近日,數據丟失泄露事件頻發。微盟的一名員工僅憑一己之力刪除自家公司數據庫,使得市值累計蒸發超 30 億港元,即使工程師們經過了 7 天 7 夜的奮戰,數據全面找回,但微盟依舊面臨著 1.5 億元人民幣賠付。此外,美國 AI 創業公司 Clearview AI 也被曝出泄露客戶超過 30 億人臉數據的丑聞,遭科技巨頭聯合“封殺”。這一切給企業敲響了一個警鐘——“數據安全大于天”。
與此同時,與數據安全息息相關,曾在 2017 年爆發的網絡病毒——勒索軟件近期似乎有卷土重來之勢。
勒索軟件再作妖
特斯拉和 SpaceX 的零部件制造商 Visser 證實數據遭到泄露
Techcrunch3 月 2 日發文稱,Visser Precision 公司在一份簡短聲明中證實,其公司最近成為一起網絡安全犯罪事件的目標,被竊取數據。安全研究人員稱,這次攻擊是由 DoppelPaymer 勒索軟件引起的,DoppelPaymer 是一種新的文件加密惡意軟件,會威脅泄露公司的數據。該勒索軟件黑客威脅說,如果不支付贖金,將公布被盜文件。DoupelPaymer 勒索軟件自去年年中以來一直活躍,智利政府和墨西哥國有石油公司 Pemex 皆淪為其受害者。
Visser 遭竊取的文件包括客戶名單,這些客戶包括特斯拉、SpaceX、飛機制造商波音和國防承包商 Lockheed Martin。其中部分文件可供下載,有的還包括了 Visser 與特斯拉和 SpaceX 之間的保密協議。托管被盜文件的網站稱還有“很多”文件要發布。
Visser 的一位發言人稱,公司會繼續對這次攻擊進行調查,目前各項業務運作正常。
截止目前,特斯拉、SpaceX、波音等公司尚未對該事件作出回應。
總部位于科羅拉多州丹佛市的 Visser Precision 制造商為包括汽車和航空業在內的許多行業制造定制精密零件,服務范圍廣泛,其中還包括安全防御,該公司官網的標語是“Visser 在網絡安全的前沿上孜孜不倦地奮斗著”。但即使這樣,卻也遭受到了讓人防不勝防的網絡安全事件。
勒索軟件攻擊致美國電話銷售公司裁員近 300 人
總部位于美國阿肯色州的 The Heritage,是一家有 61 年歷史的電話銷售公司,因未能從勒索軟件感染中恢復過來,而導致其在 2019 年圣誕節前幾天解雇了近 300 名員工。
公司首席執行官 Sandra Franecke 在給員工的致歉信中表示,兩個月前,公司服務器遭到黑客的攻擊,黑客要求支付贖金才能解鎖系統。盡管已向攻擊者支付了贖金,但卻嚴重影響了公司的財政情況。公司已無法再支付工資,因此首席執行官決定讓所有人離開,并表示,公司 IT 部門會繼續工作以盡力恢復公司系統。員工可在 2020 年 1 月 2 日聯系公司了解系統恢復情況,確定是否能重獲工作。
而等到那日,員工致電公司得到的回復是:IT 系統的恢復工作尚未成功,員工可以去找新工作了。
據統計,The Heritage 公司前后共損失了數十萬美元。
被裁員工們十分不滿,他們事先對公司遭受黑客攻擊毫不知情,卻突然被裁,感覺莫名其妙。對此,公司回應稱,之所以做出如此突然的通知,是因為沒有意識到,此次攻擊會引起如此嚴重的后果!
