自2017年WannaCry、NotPetya席卷全球以来,勒索病毒一直以不可忽视的危害性和破坏力,被全球企业和机构视为最大网络威胁之一。回顾整个2020年,受新冠疫情大流行和全球数字化进程加快的驱动,数以百万计远程办公场景的快速激增一定程度上因网络开放度的提升和接口的增多,而给勒索病毒造就了新的攻击面。
SonicWall第三季度威胁情报数据显示,勒索软件攻击以40%的增长率,位居2020年增长最为迅猛的网络威胁榜首。同时,安全公司CrowdStrike最新调查数据显示,有56%的企业表示在过去一年内曾遭受过索软件攻击。其中,全球71%的网络安全专家更担心由COVID-19引发的勒索软件攻击。
“疯狂”速度增长的攻击规模和频率,加之甚至足以影响美国总统大选的惊人破坏力,使得勒索病毒已成为2020年几乎笼罩在全球企业、机构心头的一团“乌云”。全球知名安全公司Check Point研究指出,勒索软件是2020年给企业、机构造成损失最大的攻击手段。而相关数据披露,预计到2021年,全球由勒索软件攻击带来的损失将增至200亿美元。
在加速构建的数字化新场景下,面对更为瞄准企业或机构、技术手段越发成熟且多变、产业分工更精细的勒索病毒攻击,跳脱赎金“绑架”的有效防范与应对已成为各行业和领域的必答题。换言之,面对持续表现出旺盛活跃度且信用度不高的勒索病毒攻击团队,依赖赎金支付的修复策略已经失效,而防患未然的安全前置部署正显得更为重要,是最大限度规避攻击风险、降低攻击成本的有效路径。
不难看出,在安全前置部署中,2020年已发生的勒索软件攻击事件所呈现的“对手”轨迹将为企业和机构制定应对策略、占据攻防优势提供重要参考。“知己知彼”显然应为企业和机构实现有效防御的第一步。
1、特斯拉、波音、SpaceX供应商拒付赎金遭机密泄露
2020年3月,据外媒报道,因未收到勒索赎金,勒索软件DoppelPaymer在网上公开了SpaceX、特斯拉、波音等公司的机密信息,包括军事装备细节、账单和付款表格、供应商信息、数据分析报告、法律文书以及供应商保密协议等。据悉,这些机密信息皆来源于特斯拉、波音、SpaceX等行业巨头的零件供应商—Visser Precision。攻击者是通过先窃取数据后向其发送赎金消息,实施勒索攻击的。
2、日本汽车制造商本田全球网络遭勒索攻击,工厂被迫关闭两天生产
2020年6月,据外媒报道,日本汽车制造商本田全球网络因遭受勒索病毒攻击被迫关闭其位于美国、土耳其、印度和南美部分工厂,导致生产停顿、产量下降。据BBC报道,勒索软件迅速地扩散到了本田的整个网络系统,计算机服务器、电子邮件以及其他内网功能皆受到不同程度的影响。
3、阿根廷电信1.8万台计算机感染勒索软件,黑客要价750万美元
2020年7月,阿根廷电信公司遭到REVil勒索软件攻击,两日内造成约1.8万台计算机被感染。在本次攻击事件中,攻击者以公司网络访问权限的获取为跳板,实现利用其内部Domain Admin系统感染上万台计算机的。这一事件导致诸多网站陷入脱机转台,对阿根廷电信公司运营造成了严重影响。据了解,勒索软件团伙要价750万美元作为赎金,并声称三天内不支付则将翻倍。
4、佳明遭勒索软件重创:业务瘫痪产线停运,被勒索千万美元赎金
2020年7月,健身追踪器、智能手表和GPS产品制造商Garmin遭受了WastedLocker勒索软件的全面攻击,主要产品服务和网站均瘫痪,攻击者向Garmin索要高达1000万美元赎金以恢复数据和业务。其中,Garmin Connect网站和移动应用程序以及Garmin Pilot、Connext和FlyGarmin。Garmin Pilot等商用航空产品被迫关闭停运,影响全球大量用户。
5、佳能遭Maze勒索软件攻击,2.2GB美国公司数据被“撕票”泄露
2020年8月,著名数码摄像机厂商佳能(Canon)被曝遭受勒索攻击,影响电子邮件、微软团队、美国网站及其他内部应用程序。其中,佳能image.canon云照片和视频存储服务的可疑中断,导致其免费10GB存储功能的用户丢失数据。随后,Maze因未收到赎金,在暗网泄露了佳能大约2.2GB的美国公司数据,从而导致佳能部分内部系统中断。
