。說(shuō)到底，大型企業(yè)主不愿把錢花在安全上。

對(duì)于制造業(yè)而言，解決網(wǎng)絡(luò)安全問(wèn)題往往需要付出巨大的成本，因?yàn)檫@需要他們讓設(shè)備離線以更新安全系統(tǒng)，而系統(tǒng)脫機(jī)維護(hù)有很有可能導(dǎo)致舊系統(tǒng)出現(xiàn)問(wèn)題，甚至可能導(dǎo)致永久性故障。畢竟，很多制造商的設(shè)備在設(shè)計(jì)之初是以效率及合規(guī)為優(yōu)先，而不是安全。對(duì)于目前眾多的互聯(lián)網(wǎng)中小企業(yè)來(lái)說(shuō)，專門設(shè)置一個(gè)安全團(tuán)隊(duì)同樣成本過(guò)高，致使他們難以承受這筆花銷，更重要的是，這些投進(jìn)去的錢難以為其創(chuàng)造收益。如此一來(lái)，企業(yè)主的顧慮讓網(wǎng)絡(luò)勒索大行其道。

“或許，只有在一個(gè)網(wǎng)絡(luò)攻擊無(wú)孔不入，人人自危的環(huán)境中，這些企業(yè)主才會(huì)把信息安全提上議事日程吧。”一位從業(yè)者如此感嘆道。

專業(yè)人士表示，這次襲擊也標(biāo)志著勒索軟件團(tuán)伙犯罪手法悄然升級(jí)。從5月的美國(guó)最大燃油管道被黑客掐斷，到東芝在法國(guó)子公司，再到6月全球最大牛肉廠商JBS，如今黑客已經(jīng)不僅僅是攻擊單個(gè)公司了，而是盯上了為成百上千公司提供服務(wù)的IT服務(wù)供應(yīng)商。在之前的攻擊中，REvil的手法常常上通過(guò)網(wǎng)絡(luò)釣魚、密碼被盜或缺乏多因素身份驗(yàn)證的組合進(jìn)行入侵。勒索軟件攻擊的頻率和復(fù)雜程度也不斷飆升，諸如哥倫比亞特區(qū)警察局、治療冠狀病毒患者的醫(yī)院和制造商等。一位專門與犯罪黑客進(jìn)行談判的網(wǎng)絡(luò)安全公司主管稱，僅在過(guò)去90天內(nèi)，他的公司已處理了32起REvil組織的案件。不過(guò)，該主管表示：“過(guò)去REvil主要攻擊專業(yè)服務(wù)領(lǐng)域，而非技術(shù)領(lǐng)域”。

該談判主管進(jìn)而表示，“事實(shí)上，過(guò)去的平均贖金也低得多，此前只有近728000美元，而在價(jià)格談判之后，實(shí)際支付的平均贖金比這還要低。”然而，這次黑客攻擊并索要7000萬(wàn)美元，贖金價(jià)格猛增。有媒體評(píng)論稱，不管這次勒索事件的后續(xù)如何，REvil的攻擊手段無(wú)疑又得到了進(jìn)一步的磨煉。