圖源：圖蟲(chóng)

編者按：本文來(lái)自微信公眾號(hào)放大燈（ID： guokr233），作者楊景詒，創(chuàng)業(yè)邦經(jīng)授權(quán)轉(zhuǎn)載。

兩個(gè)月前，美國(guó)政府曾警告企業(yè)防范勒索軟件攻擊，但就在8月26日，拜登調(diào)門(mén)升級(jí)，他召集蘋(píng)果、微軟、谷歌、亞馬遜、摩根大通在內(nèi)的科技金融公司高管齊聚白宮，討論網(wǎng)絡(luò)安全問(wèn)題，勒索軟件是重點(diǎn)議題。拜登承認(rèn)美國(guó)基礎(chǔ)設(shè)施“由私人公司運(yùn)作，聯(lián)邦政府無(wú)法獨(dú)立應(yīng)對(duì)挑戰(zhàn)”。在會(huì)后，微軟和谷歌分別承諾為網(wǎng)絡(luò)安全投入數(shù)百億美元。

跪在勒索軟件的陰影下的，又豈止是美國(guó)。

2021年，勒索軟件成了全球噩夢(mèng)。據(jù)安恒信息威脅情報(bào)中心統(tǒng)計(jì)，今年上半年，全球至少發(fā)生了1200多起勒索軟件攻擊事件，造成的直接經(jīng)濟(jì)損失超過(guò)300億美元。

被勒索的企業(yè)或組織，有兩條路可選：

要么一開(kāi)始就老實(shí)交錢(qián)，息事寧人；要么像巴爾的摩市那樣，堅(jiān)持拒絕支付贖金，以致城市癱瘓三周，最終還是屈于淫威。但即便就范，也難得善終——2021年上半年，那些支付贖金的企業(yè)平均只能找回65%的文件，其余部分則被損壞并無(wú)法訪問(wèn)。

在這場(chǎng)不平等游戲里，各國(guó)政府、公司乃至個(gè)人用戶(hù)都無(wú)可奈何，勒索軟件由此成為不法分子的“財(cái)富密碼”。

財(cái)源滾滾的“好生意”

1989年12月，美國(guó)進(jìn)化生物學(xué)家約瑟夫·波普（Joseph Popp）向世界衛(wèi)生組織艾滋病會(huì)議和《個(gè)人電腦商業(yè)世界》雜志（PC Business World）分別郵寄了一張被感染的軟盤(pán)，標(biāo)簽是“艾滋病信息介紹軟盤(pán)”，軟盤(pán)上印有“賽博格電腦公司”（PC Cyborg Corporation）的標(biāo)志。盤(pán)上存了兩個(gè)文件：一個(gè)偽裝成關(guān)于艾滋病毒調(diào)查問(wèn)卷的特洛伊木馬（名為AIDS Trojan），另一個(gè)是安裝程序。

一旦電腦被感染，C盤(pán)的全部文件名將會(huì)被加密，致使系統(tǒng)無(wú)法啟動(dòng)，并出現(xiàn)支付贖金的界面（聲稱(chēng)用戶(hù)安裝的賽博格電腦公司軟件已過(guò)期，需要續(xù)費(fèi)）。

AIDS Trojan是有記錄以來(lái)第一個(gè)勒索軟件。雖然始作俑者約瑟夫·波普辯稱(chēng)，他收到的贖金是為了支持艾滋病研究，但病毒感染了數(shù)萬(wàn)臺(tái)電腦，導(dǎo)致不少醫(yī)學(xué)機(jī)構(gòu)多年的研究數(shù)據(jù)毀于一旦。

當(dāng)時(shí)的加密手段十分容易破解，AIDS Trojan的制作者也沒(méi)收到多少錢(qián)，勒索軟件很快無(wú)人問(wèn)津。直到2006年，一個(gè)名為Archievus的勒索軟件用上了幾乎無(wú)解的非對(duì)稱(chēng)加密算法。此后，勒索軟件重獲不法分子重視，得以再次流行。

近年來(lái)，勒索團(tuán)伙的策略又發(fā)生變化。它們盯上了政企機(jī)構(gòu)。數(shù)年來(lái)，中招的機(jī)構(gòu)與公司越來(lái)越多——