6、首个国家机构被勒索?阿根廷移民局遭遇攻击中断服务4小时
2020年9月,阿根廷官方移民管理机构遭受Netwalker勒索软件攻击,直接造成边境入出境事务陷入瘫痪。据外媒报道,此次攻击导致边境过境点停摆四个小时,或将是首例针对联邦政府一级目标发起的已知攻击活动。攻击方向阿根廷政府开出了400万美元赎金的要价。
7、智利银行遭勒索软件攻击,被迫关闭所有分行
2020年9月,智利三大银行之一的国家银行(BancoEstado)遭到勒索软件攻击,被迫决定关闭所有分支机构。据称,发起该次攻击的是 REvil (Sodinokibi)勒索软件。其是借助一份恶意攻击邮件实现在银行网络安插后门,并以此跳板访问银行内网,实施勒索行动,加密了该行大部分内部服务和雇员工作站。
8、全球首例勒索软件致死事故:医院系统瘫痪导致抢救延误
2020年9月,德国杜塞尔多夫大学医院遭受勒索软件攻击,导致30多台内部服务器遭到感染。而一女性患者被迫须转移至距离30多公里以外的另一家医院接受救治。然而在转移途中,患者不幸身亡。此事件也被认为是首例因勒索攻击导致人员死亡案例,德国警方也将案件性质调升为谋杀案。
9、富士康工厂遭勒索攻击:上千台服务器被加密,索要3400万美元赎金
2020年11月,位于墨西哥的富士康工厂遭到了“DoppelPaymer”勒索软件的攻击,导致1200台服务器被加密。据悉,攻击者在对设备进行加密前已窃取了100GB的未加密文件(包括常规业务文档和报告),并删除了20-30 TB的备份。随后,攻击者发布了一个指向DoppelPaymer付款站点的链接,要求富士康支付1804.0955 比特币作为赎金(约3486.6万美元),否则将把盗取数据在暗网出售。
10、印度电商支付公司Paytm被勒索软件攻击,支付赎金仍被“撕票”
2020年12月,网络安全公司Cyble披露,印度电子商务支付系统和金融技术公司Paytm遭受了大规模的数据泄露,其电商网站Paytm Mall的中心数据库被入侵,黑客在向Paytm Mall索要赎金的同时,并未停止在黑客论坛上出售其数据。黑客是通过两个在线ID实施数据库无限制访问等攻击行为的,并向Paytm Mall开出了高达4233美元的赎金。
(注:上述事件为按发生时间先后排序,不作为事件影响力大小说明)
众所周知,勒索病毒实际上是一种通过劫持企业或个人数据文件和系统以索要赎金的恶意软件。其能通过电子邮件、远程桌面协议(RDP)网站木马、弹窗、可移动存储介质等载体,实现对用户文件、数据库、源代码等数据资产的加密劫持,从而以此为条件向用户索要赎金以换取解密密匙。
从最初的“艾滋病木马”(或PC Cyborg)软盘到2017年的WannaCry、NotPetya,勒索病毒攻击表现出的变种繁多且难以查杀、传染性极强且难以追踪等特点,使其以“势不可挡”之势在全球范围内“肆虐”。在2018年短暂“醉心”挖矿之后,受加密货币价值变化无常和企业级攻击利益攀升的双重影响,勒索软件携带着日趋成熟的手段革新和愈发隐蔽、复杂的“进化”能力,在后疫情时代开启了“重装上阵”的疯狂模式。
无论是从攻击频率、势头,还是在攻击技术和策略的复杂程度,以及引发的成本损益,“疯狂”模式下的勒索软件较之以往都表现出了持续“进化”后的新特征。企业及机构不得不认清一个事实:正如全球知名安全公司赛门铁克(Symantec)在最新报告中提及的,2021年针对性勒索软件仍是最大威胁。
从赎金换密钥到数据盗取,双重勒索渐成主流
特斯拉、波音、SpaceX供应商拒付赎金遭机密泄露、佳能勒索软件攻击者因未收到赎金公开泄露了2.2GB美国公司数据等事件的发生,都在指向勒索软件攻击策略的同一演进趋势,即“双重勒索”。
这一“业务创新”最早是由Maze勒索病毒团队在2019年率先实施,至今已为Sodinokibi、Lockbit等勒索团队所效仿。与传统基本信守支付赎金即提供解密密钥的策略不同,双重勒索采取先窃取政企机构敏感数据,再对企业资产进行加密的攻击路径。如若相关政企机构一旦拒绝缴纳赎金,攻击者将以在暗网公开部分数据威胁实施进一步勒索。若失败,则将直接公开所有窃取数据。
