2022年3月8日，美國(guó)聯(lián)邦調(diào)查局（FBI）、網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）聯(lián)合發(fā)布警告稱，Ragnar Locker勒索軟件正大規(guī)模入侵美國(guó)關(guān)鍵基礎(chǔ)設(shè)施。截至2022年1月，聯(lián)邦調(diào)查局已在10個(gè)受該勒索軟件影響的關(guān)鍵基礎(chǔ)設(shè)施部門確定了至少52個(gè)實(shí)體，包括關(guān)鍵制造業(yè)、能源、金融服務(wù)、政府和信息技術(shù)部門的實(shí)體。該事件攻擊者的攻擊特點(diǎn)是什么，勒索軟件在重拳打擊之下為何依然活躍，為什么關(guān)鍵基礎(chǔ)設(shè)施容易“失守”，可以采取哪些措施予以有效防范，這些勢(shì)必引起深思。

　　一

　　Ragnar Locker勒索軟件的新動(dòng)作

　　Ragnar Locker勒索軟件是Ragnarok勒索團(tuán)伙運(yùn)營(yíng)的勒索病毒，于2019年12月底首次被發(fā)現(xiàn)。2020年6月，該團(tuán)伙與臭名昭著的迷宮 （Maze） 勒索軟件團(tuán)伙合作，分享彼此專業(yè)知識(shí)，提升攻擊技術(shù)水平。作為近兩年崛起的勒索軟件，至少有44個(gè)組織/企業(yè)被Ragnar Locker采用“雙重勒索”模式進(jìn)行攻擊，以下為部分典型攻擊案例：

　?。?）2020年4月，歐洲能源巨頭—葡萄牙跨國(guó)能源公司EDP遭攻擊，被索要1580的比特幣贖金（折合約1090萬(wàn)美元）。幕后黑手聲稱已經(jīng)獲取了10TB的敏感文件，如果不支付贖金，將公開(kāi)泄露這些數(shù)據(jù)。

　　（2）2020年11月，意大利白酒巨頭—Campari Group遭攻擊，2TB未加密文件被盜（包含銀行對(duì)賬單、文件、合約等），勒索團(tuán)伙并十分囂張地通過(guò)投放臉書(shū)廣告公然要求支付高達(dá)1500萬(wàn)美元的贖金。

　?。?）2020年12月，日本視頻游戲巨頭—Capcom遭攻擊，并竊取了Capcom存儲(chǔ)在日本、加拿大與美國(guó)子公司網(wǎng)絡(luò)上多達(dá)1TB的機(jī)密情報(bào)，涵蓋390,000名客戶、業(yè)務(wù)合作伙伴和其他外部方的個(gè)人數(shù)據(jù)。

　　（4）2021年5月，全球第二大電腦內(nèi)存制造商—臺(tái)灣的ADATA（威剛）遭攻擊，并對(duì)外聲稱，在部署勒索軟件Payload之前就已經(jīng)成功地從威剛公司的網(wǎng)絡(luò)系統(tǒng)中竊取了1.5TB的敏感數(shù)據(jù)。此外，該團(tuán)伙對(duì)外發(fā)布了被盜文件和文件夾的部分截圖，并繼續(xù)威脅稱，如果拒絕支付贖金，將泄露其余敏感數(shù)據(jù)。

　　有報(bào)道稱，2021年8月Ragnarok勒索軟件團(tuán)伙宣布解散，并免費(fèi)發(fā)布解密密鑰。目前尚不清楚 Ragnarok 決定退出的原因，或許是迫于美國(guó)政府越來(lái)越大的壓力，采取了類似的自毀策略。但是，2022年，該團(tuán)伙又浮出水面，而這一次的攻擊目標(biāo)轉(zhuǎn)向美國(guó)關(guān)鍵基礎(chǔ)設(shè)施。

　　二

　　Ragnar Locker勒索軟件的攻擊特點(diǎn)

　?。ㄒ唬┚哂懈叨柔槍?duì)性

　　據(jù)美國(guó)聯(lián)邦調(diào)查局報(bào)道，Ragnar Locker自2019年首次被發(fā)現(xiàn)后，于2020年上半年開(kāi)始頻繁攻擊全球大型知名企業(yè)/組織，具有高度針對(duì)性，每個(gè)樣本都是針對(duì)目標(biāo)組織量身定制。而且該勒索組織的終止托管服務(wù)提供商（MSP）使用遠(yuǎn)程管理軟件，包括ConnectWise、Kaseya，遠(yuǎn)程管理受感染的企業(yè)，利于躲避系統(tǒng)檢測(cè)，確保遠(yuǎn)程登錄的管理員不會(huì)干擾或阻止勒索軟件部署過(guò)程。

　　（二）使用虛擬機(jī)對(duì)計(jì)算機(jī)進(jìn)行加密

　　從虛擬機(jī)內(nèi)部對(duì)計(jì)算機(jī)進(jìn)行加密，也是該勒索軟件特有的技術(shù)。Ragnar Locker使用VMProtect、UPX和自定義打包算法，并在目標(biāo)站點(diǎn)上攻擊者的自定義Windows XP虛擬機(jī)中部署。首先會(huì)檢查當(dāng)前的感染情況，以防止對(duì)數(shù)據(jù)進(jìn)行多次轉(zhuǎn)換加密，從而可能破壞數(shù)據(jù)。并迭代所有正在運(yùn)行的服務(wù)，并終止托管服務(wù)提供商通常用于遠(yuǎn)程管理網(wǎng)絡(luò)的服務(wù)。然后，嘗試以靜默方式刪除所有卷影副本，從而阻止用戶恢復(fù)加密文件。最后，會(huì)加密所有感興趣的可用文件，不選擇要加密的文件，而是選擇不加密的文件夾。以讓計(jì)算機(jī)繼續(xù)“正?！边\(yùn)行，同時(shí)惡意軟件會(huì)對(duì)包含對(duì)受害者有價(jià)值數(shù)據(jù)的已知和未知擴(kuò)展名的文件進(jìn)行加密。