近三年重大網(wǎng)絡(luò)入侵勒索事件一覽 | 放大燈團(tuán)隊(duì)制圖

行業(yè)媒體安全牛也提到，2018年超過(guò)80%的勒索軟件感染都是針對(duì)企業(yè)。為什么企業(yè)成了“香餑餑”？

一方面，企業(yè)IT安全往往存在薄弱環(huán)節(jié)。多數(shù)惡意軟件都依賴(lài)于桌面操作系統(tǒng)中的漏洞，而企業(yè)電腦操作系統(tǒng)往往不能及時(shí)更新升級(jí)，這給了勒索團(tuán)伙可乘之機(jī)。

2017年著名的勒索軟件WannaCry，就利用Windows操作系統(tǒng)的SMB協(xié)議漏洞，大肆傳播，未及時(shí)修復(fù)漏洞的電腦，得到了“重點(diǎn)關(guān)照”。

另一方面，勒索企業(yè)的成功率高、回報(bào)“豐厚”，這個(gè)“生意”穩(wěn)賺不賠。

以往針對(duì)個(gè)人的勒索，加密的數(shù)據(jù)價(jià)值較小，成功率低。如今，越來(lái)越多的團(tuán)伙使用“雙重勒索”策略攻擊目標(biāo)企業(yè)。

“雙重勒索”，即不法團(tuán)伙在加密企業(yè)文件的同時(shí)，還竊取被勒索公司的數(shù)據(jù)并進(jìn)行備份，如果企業(yè)不交錢(qián)，他們就威脅曝光或售賣(mài)數(shù)據(jù)。總之，無(wú)論交不交贖金，勒索團(tuán)伙都穩(wěn)賺不賠[4]。數(shù)據(jù)被加密尚可以通過(guò)備份恢復(fù)，可一旦機(jī)密數(shù)據(jù)泄露，企業(yè)不僅品牌聲譽(yù)大損，還要承擔(dān)法律責(zé)任，并賠償客戶(hù)遠(yuǎn)高于贖金的損失。

雙重勒索對(duì)大企業(yè)十分有效。表格中提及的上市咨詢(xún)公司埃森哲、硬件生產(chǎn)商技嘉，均被勒索團(tuán)伙以曝光數(shù)據(jù)要挾。

不僅勒索屢屢得手，贖金也水漲船高。

Unit 42勒索軟件威脅報(bào)告顯示，受勒索企業(yè)支付的平均贖金從2019年的11.5萬(wàn)美元增加到2020年的31.2萬(wàn)美元，同比增長(zhǎng)171%。到今年上半年，平均贖金又突破80萬(wàn)美元，而單次勒索贖金最高紀(jì)錄已高達(dá)7000萬(wàn)美元。

如此大張旗鼓的勒索，必然不是幾個(gè)人的團(tuán)隊(duì)小打小鬧?，F(xiàn)在的勒索行業(yè)，甚至出現(xiàn)產(chǎn)業(yè)化趨勢(shì)，形成了勒索軟件即服務(wù)（RaaS）——一種開(kāi)發(fā)者提供勒索軟件，分發(fā)者入侵和勒索企業(yè)，前者從后者所獲贖金中抽成的商業(yè)模式。

該模式下的團(tuán)隊(duì)由勒索軟件供應(yīng)商、攻擊執(zhí)行人員、贖金談判人員及話務(wù)員組成，在編寫(xiě)軟件、實(shí)施攻擊、溝通談判、接收贖金等環(huán)節(jié)各司其職。

勒索軟件即服務(wù)模式的勒索流程

勒索軟件即服務(wù)既降低了勒索的技術(shù)門(mén)檻，又分擔(dān)了犯罪活動(dòng)的風(fēng)險(xiǎn)，令網(wǎng)絡(luò)勒索對(duì)不法分子的吸引力越來(lái)越強(qiáng)。