这一趋势似乎是攻击者对抗企业数据备份方案增多、避免勒索失败而进行的策略“进化”。在数字化加速推进的当下,这无疑将迫使政企机构面临更大的数据泄露压力。换言之,被攻击者不仅要面临数据泄露带来的经济损失,还需要承受赎金支付后数据仍被公开的不确定性,以及相关数据泄露法规的处罚和声誉影响。从暗网中持续增多的勒索攻击数据泄露网站上看,双重勒索正渐成为勒索软件攻击的新主流。
从个人到企业,目标精准的扩延“战术”
安全公司Malwarebytes 2019《勒索软件回顾》报告显示,2019年,针对企业的勒索软件攻击数量首次超过了针对消费者的数量,且与2018年第二季度相比,2019第二季度同比增长了363%。换句话说,勒索软件攻击已由最初面向个人消费者的“广撒网式”安全威胁,完成了向具有高度针对性和定向性的企业级安全威胁的演变。
据腾讯安全《2020上半年勒索病毒报告》分析,受企业级安全攻击高回报率的诱惑,越来越多的活跃勒索病毒团伙将高价值大型政企机构作为重点打击对象。勒索病毒产业链针对政企目标的精确打击、不断革新的加密技能、规模化的商业运作,正在世界范围内持续产生严重危害。腾讯安全专家分析发现,日本汽车制造商本田集团在今年6月遭受到的SNAKE勒索团伙攻击,就是勒索团队精准定向攻击演变趋势的一大例证。简言之,未来,政企机构将面临比个人更为严峻的勒索病毒攻击局势。
与此同时,从2020年勒索攻击事件辐射的范畴上看,当前勒索软件攻击显然已跳出了瞄准医疗行业的局限。费城天普大学研究团队通过针对全球关键基础设施的勒索软件攻击跟踪发现,近两年来,各行业遭受的勒索病毒攻击频次逐年上升。其中,仅2020年前8个月就有241起与关键基础设施相关的勒索软件攻击事件,涉及科技、航运交通、金融、商业、教育、政务等各个行业领域及其远程办公、在线业务等场景。以航运业为例,法国达飞公司一周之内连遭两次勒索攻击事件,再次佐证了勒索软件攻击广领域覆盖的发展趋势。
此外,工程师Hron在2019年6月通过修改固件,成功将一台智能咖啡机改造成了勒索软件机器等类似事件的发生,还映射出了勒索软件攻击的一大新发展方向。即伴随着物联网的普及应用,各类IoT设备或将为黑客实施勒索攻击提供新突破口和跳板。事实上,相关事实显示,早在2017年,就出现了首个针对联网设备的勒索软件攻击报告:55个交通摄像头感染了WannaCry勒索软件。换言之,新技术的应用普及也将衍生出更多的攻击变化。
赎金之外,持续攀升的攻击损失
联邦调查局(FBI)在RSA 2020会议上公布的最新统计数据显示,在过去6年中,勒索软件受害者已向攻击者支付了超过1.4亿美元的赎金。很显然,动辄成百上千万级美元的赎金是勒索软件攻击带来的最直接的损失。然而,伴随着“双重勒索”策略的常态化,在高额赎金带来的巨大经济损失之外,遭受攻击的企业及机构还将面临包括机会成本、产效降低、品牌和信誉损失、风险事故处理成本、内部士气损害等方面的损耗挑战。
一方面,勒索软件的攻击往往会造成政企机构的网络系统和资源陷入瘫痪、宕机。而由此引发的业务中断,势必给政企机构的产能和生产效率带来大幅削减、降低的影响。以丹麦航运公司马士基遭受NotPetya 勒索软件攻击为例,因勒索攻击暂时关闭了该公司的运营系统,导致其因运营中断遭受到了高达 30 亿美元的业务损失。
另一方面,随着勒索攻击加密性能、投毒方式、定向攻击、商业合作等技术和策略上的升级,相关政企机构还需要面临事故处理成本增加投入的问题。这一投入包括时间和人力上的双重挑战。McAfee最新调查报告《The Hidden Costs of Cybercrime》中支持,对于大多数组织来说,勒索攻击事件发生后,平均需要安排8个人,用时 19 个小时对IT系统或服务进行恢复补救。这显然不仅增加了被攻击方的风险处理成本,还或因外部援助和风险保险等方面需求的激增,衍生出新的成本增长点。
