黑客網絡勒索犯罪悄然升級

文/高榮偉

所謂網絡勒索，其實質是一種網絡犯罪活動，網絡勒索者通過勒索軟件對企業造成攻擊事實或攻擊威脅，然后向企業提出金錢要求以避免或停止受到攻擊行為。勒索軟件，又稱勒索病毒，是一種惡意軟件，其工作方式基本與計算機病毒類似。不過，與一般的計算機病毒不同的是，它通常不會直接破壞數據，而是將數據進行加密鎖定，然后要求被勒索者支付贖金，否則不予解密或者威脅將數據公開或者銷毀。

一場新的勒索行動正在實施

最近幾個月，黑客對美國公司進行了一系列網絡攻擊，其中包括沿東海岸運輸燃料的科洛尼爾公司和全球最大肉食品加工商JBS。

2021年5月，一個名為DarkSide的黑客團伙侵入美國最大的燃料管道運營商科洛尼爾公司。據悉，在這次網絡攻擊中，黑客通過安裝勒索軟件，控制了該公司的計算機系統或數據系統，并要求公司支付大筆贖金才能重新獲得訪問權限。當時，約有近100GB的數據被劫持。這次網絡攻擊的直接后果是讓美國東部沿海各州供油的關鍵燃油網絡被迫關閉，導致部分地區出現燃油供應短缺。不僅如此，美國燃油價格也隨之飆升創下新高。

不久，一場新的勒索行動又悄悄接近了毫無防備的中小企業。當地時間7月2日，美國邁阿密一家IT軟件管理公司Kaseya遭到一個勒索軟件的攻擊。據當地媒體報道，該黑客組織利用Kaseya與客戶、其客戶的客戶的聯系發起了超大規模網攻，致使全球數百家科技公司的計算機癱瘓，導致全球多達4萬臺電腦被感染。

從以往經驗來看，勒索軟件攻擊的目標主要包括超市、學校、旅游部門及信貸聯盟，還有一些會計機構等。此前，據《華盛頓郵報》報道，當地時間6月1日，全球最大肉類加工商JBS也遭遇了這伙黑客攻擊，導致其在美牛肉加工廠全部關停。事件發生后，JBS乖乖向黑客團伙支付了 1100 萬美元的比特幣。

對此，FBI勸阻受害者不要付款，因為根據今年的一份報告，92%付款的組織無法恢復所有數據，大多數付款的受害者只能部分恢復其加密文件的內容。

瑞典多家IT服務供應商受影響

此次美國IT軟件管理公司遭到勒索軟件的攻擊，致使全球數百家企業和機構受到影響，其中包括瑞典的一家連鎖超市Coop。7月3日，Coop發布聲明稱，因為“超市收銀機受到勒索軟件攻擊”，無法接受顧客付款。Coop表示，其已經暫時關閉了全國各地約800家商店。

與此同時，瑞典國家鐵路服務部門和另一家連鎖藥店也遭到了黑客的攻擊。目前瑞典已經確認受威脅的IT服務供應商達到20家，它們旗下的客戶則超過了1000家。“毫無疑問，這次攻擊非常危險，相關機構必須提高防范意識。”瑞典國防部長彼得·赫爾奎斯特在接受采訪時如是說。

經過反復比對，很快，瑞典受害者之間的共同點被確認：它們都使用了美國公司Kaseya旗下一款名為VSA的產品，而黑客正是對這一工具推送了惡意更新，進而加密了其眾多客戶的文件。值得注意的是，Kaseya主要為大型IT服務供應商提供服務，這些供應商又為更多的中小企業提供外包式服務：使用其工具的客戶通常為規模太小或資源有限而無法擁有自己的技術部門的公司，Kaseya提供的IT工具可以幫助這些小公司處理后臺工作。

網絡勒索者通過勒索軟件對企業進行攻擊（圖/視覺中國）

瑞典檢方經過調查，認為這起惡性事件的策劃者正是臭名昭著的勒索團伙REvil。據悉，該團伙是世界上規模最大的網絡勒索團伙之一。根據粗略估計，其背后的黑客在全球已經勒索超過1億美元，短短數月內令數百家企業陷入癱瘓。根據已經掌握的案例，勒索團伙REvil攻擊手段一直處于不斷變化之中。最早他們使用暴力破解，隨后進化到釣魚郵件、僵尸網絡分發和高危漏洞攻擊。最近一次，他們就利用了Microsoft Exchange的漏洞進行襲擊，成功竊取了計算機巨頭的內部數據。

