比特币病毒(勒索案例)
2021年5月美国东部输油管道公司遭遇勒索软件攻击,进而引发美国东海岸大面积燃料短缺后,全球范围内勒索软件攻击一直屡禁不止。
6月,全球最大肉类供应厂商之一JBS遭遇勒索病毒攻击,被迫支付了价值1100万美元的比特币赎金。7月3日,美国技术管理软件供应商Kaseya遭遇勒索攻击。
网络犯罪事件日益增加,给企业网络安全造成巨大威胁。勒索软件门槛低、“效果”显著,尤其受到网络黑客青睐。勒索病毒是怎么发生的,企业又该如何防范?南方日报、南方+记者采访相关行业人士对此进行解读。
比特币加剧攻击全球化?
勒索攻击,是怎么发展到现在的?
腾讯安全玄武实验室负责人于旸介绍,早期的勒索还是以一种“偷数据、卖数据”的模式进行,就如同偷窃之后销赃,不同的是,其它偷来的东西总能找到买家,数据却很难,买家也不多。
此后,勒索攻击逐步APT化。所谓APT攻击,即定向威胁攻击。早些时候,勒索攻击就是一个病毒,例如Wannacry,攻击者把恶意软件做出来并投放出去,传播方式上勒索病毒与传统病毒并无二致,这一招收割了不少目标。
“但是,这种模式会有很大一个问题,即它依赖威力很大的漏洞,且漏洞的价值要非常高,可能一年出不了一个,因此很难持续。”于旸说,后面逐渐演变成病毒自动攻击的模式。
更重要的是,数据黑产的全产业链的成熟运作。过去,通过银行转账这条线可以抓住黑手,但在比特币等虚拟货币便捷的支付方式之下,敲诈勒索的“全球化方案”得以普及,不再会遭遇外汇管制的问题,转账也很难再被锁定账户,因为比特币是匿名的,难以被追溯。
“对勒索攻击来说,通过虚拟货币交易方式找到了一种更好的途径,推动勒索病毒火爆起来了。”翼盾智能CEO朱易翔说。
朱易翔印象比较深的一个案例是,一企业遭遇勒索,一些与合同相关的资料被加密。专家诊断认为,想要恢复难度极大。这家企业也尝试支付赎金,不过无法在财务流程上购买虚拟货币。最后企业只好通过过往的备份资料慢慢恢复,也造成了一定的损失。
“既然是奔着钱来的,说明整个链条已经高度产业化了。”朱易翔说。
企业信息化程度高反而易遭攻击?
那么,怎样的企业最容易被攻击?
腾讯安全反病毒实验室负责人马劲松介绍,勒索对象基本上都是大中型企业,这些企业做了大量信息化工作,但也对计算机系统、网络系统依赖程度高,反而成为被攻击对象。
通信运营商就是一个非常典型的例子,它们对信息化、网络化依赖程度高,且影响力较大,一旦被勒索病毒攻击得逞后,造成的影响也巨大大。
朱易翔也发现,勒索攻击的对象偏基础设施类,在最近几年的案例中,越来越多涉及能源、通信运营商、公共交通、金融以及政府等机构,面临勒索的挑战。
按理,这些企业更有资金实力来构筑安全防线,但为何依然受到勒索病毒的攻击?
马劲松说,安全问题不是一劳永逸的手段,而是一个动态演进的过程,需要持续的投入、运营、升级。比如企业认为买了杀毒软件、买了边界防护设备、请了一些安全服务就到位了,其实还有对员工的培训,对日常行为的管理。
他总结道,从攻击者的角度来看,这种勒索攻击是有明确的目的性和利益取向,一定会想尽各种办法达到目的,不会轻易停手;从防御者的角度,数字化程度不断加深,信息化建设的发展大大增加了被攻击者的暴露面、攻击面。
“不怕贼偷,就怕贼惦记。”朱易翔也说,攻防具有不对称性,一方面是时间上的不对称性,攻,可在某个时间点上进行,防,则要无时无刻进行;另一方面,攻只需要找到一个精确的打击点,而防则要密不透风没有遗漏。
于旸也提到,勒索攻击已经到了一个非常复杂、高级的形态,相应的防御也要不断升级,“新的攻击技术每个月甚至每天都在产生,而新的漏洞也不断出现,企业人员也是流动的,此前建立好的安全体系,可能会随着人员流动、新招员工的变动而变动”。
安全更是一项重要的成本考虑。朱易翔说,企业要考虑投入产出比,比如安全做到了95分,再提高1分,投入大但边际效应递减。怎么投入,在哪里投入,都需要仔细衡量。
如何织密安全这张大网?
严峻的安全形势,让企业无法掉以轻心。如何织密这张安全大网?
于旸说,传统的安全防御,更多是一种边界防御,通过防火墙、IPS(入侵防御系统),把攻击者挡在外面。而在今天,任何边界防御措施都不能100%有效,一旦攻击者有一个小口进来,就可以接触到内部数据,甚至对这些数据进行加密。
“不能再简单的依赖边界防御了,可以引入一些新的安全思维比如‘零信任’。”于旸说。
马劲松也建议,首先,对关键数据及时备份,从过往经验来看,数据一旦被损坏,技术手段恢复的可能性较低。
其次,在信息化日常的建设中,要把漏洞管理、补丁及时更新提到非常重要的地位。目前,勒索攻击一个重要的途径是通过攻击漏洞方式打开缺口。
再次,人也要提高警惕,加强从业人员的安全教育、提高安全素养,例如收到莫名的电子邮件,看到社交网络上的奇怪链接,拾到可疑的优盘,都要保持高度警惕。
但并非有充分的备份措施就能高枕无忧。还有一种威胁,则是数据公开。朱易翔认为,一些关键数据要自己先进行加密,这样对勒索攻击来说,不至于拿到很重要的隐私数据。