再者,从长远来看,勒索软件攻击带来的业务中断通常会使用户体验受到不同程度的影响,从而导致用户对企业及机构的品牌信任度和声誉存有质疑,同时还在一定程度上将对企业员工的士气造成负面影响。而这无形中也将增加被攻击企业或机构在品牌声誉和内部企业文化上的额外投入。Veritas Technologies的最新调查研究显示,44%的消费者表示会停止从遭受过勒索软件攻击的公司购买商品。
“赎金到底该不该付?”一直以来都是业内在应对勒索软件攻击时备受争议的问题。尽管在大多数企业机构看来,向勒索软件攻击团队支付赎金的行为一定程度上是对攻击行为的纵容,但仍有部分企业或机构基于数据价值和自我修复成本等的考虑,而选择与勒索软件攻击者达成妥协交易。
然而,类似印度电商支付公司Paytm在黑客支付赎金的同时,其数据仍被黑客“撕票”等事件的发生,加之美国财政部外国资产控制办公室(OFAC)“向勒索攻击者支付赎金将面临处罚”警告的发布,都在表明:试图通过支付赎金以换取解密密钥的危机处理策略因不确定的攀升和政策处罚的双重压力,正在失效。正如腾讯安全专家所言,面对愈见复杂的勒索软件攻击局势,防患未然是身处数字化大潮下的企业都必须重点考量的关键。
从业务角度优化防范决策
结合企业场景风险需求特点,从勒索病毒攻击即将对业务造成的损失量化出发,找准安全影响的重要节点,制定匹配业务连续性的安全决策,提升安全关键防御部署的准确性。简单来说,就是把每一分支出都花在“刀刃”上,获取最佳防范效果和回报率;
加固日常风险运维管理体系
首先应深入强化应对勒索软件攻击的内外渗透测试,提升风险防御机制灵活度和响应速度;其次,针对暴露于公网且预判易受攻击的系统、服务器和网络远程连接,启用高熵密码(消灭弱密码)和双因素身份验证(2FA),尽可能减少攻击渗透的突破口。针对远程连接场景,做好RDP协议防护,严格限制远程访问。对于存在弱口令的系统,需在加强使用者安全意识的前提下,督促其修改密码,或者使用安全策略来强制各节点使用复杂密码,避免遭遇弱口令爆破攻击。在一些关键服务上,加强口令强度,并使用加密传输方式;
而在内网,则须确保补丁更新的及时性,可考虑在网络边界、路由器、防火墙上设置严格的访问控制策略,并在全网安装专业的终端安全管理软件,由管理员批量杀毒和安装补丁,后续定期更新各类系统高危补丁。以保证网络的动态安全。并对数据库的管理访问节点地址进行严格限制,只允许特定管理主机IP进行远程登录数据库。
此外,业内专家还认为或可通过零信任安全的实践,通过其最小特权访问、微分离、持续验证、多因子身份认证以及异常行为识别的全面功能,实现对勒索软件攻击的阻断。
优化威胁态势监控机制
网络管理员、系统管理员、安全管理员应持续关注并掌握最新安全信息、安全动态及最新的严重漏洞,并将其结论成果转化至攻与防的循环和伴随每个主流操作系统、应用服务的生命周期中。与此同时,部署流量监控/阻断类设备/软件,便于事前发现、事中阻断和事后回溯。同时,与供应链伙伴形成信息共享互通,最大限度地掌握风险动态,达到提升威胁预警能力的目的。
提高员工安全意识
定期进行安全培训,以确保员工可以发现并避免潜在的网络钓鱼电子邮件。在腾讯安全专家看来,日常安全管理可遵循“三不三要”思路,即不上钩(标题吸引人的未知邮件不要点开)、不打开(不随便打开电子邮件附件)、不点击(不随意点击电子邮件中附带网址)、要备份(重要资料要备份)、要确认(开启电子邮件前确认发件人可信)、要更新(系统补丁/安全软件病毒库保持实时更新)。
强化安全灾备预案策略
数据备份被认为是当前企业机构防御勒索软件攻击的有效做法之一。因此,企业应当定期备份IT和OT网络系统相关数据,以便在发生灾难性故障时,能够及时恢复。对此,腾讯安全建议可按数据备份321原则进行安全灾备,即至少准备三份备份、两种不同备份介质和一份异地备份。
知名投资咨询公司 Cybersecurity Ventures预计,2021年企业每11秒将遭受一次勒索攻击。可以预见,数字经济新周期下,巨大的企业级利益正在诱发更为猖獗的勒索软件攻击。可以说,身处在产业数字化大潮中的每一个企业或机构都可能成为勒索软件的下一个攻击目标。做好前置安全部署以防患未然,显然是各企业与机构面对新威胁局势的重要计划。
