勒索軟件猖獗：“網絡恐怖主義”再進化

freelee

“艾滋病木馬”（AIDS Trojan）

以“艾滋病木馬”（AIDS Trojan）的出現為起點，勒索軟件在網絡世界肆虐了超過30年。隨著人類社會逐漸進入“萬物互聯”時代，勒索軟件越來越無孔不入、危害范圍也越來越大。

2021年5月7日發生的科洛尼爾管道運輸公司被勒索事件，釀成了軟件勒索史上前所未有的社會負面影響。因受到勒索軟件攻擊，科洛尼爾將關鍵系統下線，輸油管道不得不暫停工作。

美國政府隨即宣布17個州和華盛頓特區進入緊急狀態。當地一度出現民眾搶購燃油的情況，造成局部地區出現燃油供應短缺。

科洛尼爾已于當地時間5月12日重啟管道，但似乎勒索始作俑者組織Dark Side才是勝利者。網絡安全公司LIFARS的首席執行官翁德雷·克熱赫爾聲稱，科洛尼爾向勒索方支付了當時價值500萬美元的比特幣贖金。

資料價更高

約瑟夫·波普32年前編寫了“艾滋病木馬”，被視為勒索軟件的開端。“艾滋病木馬”會隱藏受感染機器的文件，要求用戶向個人計算機電子人公司（PC Cyborg）支付189美元，才能獲得恢復顯示文件的軟件。

在電子貨幣尚未誕生的年代，波普等勒索者只能通過傳統的銀行賬戶收取贖金。執法部門加以追查，就能揪出幕后黑手。但電子貨幣誕生后，情況有了變化。尤其是加密貨幣，擁有不記名、難溯源的特點，被21世紀的勒索者青睞。常見的勒索場景，大概是黑客要求用戶支付和比特幣價值相等的美元，或指定數量的比特幣。

除了支付手段“升級”，黑客的勒索方案也在升級。數年前的案例中，一般勒索軟件鎖定用戶設備后，會彈窗提示“文件已被加密”。支付贖金后，用戶將獲得解鎖工具。

美國最大的燃油管道運營商科洛尼爾管道運輸公司被勒索，該事件嚴重影響美國東岸的燃料供給

而現在的勒索軟件采用“雙重威脅”，用戶不但無法訪問自己的文件，而且文件被備份到黑客擁有的服務器上。假如用戶不在指定時間內支付贖金，服務器將自動在網絡上公開文件，造成用戶的敏感信息泄露。

如此手段自然令受害者又恨又怕。個人文件資料被鎖，用戶尚且可以一咬牙放棄資料，不向勒索者低頭。但企業用戶的資料關乎自身的正常運行，無法獲取將影響運營：輕則企業郵箱、辦公室自動化系統等無法登錄，造成工作流程受阻;重則核心數據丟失，企業“命脈”被掐斷。資料公開則具有更大破壞力，倘若企業的商業機密被公開，它的競爭優勢可能會完全喪失。

所以大多數案例中，企業不得不就范支付贖金。例如貨幣兌換公司通濟隆（Travelex）2019年底遭遇文件加密攻擊，據稱向黑客組織支付了230萬美元;2020年6月，加利福尼亞大學舊金山分校醫學院使用的服務器被黑客加密，幾經談判后贖金從300萬美元降至114萬美元。

付還是不付贖金？

“付不付贖金，這是個問題。”有企業或機構不向黑客妥協，而情愿承受更大的損失。2020年2月，丹麥設施管理公司ISS World被勒索軟件攻擊，數十萬員工無法訪問內部系統和郵箱。ISS World選擇與數據公司、安全公司合作，自行修復系統，耗時超過十個月，預算最高達7500萬美元。

疫情期間，工人不得不遠程辦公，系統也不得不頻繁接入外界網絡，令黑客獲得可乘之機。

而2020年贖金要求最高的勒索軟件事件，是富士康一家墨西哥工廠被攻擊，勒索金額為1804.0955個比特幣（時值約3470萬美元）。可見黑客會拿捏企業心理，贖金開價比自行恢復數據的預算低，以求企業衡量利益后就范。

勒索軟件Petya界面

WannaCr y界面

2019年底，貨幣兌換公司通濟隆（Travelex）遭遇文件加密攻擊，據稱向黑客組織支付了230萬美元

安全專家自然不主張受害者投降，因為這勢必助長黑客氣焰。有的情況下，用戶即使支付贖金但文件依然無法解鎖，最終資料和金錢“雙失”。而即使獲得解鎖工具，事情也未必會完全結束，有可能黑客在系統中仍然留著侵入的“后門”。

