勒索攻擊已成為全球企業(yè)和組織面臨的嚴重威脅之一。不少企業(yè)因為勒索軟件攻擊付出了慘重的代價,不僅要支付贖金,還嚴重影響了企業(yè)業(yè)務(wù)和品牌價值。為了應(yīng)對日益嚴峻的勒索攻擊形勢,遏制勒索攻擊蔓延,美國一方面不斷打擊勒索軟件組織,另一方面加緊制裁加密貨幣交易所。2021年10月13日,美國邀請30多個國家舉行了線上反勒索聯(lián)盟會議,會后即向REvil勒索軟件開火。路透社10月21日報道稱,在美國聯(lián)邦調(diào)查局、美國特勤局、美國網(wǎng)絡(luò)司令部,以及其他國家相關(guān)組織的聯(lián)合打擊下,惡名遠揚的勒索軟件組織REvil已經(jīng)下線。這些行動激怒了其他勒索組織,另一著名勒索組織Groove發(fā)文呼吁共同聯(lián)合起來對抗美國,加大對美國公共設(shè)施的攻擊力度。
REvil被美國政府打垮
REvil是當前知名度最高的網(wǎng)絡(luò)勒索組織之一,今年7月,其利用IT服務(wù)軟件供應(yīng)商Kaseya的漏洞向托管服務(wù)商實施大范圍供應(yīng)鏈攻擊,導(dǎo)致購買IT托管服務(wù)的數(shù)千家美國企業(yè)的百萬臺生產(chǎn)設(shè)備被加密。
勒索事件發(fā)生后,REvil開出7000萬美元的天價贖金,雖然不久后將贖金下調(diào)至5000萬美元,但該攻擊仍被認為是迄今為止最大規(guī)模的網(wǎng)絡(luò)勒索事件,REvil名噪一時。據(jù)美國安全部門人士透露,REvil在其勒索組織威脅性名單上位居首位。
高調(diào)的行事風(fēng)格也使得REvil成為重點打擊對象,不久后美國就對其展開反制措施。今年7月13日,REvil的支付渠道和數(shù)據(jù)泄露站點首次失效,但兩個月后該網(wǎng)址又重新恢復(fù)訪問,新的REvil勒索軟件也再次出現(xiàn)在人們的視野中。
10月13日,面對日益猖獗的網(wǎng)絡(luò)勒索,美、法、德等30余個國家代表承諾將開展聯(lián)合行動打擊軟件勒索行為,而本次REvil在死灰復(fù)燃兩個月后再度被封,也被認為是打擊行動取得初步成效。此前,美國政府高層人士曾表示,勒索軟件對關(guān)鍵基礎(chǔ)設(shè)施的攻擊應(yīng)被視為與恐怖主義同等的國家安全問題。
有意思的是,“提前備份”一直被認為是免受勒索軟件攻擊的最佳方式,因為受害者如果可以從備份中恢復(fù)系統(tǒng),就不必向勒索組織付費來獲取解密密鑰。勒索軟件攻擊者也清楚備份的重要性,所以通常通過破壞受害者的備份,讓受害者無計可施乖乖交錢。而這一次,美國政府和合作伙伴以其人之道還治其人之身,破壞了REvil的備份,讓REvil這個偷襲者感受到了老巢被端的滋味。
美國此番拿下REvil勒索軟件組織,頗有些殺雞儆猴的意味。受此消息影響,其他勒索軟件組織人人自危。僅10月22日,各勒索軟件組織就轉(zhuǎn)移了大約107個比特幣。之所以確定是勒索軟件組織所為,是因為此次比特幣轉(zhuǎn)移是分割成小份進行的,而執(zhí)法機構(gòu)通常的做法是直接將比特幣轉(zhuǎn)移,一般不會進行分割。據(jù)區(qū)塊鏈公司Elliptic披露,曾策劃攻擊美國最大油氣管道運營商克洛尼爾公司而造成東海岸各州供油網(wǎng)絡(luò)被迫關(guān)閉的勒索集團Darkside,已通過小額轉(zhuǎn)換的方式轉(zhuǎn)移了其持有的700萬美元比特幣。
Groove呼吁“團結(jié)起來,共同對抗美國”
以攻擊美國醫(yī)院打響知名度的Conti勒索組織稱:“美國針對REvil服務(wù)器的攻擊行為提醒了我們一件顯而易見的事:美國在世界事務(wù)中不斷展開單邊、域外和強盜行為。美國的50個州有任何一條法律可以認定這次對REvil服務(wù)器的攻擊是合法的嗎?勒索軟件才是真正的受害者!猜猜有史以來最大的勒索軟件組織是誰?就是你們美國的聯(lián)邦政府!”