受害者遠不止這些……
和 The Heritage 一樣,不少企業或醫療機構不堪勒索軟件帶來的重大損失,被迫關門。
2019 年 4 月,因遭遇勒索軟件攻擊,電子病歷系統被破壞,美國密歇根州一家醫療診所的醫生決定永久停業,并提前一年退休。同樣,位于加州的另一家醫療辦公室遭遇勒索軟件攻擊,患者個人醫療信息被加密,且缺乏資金用來支付贖金,因此關門。
法國媒體集團 M6 的天氣頻道和航運服務公司皮特尼鮑斯公司,也被擊中了。2019 年夏天,佛羅里達的兩個小城鎮花了 110 萬美元來解鎖他們的數據。
2019 年 12 月,安全服務運營商 Allied Universal 同樣收到勒索軟件 DoppelPaymer 的威脅, 因其拒絕支付 230 萬美金的贖金,員工和業務相關的敏感信息被公布。
2019 年 12 月 31 日,黑客對外匯公司 Travelex 網絡也發起了攻擊,導致該公司被迫關閉了 30 個國家的網站,以遏制“病毒傳播并保護數據”。該黑客團伙要求 Travelex 支付 600 萬美元贖金。Travelex 不愿透露是否支付了數百萬美元的贖金,但這家全球外匯兌換商網站目前仍處于癱瘓狀態。
據外媒消息,一份專業報告稱,勒索軟件威脅已經達到美國的危機級別,2019 年勒索軟件已經造成 75 億美元的損失,而且這種情況預計還會繼續惡化。各國政府面臨著由黑客公開的敏感信息或機密信息這一非常真實的問題。
而今年 2 月底,聯邦調查局(FBI)在全球網絡信息安全行業最受關注的年度盛會 RSA2020 上亮相,并發布了一個統計數據:勒索軟件受害者在過去 6 年中已向攻擊者支付了超過 1.4 億美元。該機構通過分析比特幣錢包和贖金來得出這個數字,而實際贖金數額可能更高,因為他們沒有辦法獲取到完整的數據。
勒索軟件“病毒”在 2017 年的“輝煌”
已知最早的勒索軟件出現于 1989 年,名為“艾滋病信息木馬”,但勒索軟件被大眾所知是在 2017 年 5 月,那時勒索軟件 WannaCry 席卷全球,最開始只是影響了英國國家衛生系統(NHS),但這很快演變成了一場大規模的全球性事件。
在攻擊發生最開始的十幾個小時,全球共有 74 個國家至少 4.5 萬臺電腦中招。攻擊第一天,全球有 99 個國家和地區出現感染報告。據統計,WannaCry 勒索病毒全球大爆發,至少 150 個國家、30 萬名用戶中招,造成損失高達 80 億美元。此次攻擊的規模被歐洲刑警組織稱為史無前例,是迄今為止造成后果最為嚴重的勒索軟件攻擊事件。
援引卡巴斯基實驗室的數據,受害最嚴重的四個國家和地區是俄羅斯,烏克蘭,印度和臺灣。而眾多大公司和機構也難以在攻擊中幸免,包括英國國家衛生系統(NHS)、德國聯邦鐵路公司、聯邦快遞、俄羅斯聯邦內務部、雷諾、西班牙電信、中石油等大公司和政府部門都赫然在列。
在這個名單中,最大的受害者是英國國家衛生系統旗下的公立醫院。在最初的攻擊中,共有 48 家醫院遭受重創。盡管在網絡安全人員的努力下大部分被攻擊的醫院很快恢復正常工作,然而依然造成了大量手術的取消與病例的丟失。
勒索軟件病毒五花八門,還會變種。有媒體列出勒索軟件 2017“十宗罪”:除了 WannaCry,還有 NotPetya(勒索蠕蟲病毒)、Bad Rabbit(壞兔子”)、GIBON、Sage、Matrix、Tyran、Locky 新型變種、FakeCry 和 Miner,這些勒索軟件在全球范圍內,對政府、教育、醫院、能源、通信、制造業等眾多關鍵信息基礎設施領域都造成了前所未有的重大損失。
據卡巴斯基安全報告,2017 年檢測到現有勒索軟件和新的變種數量約為 96000,2016 年這一數字是 54000。
另據卡巴斯基實驗室(Kaspersky Lab)的年度 IT 安全調查報告顯示,2017 年遭遇勒索攻擊的企業中,65%企業稱失去了大量甚至所有的數據;而 29%的企業表示他們能夠解密數據,但大量的文件遭遇了毀滅性的破壞。