又或者，正如恩姆斯軟件公司的網絡威脅專家布雷特·卡洛回顧通濟隆事件時所指出的，敏感信息始終在黑客之手：“支付贖金的話，文件可能得以恢復，但企業只能相信犯罪分子會刪除備份數據的承諾。然而犯罪分子通過勒索得益，憑什么相信他們會刪除文件呢？”黑客完全可能將敏感資料—例如企業客戶個人信息賣給暗網的商家，借機再賺一筆。

兩害相權應取其輕，但有時孰重孰輕實在不易衡量。2020年11月，知名游戲公司卡普空大約1TB資料被盜取，黑客勒索1100萬美元贖金。卡普空無視黑客聲明，結果卡普空未來數年的游戲開發計劃都被泄露。但是最終，卡普空似乎沒有受到太大傷害，其5月發售的《生化危機：村莊》銷量已突破300萬份，更顯得卡普空目前形勢一片大好。

別的勒索軟件受害方卻沒有卡普空“瀟灑”，例如美國兩大城市亞特蘭大與巴爾的摩。亞特蘭大是最早受到勒索軟件攻擊的美國大城市，2018年3月中招，數據庫、無線網絡等均告失陷，黑客勒索金額約合5.1萬美元。

2019年亞特蘭大也爆發了勒索事件，勒索金額約合7.6萬美元。但最終兩地政府均拒絕黑客要求，最終數據恢復成本以及其他工作延誤損失高達千萬美元級別。在客戶面前，兩大城市的“脊梁”似乎挺得很直，但以數百倍損失為代價與黑客戰斗，卻又難免聽上去太過“血流成河”。

黑客“廣撒網”斂財有術

勒索軟件戰爭由黑客發起，維護網絡安全的一方處于被動位置，總是落于下風。在日常交手中，維護方只能根據勒索軟件的特點、手段，來提示廣大用戶提高防范意識。

早期的勒索軟件通常以“釣魚”方式入侵系統，例如引誘用戶打開電子郵件的附件，或者點擊網站上的陷阱鏈接。“Petya”和“WannaCry”等軟件就屬于這種類別。維護方給出的相應建議，就是用戶不要輕信陌生郵件和不可靠網站。

而2018年誕生的“SamSam”則以暴力破解密碼作為攻擊手段。一旦系統加密方式落后或者使用弱密碼，就容易被軟件擊穿。攻擊亞特蘭大的兇手正是“SamSam”，亞特蘭大部分政府系統老舊未升級，成為黑客攻擊得手的突破口。維護方的建議則是，保持系統升級以及設置高強度密碼。

但實際上，黑客以“廣撒網”形式攻擊，總能找到自投羅網的人或者明顯的漏洞。“WannaCry”的基本勒索金額“僅為”300美元，但估算造成的損失超過40億美元。感染大量普通用戶，是黑客斂財的關鍵。

居家辦公為入侵提供便利

2020年暴發的新冠肺炎疫情，令網絡安全形勢更加復雜。卡普空聲稱，黑客攻擊的漏洞來自一臺老舊的虛擬專用網裝置。2020年10月，卡普空發現裝置出現未授權的活動。雖然卡普空馬上部署升級計劃，但因為疫情時期在家辦公情況頻繁，卡普空網絡要承受巨大流量，出現未授權活動的裝置也被留下來作為備用，最終為黑客留下方便之門。

科幻游戲《看門狗》中，每一個聯網設備都是黑客入侵的工

科洛尼爾事件同樣跟疫情有關。網絡安全公司Secure Anchor的創始人埃里克·科爾分析，疫情暴發前，科洛尼爾的工人主要通過工廠內的系統管理各種工作。這套系統與外界網絡交流較少，被攻擊風險較低。疫情期間，工人不得不遠程辦公，系統也不得不頻繁接入外界網絡，令黑客獲得可乘之機。

安全專家擔心，萬物互聯互通的概念下，侵略渠道無處不在。正如科幻游戲《看門狗》（Watch Dogs）系列所描述的場景一樣：從傳統的個人電腦到手機，從新概念的無人機到新能源汽車，從小巧的耳機到攝像頭，從大型的電子閘門到城市電網……每一個聯網設備都是黑客掌控賽博世界、干擾現實世界的工具。

按照克熱赫爾的說法，科洛尼爾事件的結局耐人尋味—500萬美元贖金“不高”：“對于這樣體量的企業來說，贖金往往在2500萬到3500萬美元之間。”克熱赫爾猜測，是燃油停運引發的社會混亂和美國政府的高度介入，令黑客有所忌憚。

然而誰又知道，未來會不會有更膽大妄為的組織，其目的不在于“求財”，而在于炮制駭人聽聞的反社會事件呢？當這類組織誕生時，人類社會大概要開始與“網絡恐怖主義”刺刀見紅。