事實已經很清楚，此次黑客“攻擊風暴”的核心正是總部位于美國佛羅里達州的技術公司Kaseya，而使用這一技術工具的企業因為黑客攻擊而癱瘓。據《華爾街日報》報道，當這些企業的工作人員點擊“待更新”后，他們沒有獲得 Kaseya 的最新更新，而是收到了REvil的勒索軟件。據了解，REvil最初是通過其系統中一個未知的漏洞——被稱為“零日”（0-day）去攻破的。據說，發現此類漏洞時，軟件制造商只有0日時間來修復它，所以被稱為“零日”。網絡犯罪分子在專家們修復漏洞之前，可以利用該漏洞對網絡系統實施嚴重破壞。VSA軟件中存在大量0-day漏洞，這些漏洞成為部署勒索軟件的渠道。然后，他們使用勒索軟件鎖定數據，攻擊者通過 HTTP訪問連接到主機，并手動注入惡意軟件。“我們隨時準備進行談判。”黑客早些時候告訴路透社。對此，網絡安全專家表示，“這個團伙也比較‘好商量，在與談判專家協商后，他們通常會大幅度降低贖金”。

勒索軟件，又稱勒索病毒，是一種惡意軟件，其工作方式基本與計算機病毒類似。不過，與一般的計算機病毒不同的是，它通常不會直接破壞數據，而是將數據進行加密鎖定，然后要求被勒索者支付贖金。

網絡勒索犯罪悄然升級

作為此次黑客攻擊的“第一目標”，IT服務商Kaseya發布聲明稱，已經主動關閉了該公司的SaaS服務器，同時提醒接收到黑客信息時不要點擊任何鏈接。7月4日，幕后的黑客向Kaseya索要7000萬美元贖金。

毫無疑問，如果Kaseya答應了勒索者的要求，那么這將成為全球范圍內金額最大的網絡勒索案件。不過，目前該公司還未公開聲明是否考慮向REvil支付贖金，或許它是在等待來自政府或者相關產業鏈公司的解救。當地媒體報道，就在這場攻擊發生后不久，美國總統拜登下令對這次勒索軟件的幕后黑手進行調查，并且視情況給予受害者援助。

有專家表示，網絡勒索者為了索取贖金，一般會采用以下幾種手段：加密數據勒索、鎖定系統勒索、威脅恐嚇勒索和數據泄漏勒索。其中，加密數據勒索是勒索犯罪最常采用的手段，勒索者加密用戶系統內重要的數據和文檔，如果沒有攻擊者的私鑰，用戶就無法解密被鎖定的文件。然而，令不少人感到困惑的是，美國是互聯網的發祥地之一，網絡安全產業早已成熟，為何在這種情況下，仍然會有黑客乘虛而入？

答案出在安全成本上。從結果來看，多年來發生的一系列惡性攻擊事件，并沒有觸動這些企業主。從此前《華爾街日報》對389家制造業企業的調查來看，只有不到三分之二的企業有屬于自己的網絡安全項目，而更多企業“不計劃在未來一年內對安全領域實施改進”，這些改進包括網絡保險、員工網絡安全培訓、制定突發網安事件響應計劃等。說到底，企業主不愿把錢花在安全上。

對于制造業而言，解決網絡安全問題往往需要付出巨大的成本，因為這需要他們讓設備離線以更新安全系統，而系統脫機維護很有可能導致舊系統出現問題，甚至可能導致永久性故障。畢竟，很多制造商的設備在設計之初是以效率及合規為優先，而不是安全。對于目前眾多的互聯網中小企業來說，專門設置一個安全團隊同樣成本過高，致使他們難以承受這筆花銷，更重要的是，這些投進去的錢難以為其創造收益。如此一來，企業主的顧慮讓網絡勒索更加泛濫。“或許，只有在一個網絡攻擊無孔不入，人人自危的環境中，這些企業主才會把信息安全提上議事日程吧。”一位從業者如此感嘆道。專業人士表示，這次襲擊也標志著勒索軟件團伙犯罪手法悄然升級。有媒體評論稱，不管這次勒索事件的后續如何，REvil的攻擊手段無疑又得到了進一步的“磨煉”。

編輯：薛華? icexue0321@163.com