《2017 年度網絡空間安全報告》指出,全球約 6300 個平臺提供勒索軟件交易,勒索軟件在 2016-2017 年期間的銷售量增長了約 2502%,惡意分子傾向于加密被感染設備的數據,向受害者勒索加密貨幣(以比特幣為主)。
面對防不勝防的勒索病毒,企業和政府必須做好準備
知己知彼,方能百戰不殆。
勒索軟件(ransomware)是電腦病毒中的一種,以勒索受害者作為最終目的。這種病毒在感染主機以后,會加密電腦中的文件,只有擁有相對應的解密密鑰才能解密,在勒索者發出密鑰解密之前,任何人都無法恢復。之后便會要求受害者交出一筆不菲的贖金,用來換取密鑰恢復文件。
贖金形式包括真實貨幣、比特幣或其它虛擬貨幣,而自 2017 勒索病毒爆發以來,黑客唯獨選擇比特幣作為支付贖金的方式,這與比特幣的屬性分不開。比特幣有一定的匿名性,便于隱藏身份;其次它不受地域限制,可以全球范圍收款;同時比特幣還有“去中心化”的特點,可以讓黑客通過程序自動處理受害者贖金,讓監管者很難追查。
不得不說, 比特幣的出現在無形中也助長了勒索病毒的傳播和發展。
一般來說,勒索軟件作者還會設定一個支付時限,有時贖金數目也會隨著時間的推移而上漲。有時,即使用戶支付了贖金,最終也還是無法正常使用系統,無法還原被加密的文件。
根據全球著名安全公司賽門鐵克統計,勒索病毒幾乎可以感染任何文件類型,并采用了 RSA-2048 進行加密,因而,直至量子計算機使用之前,幾乎不存在人類發明的實用方法,可解密被感染的文件。所以,幾乎可以認為,唯一有效解密文件的方法,只有交贖金聯系勒索者這一條路了。
勒索軟件以其簡單、可擴展且低風險的特征,成為干凈利落的網絡犯罪工具。
值得提醒的是,投放勒索軟件的并非都是黑客,很可能只是像你我一樣的普通大眾。網絡安全公司 Flashpoint 的情報總監 Christopher Elisan 提醒,一個不懂黑客技術的普通人只要購買勒索軟件,也能創辦一家洗劫軟件公司。
2017 年 WannaCry 威風過后,黑客們發現,真正中勒索病毒后支付贖金的人往往是極少數,因此黑客們調整方向,逐漸轉向攻擊那些防御措施有限,但被勒索后會造成重大影響而不得不支付贖金才能恢復業務的定向目標,中小企業則成為這些攻擊者的重點。有統計顯示,雖然 2019 年勒索軟件整體攻擊下降 20%,但針對中小企業的攻擊卻增加了 12%。
中小企業被“盯”上,和其本身特點是分不開的。中小企業在網絡安全投入上往往不如大型企業,對網絡安全事件存在僥幸心理,而且中小企業一旦遭到破壞會造成不可挽回的損失,中“病毒”后只能乖乖支付贖金。
除中小企業,政府和醫院的敏感數據也是黑客們眼中的“熱饃饃”。美國過去一年中,黑客襲擊巴爾的摩、新奧爾良政府,以及一大批較小的城市,摧毀了城市電子郵件服務器和數據、警察事故報告系統,甚至 911 調度中心。聯邦調查局網絡部門的一位科長 HerbStapleton 說:“勒索軟件最初是針對個人的。后來,它開始瞄準那些沒有強大互聯網安全保護的小公司,現在它們的目標已經演變成了規模更大的公司和市政機構。”
勒索軟件的破壞性可謂兇猛,而對數據依賴性越來越強烈的當下,保護數據尤其重要,企業和政府必須做好準備。
外媒通過視頻采訪了一位曾經的黑客,他給出的建議是:提高對網絡安全基本的常識。
FBI 特工 Joel DeCapua 在 RSA2020 稱,Windows 遠程桌面協議(RDP)是攻擊者用來訪問受害者計算機的最常用方法,受害者占比高達 70-80%。鑒于此,FBI 建議企業或機構使用網絡級身份驗證(NLA)來提供額外的保護,技術人員還建議在其 RDP 帳戶上使用復雜的密碼并盡快檢查更新,安裝應用程序和操作系統最新版本。RSA2020 會上,FBI 還強調了識別網絡釣魚網站并確保有數據備份的重要性,以防止成為勒索軟件攻擊的受害者。