附录:2020勒索病毒事件盘点
1月,德国自行车厂商Canyon 内部文件遭勒索加密,订单下达与交付被迫延迟
1月,美国大型国防承包商遭勒索软件攻击,截止3月仍未完全复工
2月,荷兰马斯特里赫特大学被勒索加密一周后,被迫妥协向黑客支付24万美元
2月,美国某天然气运营商遭勒索攻击被迫关闭两天
2月,美国警方遭勒索软件攻击,多起案件关键证据丢失,导致至少六名毒犯获自由
2月,财富500强公司EMCOR遭Ryuk勒索,造成业务停顿
3月,美国马萨诸塞州电力公司RMLD遭勒索攻击,近7万居民电费支付受影响
3月,特斯拉、波音、SpaceX供应商Visser Precision拒付勒索软件DoppelPaymer赎金遭机密泄露
4月,意大利电子邮件服务商Email.it遭黑客入侵,60万用户数据被挂暗网
4月和10月,欧洲能源巨头遭勒索,分别被索要1000万欧元和1400万美元赎金
4月,在线公司SBTech将投入3000万美元应对勒索软件攻击
5月,国际铁路车辆制造商Stadler遭勒索攻击,全集团皆受影响
5月,台湾两大炼油厂陷(CPC和FPCC)勒索软件攻击带来的加油站混乱
6月,美国核武器承包商Westech International遭Maze双重勒索攻击,大量敏感数据被窃取泄露
6月,NASA IT服务供应商Digital Management Inc.(DMI)遭勒索软件攻击,相关基础设施被攻陷
6月,日本汽车制造商本田全球网络遭勒索攻击,工厂被迫关闭两天生产
6月,美国佛罗伦萨市被勒索软件感染后,支付30万美元勒索赎金,以确保数据不被黑客泄露
7月,韩国LG集团疑被勒索软件攻击,75GB内部数据和40GB Python代码或泄露
7月,晶圆代工龙头X-FAB遭Maze勒索软件攻击,工厂停工波及中国
7月,云服务商Blackbaud被曝遭勒索软件攻击,已支付赎金
7月,阿根廷电信1.8万台计算机感染勒索软件,黑客要价750万美元
7月,佳明遭勒索软件重创:业务瘫痪产线停运,被勒索千万美元赎金
7月,闪存巨头SK Hynix遭Maze勒索软件攻击,不少于1.1TB数据被盗
8月,全球最大邮轮运营商嘉年华公司遭遇勒索软件攻击,部分系统被加密
8月,美国酒业巨头百富门遭Sodinokibi勒索软件窃取超1TB数据
8月,著名数码摄像机厂商佳能(Canon)遭到Maze勒索软件攻击,2.2GB数据惨遭“撕票”
9月,企业旅行社巨头CWT遭受Ragnar Locker勒索软件攻击,影响亚马逊、波士顿科学、Facebook、强生、SONOCO、雅诗兰黛等知名公司,或已支付450万美元赎金
9月,首个国家机构被勒索?阿根廷移民局遭遇攻击中断服务4小时,直接导致边境入出境事务陷入瘫痪,或成首个被勒索的国家机构
9月,智利银行遭到Evil (Sodinokibi)勒索软件攻击,导致所有分行被迫关闭
9月,数据中心巨头Equinix遭遇勒索攻击,被要求支付450万美元赎金解密
9月,全球首现勒索软件致死事故,德国杜塞尔多夫大学医院系统瘫痪导致抢救延误
10月,勒索软件攻击袭击了医疗软件公司eResearchTechnology(ERT),造成包括施贵宝、阿斯利康、辉瑞和强生等公司的新冠疫苗临床测试被勒索软件延误
10月,德国科技巨头Software AG遭勒索攻击,解密赎金2000万美元,创历史新高
10月,看门狗即将发布的游戏大作被勒索软件窃取源码
11月,台湾笔记本电脑制造商仁宝遭勒索攻击,,赎金高达1670万美元,或影响短期生产
11月,丹麦最大新闻机构遭勒索攻击,近三成服务器被加密
12月,勒索软件攻击导致温哥华公交系统瘫痪两天时间
12月,全球第三大飞机制造商Embraer遭勒索攻击,内部数据泄露
12月,富士康工厂遭勒索攻击:上千台服务器被加密,索要3400万美元赎金
12月,印度电商支付公司Paytm被勒索软件攻击,支付赎金仍被“撕票”
(以上仅为据媒体报道整理的重要盘点)