安全企業(yè)Intel 471調(diào)查發(fā)現(xiàn)，2019年至2020年間新出現(xiàn)了25個(gè)新的勒索軟件即服務(wù)團(tuán)伙，它們發(fā)動(dòng)攻擊的規(guī)模與所造成的災(zāi)情幾乎無(wú)法統(tǒng)計(jì)。在今年5月，攻擊美國(guó)燃油管道公司Colonial Pipeline、致使美國(guó)進(jìn)入國(guó)家緊急狀態(tài)的勒索團(tuán)隊(duì)DarkSide，便是勒索軟件即服務(wù)模式的團(tuán)伙。

模式創(chuàng)新帶來(lái)了更嚴(yán)重的災(zāi)情。

據(jù)安全公司Check Point的數(shù)據(jù)，2020年勒索軟件給全球企業(yè)造成約200億美元損失，比2019年增加了近75%。在數(shù)量上，今年被勒索的公司較去年增加了102%。

勒索軟件這么猖獗，網(wǎng)絡(luò)安全公司就不管管？

集體啞火的網(wǎng)絡(luò)安全服務(wù)商

網(wǎng)絡(luò)安全廠商幾乎掃平了電腦病毒，但面對(duì)勒索軟件往往無(wú)可奈何。

一方面，“人”是勒索軟件的幫兇。

勒索軟件入侵電腦的途徑主要有四種：系統(tǒng)漏洞、釣魚(yú)郵件、垃圾廣告和U盤(pán)病毒，后三種都需要人為介入——企業(yè)員工打開(kāi)來(lái)源不明的郵件、點(diǎn)擊不安全的鏈接，或是把被感染的U盤(pán)插入公司電腦，都會(huì)幫助勒索團(tuán)隊(duì)越過(guò)安防系統(tǒng)，入侵公司。

其中，利用“社工”原理郵件釣魚(yú)，是最常見(jiàn)的入侵途徑。

如果你是一名企業(yè)助理，那你一定收到這種郵件——它假裝成你的老板，用命令的口吻要求你向這個(gè)郵箱發(fā)送機(jī)密文件，或者向指定賬戶(hù)匯款，即便老板此時(shí)可能就在你工位對(duì)面。這就是社工釣魚(yú)郵件。

幾封顯而易見(jiàn)的釣魚(yú)郵件

亞信安全數(shù)據(jù)顯示，91%的定向攻擊始于社工釣魚(yú)郵件。這些郵件通常偽裝成訂單、工資單、發(fā)票等，讓人防不勝防。企業(yè)員工眾多，但凡有一名員工疏忽，勒索團(tuán)伙就會(huì)通過(guò)橫向感染，接管整個(gè)企業(yè)的系統(tǒng)。

網(wǎng)絡(luò)安全廠商能夠應(yīng)付來(lái)自外部的破壞，卻沒(méi)法控制每一位員工的鼠標(biāo)。騰訊安全玄武實(shí)驗(yàn)室負(fù)責(zé)人于旸認(rèn)為，“企業(yè)的人員是流動(dòng)的，一些安全意識(shí)弱的新員工可能會(huì)打破原本的安全體系?！?/p>

因此，“人”成了企業(yè)網(wǎng)絡(luò)安全系統(tǒng)中最薄弱的環(huán)節(jié)。

另一方面，病毒的攻擊方式不斷變化，傳統(tǒng)反入侵工具收效甚微。

網(wǎng)絡(luò)攻防不是靜態(tài)的。于旸舉例解釋?zhuān)翱赡芙裉炱髽I(yè)把安全做到了95分，攻擊者那邊是90分，他便攻不進(jìn)來(lái)，但對(duì)方不可能永遠(yuǎn)是90分?！泵總€(gè)月甚至每天有新的攻擊技術(shù)、有新的漏洞出現(xiàn)，這些都會(huì)讓分?jǐn)?shù)向攻擊者傾斜。

比如，2020年新出現(xiàn)的勒索軟件，大多采用無(wú)文件攻擊策略。攻擊者在利用這種技術(shù)實(shí)施攻擊時(shí)，無(wú)需在磁盤(pán)上寫(xiě)入惡意文件，可以避免傳統(tǒng)安全軟件的檢測(cè)，讓大多數(shù)安全軟件“啞火”。

