漫谈企业信息化安全 - 勒索软件攻击

一、引言

首先，网络攻击是一个非常广泛的话题，网络攻击从一般分类上包含了恶意软件攻击、钓鱼攻击、拒绝服务攻击（DoS/DDoS）、中间人攻击、SQL注入、跨站脚本、0-Day攻击、供应链攻击、密码攻击等等，勒索软件攻击只是其中的一种类型。本文的主题是从勒索软件攻击说起，是因为在整个勒索软件攻击的工程中，涉及了企业信息安全建设里的多个环节，这里的每个环节可能是黑客的突破口，只有知己知彼，才能在企业信息安全建设上筑起牢固的防护墙。

那么黑客发起网络攻击的目的是什么呢？黑客可能是出于财务利益、间谍活动、破坏等等目的，发起网络攻击。今年来，随着虚拟化货币的盛行，让勒索软件攻击变得更为猖獗。

很多人说我们这么小的企业，黑客根本看不上，这是错误的观点。事实上，黑客实施的是一种无差别攻击，发起攻击的边际成本非常低，收益非常高。我们平时听到的勒索软件攻击都是大型攻击，这其实是一种幸存者偏差，小的案子无从被注意到而已。可是这些小的案子对于当事人来讲，也有可能是毁灭性的。

二、什么是勒索软件攻击

勒索软件是一种恶意软件，它会锁定受害者的数据或设备，并威胁受害者，使其保持锁定状态（或更糟糕的状态），并要求受害者向攻击者支付赎金。根据 IBM Security X-Force Threat Intelligence Index 2023，勒索软件攻击占 2022 年网络攻击总数的 17%。

最早的勒索软件攻击只是要求通过支付赎金换取重新访问受影响数据或使用受感染设备所需的加密密钥。通过定期或连续进行数据备份，组织可以限制此类勒索软件攻击的成本，并且通常可以避免支付赎金要求的情况。

但近年来，勒索软件攻击已经演变为包括双重勒索和三重勒索攻击，这使受害者面临的风险大幅增加 — 即使对于严格维护数据备份或支付初始赎金要求的受害者也是如此。双重勒索攻击增加了受害者面临数据被窃取并将其泄露到网上的威胁；除此之外，三重勒索攻击还威胁受害者要使用窃取的数据来攻击受害者的客户或业务合作伙伴。

勒索软件受害者和谈判者不愿透露赎金金额。然而，根据 勒索软件权威指南，赎金要求已增至七位数和八位数金额。赎金只是勒索软件感染总成本的一部分。根据 IBM 的《2022 年数据泄露成本报告》，勒索软件攻击造成的数据泄露的平均成本（不包括赎金）为 454 万美元。预计到 2023 年，勒索软件攻击将给受害者造成总体约 300 亿美元的损失。

三、勒索软件攻击案例

在网上搜索一下，我们能找到很多勒索软件攻击的案例，这里罗列了几个：

1. DarkSide 黑客组织对美国输油管道公司 Colonial Pipeline 的攻击

殖民地管道公司在5月初得知，它已成为勒索软件攻击的受害者，迅速中断了美国东南部大片地区的燃料供应，并可能蔓延到纽约以北。 殖民地管道勒索软件攻击 ，到目前为止，是2021年最受瞩目的攻击。 这也难怪--我们是一个机动车社会，而美国人需要他们的燃料。 殖民地公司提供东海岸50%的燃料。

此次攻击尤为危险的原因是消费者的反应。人们陷入恐慌，大量抢购燃油。而且，有些人把燃油存放在塑料箱、塑料袋等不安全的容器中，容易引起火灾。

依据相关报道，此次攻击采取的方法极为简单，这让人非常震惊。Colonial 没有采取适当的安全措施，例如多因素身份验证（MFA）。黑客只需尝试不同的密码就能非常轻松地进入该公司的 VPN。

国家重要基础设施如此轻易便被入侵，这让黑客组织备受鼓舞。相信他们在2022年也能毫不费力地摧毁其他关键基础设施。

已支付赎金：440万美元

2. REvil 黑客组织对 JBS USA 的攻击

今年5月下旬，全球最大的牛肉供应商 JBS 遭到 REvil 勒索软件组织的攻击。此次攻击导致 JBS 美国分部不得不彻底停止运营。JBS USA 是牛肉供应链的源头，此次攻击对牛肉供应链造成破坏，中断了美国许多商店的牛肉供应。

此次 REvil-JBS 事件凸显了美国食品供应链在遭受影响广泛、极具破坏性的攻击时的脆弱性。不难看出，受到政府支持、协调统一地同时攻击多家大型食品供应商可能会在全国引发大规模食品短缺。

虽然 JBS 表示其“强大的 IT 系统和加密备份服务器”有助于确保快速恢复系统，但仅凭这些措施似乎并不足以恢复系统。6月下旬，有消息称 JBS 实际上已支付巨额赎金，以避免公司、客户和员工数据受到损害。