Groove勒索組織則發(fā)文呼吁,勒索軟件之間應(yīng)停止競爭,共同聯(lián)合起來對抗美國,加大對美國公共設(shè)施的攻擊力度。該勒索軟件組織在其用于泄密的網(wǎng)站上用俄語發(fā)布了一條這樣的消息:“在美國政府聯(lián)合其他國家對我們進行打擊的困難時期,我呼吁所有的合作伙伴停止競爭,團結(jié)起來共同攻擊美國公共部門,以此報復(fù)美國對勒索軟件組織的制裁。”該消息還稱,勒索軟件組織應(yīng)停止對俄羅斯等國家的攻擊,避免被全球所有的國家共同打擊,為勒索軟件組織保留一些安全的場所。
Groove組織發(fā)布消息呼吁報復(fù)美國
威懾攻擊者,遏制勒索軟件傳播
關(guān)閉僵尸網(wǎng)絡(luò)、追回勒索贖金、逮捕涉案黑客,美國采取多種方式追殺勒索軟件。
微軟關(guān)閉Trickbot僵尸網(wǎng)絡(luò)
Trickbot僵尸網(wǎng)絡(luò)提供惡意軟件即服務(wù)功能,成為部署各種勒索軟件,鎖定公司網(wǎng)絡(luò)上受感染系統(tǒng)的可靠工具。
去年10月,微軟公司接管Trickbot僵尸網(wǎng)絡(luò)后端的方式也頗為神奇,據(jù)美國媒體報道,微軟直接拿起了法律武器,指控Trickbot僵尸網(wǎng)絡(luò)濫用微軟商標,觸犯了商標法。
弗吉尼亞州的法院接受了該起訴,并授權(quán)微軟接管Trickbot僵尸網(wǎng)絡(luò)的網(wǎng)絡(luò)服務(wù)器控制權(quán)。然后微軟與安全網(wǎng)絡(luò)組織合作,破壞了Trickbot的后端基礎(chǔ)架構(gòu),Trickbot僵尸網(wǎng)絡(luò)的運營者將無法再發(fā)起新的網(wǎng)絡(luò)攻擊或者激活那些已經(jīng)入侵了企業(yè)網(wǎng)絡(luò)里的勒索軟件。這些安全組織包括著名的全球金融服務(wù)信息共享分析中心FS-ISAC、全球性的計算機安全軟件提供商ESET、網(wǎng)絡(luò)威脅研究實驗室Lumen's Black Lotus Labs、日本電報電話公司NTT、博通公司的網(wǎng)絡(luò)安全部門Symantec等。
在微軟的“商標行動”之前數(shù)日,美軍網(wǎng)絡(luò)司令部也針對Trickbot發(fā)起了一波攻擊,向所有受感染的Trickbot系統(tǒng)發(fā)送了一條指令,讓這些設(shè)備與Trickbot主控服務(wù)器斷開連接。美軍網(wǎng)絡(luò)司令部對Trickbot的攻擊持續(xù)了大約十天,期間還將數(shù)百萬條虛假的新受害者記錄填充到Trickbot數(shù)據(jù)庫中,以迷惑僵尸網(wǎng)絡(luò)的運營者。
微軟安全團隊關(guān)閉了全球128臺TrickBot基礎(chǔ)設(shè)施的服務(wù)器中的120臺。另外,在目前已經(jīng)確定的69臺主要 Trickbot服務(wù)器中,有62臺已經(jīng)被關(guān)閉。未能關(guān)閉的7臺服務(wù)器被描述為物聯(lián)網(wǎng)設(shè)備。這些系統(tǒng)無法立即關(guān)閉的原因是它們不在網(wǎng)絡(luò)托管公司和數(shù)據(jù)中心內(nèi),而且無法聯(lián)系到設(shè)備所有者。