微步在線木馬研究團(tuán)隊(duì)負(fù)責(zé)人也告訴放大燈團(tuán)隊(duì)，最新的勒索軟件采用了一些提升權(quán)限的技術(shù)，能夠加密重要的系統(tǒng)文件，還會(huì)利用Windows系統(tǒng)中某些特殊端口，提高加密文件的速度，增加了防控難度。

該負(fù)責(zé)人表示，目前業(yè)界對(duì)于勒索軟件的防護(hù)更多地體現(xiàn)在預(yù)防和緩解上，如排查暴露在公網(wǎng)的資產(chǎn)，提升相關(guān)人員安全意識(shí)等進(jìn)行預(yù)防，一旦發(fā)現(xiàn)主機(jī)被勒索，可對(duì)相關(guān)主機(jī)進(jìn)行隔離，防止勒索軟件通過(guò)內(nèi)網(wǎng)橫移，攻陷更多主機(jī)。

近年，網(wǎng)絡(luò)安全公司也在加強(qiáng)檢測(cè)和響應(yīng)能力，以應(yīng)對(duì)勒索軟件。

瑞星、奇安信、微步在線等公司用于防御勒索軟件的產(chǎn)品，都能起到較好的事前防御作用，但這仍無(wú)法根治勒索軟件。

終端響應(yīng)技術(shù)有望改變這種局面。終端響應(yīng)即在終端通過(guò)威脅情報(bào)、文件檢測(cè)引擎與全攻擊鏈路行為分析等技術(shù)手段，能夠精準(zhǔn)發(fā)現(xiàn)并及時(shí)告警、阻斷入侵行為。但是目前業(yè)界在勒索軟件“運(yùn)行時(shí)”的檢測(cè)及響應(yīng)上，尚缺乏完善的方案，才讓人有了‘安全軟件不行’的印象?！蔽⒉皆诰€木馬研究團(tuán)隊(duì)負(fù)責(zé)人解釋。

但勒索團(tuán)伙為什么偏愛(ài)美國(guó)呢？

感謝央行、感謝內(nèi)網(wǎng)

美國(guó)的互聯(lián)網(wǎng)行業(yè)在全球首屈一指，但受勒索軟件攻擊也最嚴(yán)重。

根據(jù)SonicWall在2021年的調(diào)查，全球勒索軟件受災(zāi)國(guó)Top 10中，美國(guó)位居第一，是其他九個(gè)國(guó)家的總和。

一名前安全行業(yè)從業(yè)者告訴放大燈團(tuán)隊(duì)（ID：guokr233），美國(guó)互聯(lián)網(wǎng)公司技術(shù)發(fā)達(dá)，但傳統(tǒng)企業(yè)的代碼老化嚴(yán)重，而且只能跑就不改，導(dǎo)致多年前的漏洞一直存在。

美國(guó)的市政部門(mén)也有同樣的缺陷，包括舊金山在內(nèi)的美國(guó)大量市政府，至今仍在用上世紀(jì)80年代的軟件控制交通燈、車(chē)輛登記、法庭記錄和財(cái)產(chǎn)稅，極易遭黑客入侵。另外，大多數(shù)美國(guó)關(guān)鍵基礎(chǔ)設(shè)施都?xì)w私人企業(yè)所有，而國(guó)家沒(méi)有相應(yīng)鼓勵(lì)措施，多數(shù)公共事業(yè)公司也都沒(méi)有實(shí)施網(wǎng)絡(luò)安全監(jiān)控。一旦發(fā)生危機(jī)，私人公司無(wú)力應(yīng)對(duì)。

中國(guó)同樣是勒索軟件攻擊的重災(zāi)地。根據(jù)卡巴斯基的統(tǒng)計(jì)，2020年下半年，中國(guó)大陸有48.4%的工業(yè)控制系統(tǒng)計(jì)算機(jī)遭到攻擊，位居全球第九。但為什么很少聽(tīng)說(shuō)國(guó)內(nèi)有大型勒索事件？

國(guó)內(nèi)外企業(yè)數(shù)字化水平的差異是一個(gè)重要原因。翼盾智能和第五空間研究院創(chuàng)始人朱易翔認(rèn)為，國(guó)外總體數(shù)字化程度更高，對(duì)互聯(lián)網(wǎng)的依賴(lài)性更大。