已支付赎金：1100万美元

3. 不明黑客组织对美国 Buffalo 公立学校的勒索软件攻击

今年3月12日，不明勒索软件黑客组织攻击了美国纽约 Buffalo 公立学校的系统。该系统目前为34,000名学生提供服务。虽然该校负责人对此次攻击的影响不以为然，但经调查发现，已丢失的记录包括数十年的教学资料、学生档案以及大约5,000份9月份的入学申请。此外，根据 WGRZ 就此次攻击发布的详细信息和一段视频，法律、会计等对该地区运作至关重要的系统已瘫痪。

这起事件表明，美国许多学校都面临着各种令人不安的情况。学校在 IT 安全性方面人手不足，尤其是网络安全方面。截至2021年8月，一半以上的网络攻击均以学校为攻击目标。

已支付赎金：不详

4. Evil Corp 黑客组织对 CNA Financial 的攻击

3月21日，美国最大的保险公司之一CNA金融公司遭到勒索软件的攻击，导致网络严重中断。 六个星期后，该公司的网络仍然没有完全运行，尽管 公司高管在一份声明中声称，它立即采取了"，主动切断了[其]系统" 与CNA网络的连接。

这一事件最令人不安的是，CNA拥有比大多数组织更复杂的安全环境。 然而，他们还是被黑了。 具有讽刺意味的是，该公司提供网络保险。 该事件还揭示了一个日益增长的威胁状况--远程访问操作。 在这个案例中，黑客加密了15000台设备，包括许多远程员工的电脑。

我们不能100%确定邪恶集团是这次攻击的幕后黑手。 然而，黑客使用了名为Phoenix Locker的恶意软件，这是邪恶集团的勒索软件，名为'哈迪斯'。 总部设在俄罗斯的Evil Corp不受美国的制裁，CNA表示，黑客不受美国的制裁。

已支付赎金：4000万美元

5. Wizard Spider 黑客组织对爱尔兰卫生服务行政部门（HSE）的攻击

今年5月14日，为避免恶意软件的传播，爱尔兰政府运营的公共卫生服务卫生系统不得不关闭所有 IT 系统。不幸的是，勒索软件攻击期间，恶意软件已经渗入部分网络。直到6月30日，HSE 的在线医疗卡注册系统才得以恢复。

黑客访问了患者和员工信息，HSE 的100,000名员工和数百万患者的数据遭到泄露。重要的是，病例、笔记和治疗记录似乎都包括在受损数据中。根据 HSE 发布的声明，这些黑客是俄国人，他们把部分受损数据公布在“暗网”上，人们正在受到此次攻击的影响。在7月份的网络安全事件更新中，HSE 表示医疗服务仍然受到此次攻击的严重影响。

毋庸置疑，卫生系统数据泄露对社会的影响非常重大，无论是在信息泄露方面还是公众心理方面。不怀好意的外国团伙对自己的病例了如指掌，还将其公之于众，谁愿意相信？

尽管此次攻击造成影响非常严重，但 HSE 表示不会支付任何赎金。

四、勒索软件攻击途径

勒索软件攻击有很多途径，下面是一些常见的途径，我在每种途径中添加了在后续文章中，我们会具体展开的一些主题作为参考：

1. 钓鱼邮件：攻击者通过伪装成合法机构发送带有恶意附件或链接的电子邮件，诱骗受害者点击，从而下载并安装勒索软件。（后续相关主题：安全培训、安全互联网访问）

2. 恶意广告：攻击者在合法网站上投放带有恶意代码的广告，用户点击后可能会被重定向到恶意网站，从而感染勒索软件。（后续相关主题：安全互联网访问）

3. 漏洞利用：攻击者利用系统或软件中的已知漏洞，未经用户许可直接在系统上执行恶意代码，安装勒索软件。（后续相关主题：终端管理）

4. 社会工程学攻击：攻击者利用心理操控技术，诱骗用户执行某些操作（如下载文件或访问恶意网站），导致勒索软件的感染。（后续相关主题：安全互联网访问、终端管理）

5. 不安全的远程桌面协议 (RDP)：攻击者通过扫描开放的RDP端口，使用暴力破解等手段获得访问权限，然后手动在系统上安装勒索软件。（后续相关主题：特权访问、零信任、）

6. 软件捆绑：攻击者将勒索软件捆绑在合法软件或应用程序中，当用户下载和安装这些软件时，勒索软件也随之安装。（后续相关主题：安全互联网访问、终端管理）

7. 供应链攻击：攻击者通过侵入开发者的环境或利用分发渠道，将恶意软件注入到软件产品中，使得下游用户在不知情的情况下受到感染。（后续相关主题：终端管理）

8. USB设备和其他外部介质：攻击者将勒索软件放在USB驱动器或其他外部存储设备上，当用户将这些设备连接到计算机时，勒索软件会自动运行并感染系统。（后续相关主题：终端管理）