美國司法部追回輸油管事件的勒索贖金
2021年5月初,黑客組織DarkSide入侵了美國科洛尼爾油氣管道運輸公司網(wǎng)絡(luò),并且成功索要到贖金。不過事件很快出現(xiàn)了大反轉(zhuǎn),美國司法部6月7日發(fā)布公告稱,調(diào)查人員追回科洛尼爾公司先前向黑客支付的總價大約230萬美元的比特幣。美國聯(lián)邦調(diào)查局獲取了解鎖一個比特幣錢包的私人密鑰。這個比特幣錢包接收了科洛尼爾公司支付的大部分贖金。根據(jù)美國司法部副部長麗莎·摩納哥(Lisa Monaco)介紹,聯(lián)邦調(diào)查局追回了63.7枚比特幣(總贖金約為75枚,占比85%)。
最令外界關(guān)注的是聯(lián)邦調(diào)查局如何獲得有關(guān)賬戶的密鑰。根據(jù)聯(lián)邦調(diào)查局的一份書面證詞,執(zhí)法人員使用了區(qū)塊鏈賬簿的實時監(jiān)控工具,追蹤比特幣的數(shù)筆交易,首先確認了DarkSide接收贖金的地址,隨后,聯(lián)邦調(diào)查局獲取了密鑰,直接從DarkSide的賬戶里轉(zhuǎn)走了63.7枚比特幣---有個細節(jié)是,這個賬戶里其實有69.6個比特幣,但聯(lián)邦調(diào)查局判斷與黑客贖金案相關(guān)的只有63.7個,因此只轉(zhuǎn)走了63.7個比特幣。
據(jù)悉,成功執(zhí)行此次追索任務(wù)的是美國司法部為打擊勒索軟件而新成立的特別隊伍---“勒索與數(shù)字敲詐工作組(RDETF)”。本次任務(wù)是這個新成立小組的首次行動。
這一行動說明,聯(lián)邦調(diào)查局可以通過搜查美國基礎(chǔ)設(shè)施的最底層信息,以及綜合利用美國各種IT服務(wù)供應(yīng)商的共享信息,來獲取全球任何一個組織的最隱私信息。
兩名REvil勒索軟件運營者在烏克蘭被捕
在一次國際聯(lián)合執(zhí)法行動之后,一個勒索軟件團伙的兩名成員在烏克蘭被捕。逮捕行動于2021年9月28日在烏克蘭首都基輔展開,由烏克蘭國家警察在法國憲兵隊、美國聯(lián)邦調(diào)查局、歐洲刑警組織和國際刑警組織的協(xié)助下實施。
根除勒索攻擊任重道遠
較早的主流勒索軟件是非定向傳播的,帶有數(shù)據(jù)加密和刪除功能的蠕蟲病毒依靠網(wǎng)絡(luò)或U盤大面積感染計算機,但勒索贖金額度較低。此后勒索攻擊與高級持續(xù)性威脅攻擊相結(jié)合,演化出針對高價值目標的定向勒索,并形成了勒索軟件即服務(wù)的作案模式:上游團伙編寫勒索軟件并提供設(shè)施,下游團伙則負責攻擊投放,上下游收益分成。黑客網(wǎng)絡(luò)由勒索軟件供應(yīng)商、贖金談判人員、攻擊執(zhí)行人員等組成。
美國聯(lián)邦調(diào)查局的官員今年7月曾表示,該機構(gòu)正在追蹤100多個活躍的勒索軟件團伙。但因為黑客往往來無影去無蹤,約有一半的案件都將無法找到確切歸屬。應(yīng)對勒索軟件威脅的關(guān)鍵是做好事前防御,政府應(yīng)引導(dǎo)關(guān)鍵基礎(chǔ)設(shè)施運營方進行有效防御能力建設(shè)。在國際層面,各國應(yīng)就打擊國際化網(wǎng)絡(luò)犯罪增強互信,加強應(yīng)急響應(yīng)協(xié)作和信息共享。