雖然國(guó)內(nèi)傳統(tǒng)企業(yè)因數(shù)字化水平偏弱躲過(guò)一劫，但也不能心存僥幸。實(shí)際上，國(guó)內(nèi)數(shù)字化水平較高的企業(yè)，也有應(yīng)對(duì)之法。

首先，國(guó)內(nèi)企業(yè)的安全意識(shí)相當(dāng)高。

國(guó)內(nèi)中大型企業(yè)，都有自己的安全中心，安全策略跟進(jìn)速度快，能夠把大部分勒索攻擊拒之門(mén)外。而一般小公司若無(wú)機(jī)密數(shù)據(jù)，出了事也不在乎。數(shù)字化轉(zhuǎn)型后的企業(yè)，會(huì)定期備份數(shù)據(jù)，一旦遭遇勒索，只要從云端恢復(fù)即可。

備份能夠幫助企業(yè)免于支付贖金

另外，國(guó)內(nèi)加密貨幣支付困難，成了勒索團(tuán)伙的掣肘。

加密貨幣交易的安全性和匿名性，給司法部門(mén)追查帶來(lái)很大難度，這助長(zhǎng)了勒索軟件的氣焰。區(qū)塊鏈數(shù)據(jù)平臺(tái)ChainAlysis數(shù)據(jù)顯示，2021年勒索軟件受害者支付的加密貨幣總金額增加了 311%，約合近 3.5 億美元，占加密貨幣總交易金額的 7% 左右。

而國(guó)內(nèi)加密貨幣交易一直受到有關(guān)部門(mén)監(jiān)管、監(jiān)控加密貨幣最近流向，甚至在近年5月，中國(guó)央行聯(lián)合中國(guó)互聯(lián)網(wǎng)金融協(xié)會(huì)、中國(guó)銀行業(yè)協(xié)會(huì)等部門(mén)“封殺”加密貨幣。這些本為打擊炒作活動(dòng)的政策，無(wú)意中遏制了勒索軟件對(duì)中國(guó)企業(yè)的影響。

最后，國(guó)內(nèi)政府、政企的內(nèi)外網(wǎng)分離方案。

這些企業(yè)為了防止內(nèi)部核心數(shù)據(jù)泄露，會(huì)將企業(yè)內(nèi)網(wǎng)與互聯(lián)網(wǎng)隔離，把內(nèi)部數(shù)據(jù)“困在”內(nèi)部網(wǎng)絡(luò)，同時(shí)還能屏蔽來(lái)自外部網(wǎng)絡(luò)的攻擊。

即便如此，勒索軟件仍不可小覷。

隨著技術(shù)發(fā)展，互聯(lián)網(wǎng)已不再是單純用于娛樂(lè)和生產(chǎn)的工具。利用IoT等技術(shù)，用戶(hù)可以通過(guò)互聯(lián)網(wǎng)控制各種電子設(shè)備。這也意味著，如果你的手機(jī)、電腦被黑客入侵，他也同樣可以控制你家里的電子門(mén)鎖或者窗鎖，用你的人身安全威脅你支付巨額贖金。

如果你有一些特殊癖好，用上了增進(jìn)情趣的IoT“小玩具”，那也有危險(xiǎn)，你很可能已被不懷好意的黑客盯上，這事兒可是有先例——

如果這些還只算是少數(shù)人的小愛(ài)好，那么請(qǐng)?jiān)O(shè)想一下，影響未來(lái)大多數(shù)人生活的自動(dòng)駕駛被黑，會(huì)是怎么驚悚場(chǎng)面——你正坐在時(shí)速120km的自動(dòng)駕駛車(chē)上，收到了勒索軟件的信息：支付100萬(wàn)，否則汽車(chē)會(huì)沖下高速。

這時(shí)候，除了付錢(qián)，你還有得選嗎？

本文為專(zhuān)欄作者授權(quán)創(chuàng)業(yè)邦發(fā)表，版權(quán)歸原作者所有。文章系作者個(gè)人觀點(diǎn)，不代表創(chuàng)業(yè)邦立場(chǎng)，轉(zhuǎn)載請(qǐng)聯(lián)系原作者。如有任何疑問(wèn)，請(qǐng)聯(lián)系editor@cyzone.cn。