　?。ㄈ├@開(kāi)獨(dú)聯(lián)體國(guó)家

　　據(jù)美國(guó)聯(lián)邦調(diào)查局報(bào)道，Ragnarok勒索團(tuán)伙專注于地理定位。該團(tuán)伙使用Windows API GetLocaleInfoW識(shí)別受感染計(jì)算機(jī)的位置。如果受害者的位置被確定為阿塞拜疆、亞美尼亞、白俄羅斯、哈薩克斯坦、吉爾吉斯斯坦、摩爾達(dá)維亞、塔吉克斯坦、俄羅斯、土庫(kù)曼斯坦、烏茲別克斯坦、烏克蘭或格魯吉亞這些獨(dú)聯(lián)體國(guó)家，那么勒索軟件感染的進(jìn)程自動(dòng)終止。究其原因，是因?yàn)镽agnar Locker會(huì)針對(duì)獨(dú)聯(lián)體國(guó)家，在勒索軟件中嵌入一些Unicode形式的自定義語(yǔ)言字符串。依據(jù)Windows中選擇的語(yǔ)言判斷所在國(guó)家，防止特定國(guó)家的用戶感染勒索軟件，當(dāng)然，并非所有這些國(guó)家的人都會(huì)在Windows中使用獨(dú)聯(lián)體國(guó)家的語(yǔ)言，也可能使用英語(yǔ)，如果選擇其他語(yǔ)言作為默認(rèn)語(yǔ)言，則無(wú)法避免被感染。

　?。ㄋ模┎扇　半p重勒索”策略

　　Ragnarok勒索團(tuán)伙于2020年年底開(kāi)始效仿迷宮 （Maze）組織，正式將“雙重勒索”策略加入其運(yùn)營(yíng)模式，從Ragnar Locker典型攻擊案例中也可見(jiàn)一斑。雙重勒索是勒索軟件自然演進(jìn)的結(jié)果，該勒索策略先利用惡意軟件盜取數(shù)據(jù)，然后再使用勒索病毒對(duì)獲取的數(shù)據(jù)進(jìn)行復(fù)雜加密，如果受害者不在指定的期限內(nèi)繳納贖金，就會(huì)選擇撕票——直接將盜取數(shù)據(jù)公之于眾。這無(wú)疑讓受害者承受更大的數(shù)據(jù)泄露壓力，同時(shí)使得受害者被迫支付贖金的可能性大幅提高。

　　三

　　幾點(diǎn)認(rèn)識(shí)

　?。ㄒ唬┩ㄟ^(guò)虛擬機(jī)實(shí)現(xiàn)從幕后發(fā)動(dòng)網(wǎng)絡(luò)攻擊的新水平

　　Ragnar Locker勒索軟件采用了一種新的攻擊技術(shù)，將惡意代碼隱藏在Windows XP虛擬機(jī)中，加密主機(jī)文件，或者竊取用戶重要數(shù)據(jù)，不但可肆意運(yùn)行，還很難被端點(diǎn)的安全軟件檢測(cè)或阻止，這是一個(gè)創(chuàng)新的伎倆。雖然這種攻擊方式相對(duì)傳統(tǒng)方式來(lái)說(shuō)需要消耗更多的網(wǎng)絡(luò)資源、存儲(chǔ)資源和計(jì)算資源，但隨著當(dāng)前計(jì)算機(jī)硬件性能的快速提升以及各種輕量級(jí)虛擬化技術(shù)出現(xiàn)，給這種攻擊方式帶來(lái)了可行性和可操作性。由此可見(jiàn)，勒索軟件內(nèi)部技術(shù)的不斷迭代，越來(lái)越多的躲避檢測(cè)和查殺的高級(jí)技術(shù)的出現(xiàn)，促使勒索能力不斷升級(jí)，破解難度越來(lái)越大，這些新技術(shù)的更迭讓勒索軟件“如虎添翼”，試圖以更隱蔽的形式發(fā)動(dòng)更猛烈的攻勢(shì)，以獲取更大的利益，這也不難理解為何勒索軟件在重拳打擊之下依然存在并非?；钴S。

　?。ǘ┟闇?zhǔn)關(guān)鍵基礎(chǔ)設(shè)施，實(shí)現(xiàn)低成本高收益的攻擊目的

　　當(dāng)今，頂級(jí)和高技能的勒索團(tuán)伙不再不分青紅皂白地以大量小規(guī)模受害者為目標(biāo)，而是向制造業(yè)、金融、醫(yī)療、能源等關(guān)鍵基礎(chǔ)設(shè)施行業(yè)不斷擴(kuò)展蔓延，已成為全球網(wǎng)絡(luò)安全的新挑戰(zhàn)。瞄準(zhǔn)高價(jià)值目標(biāo)，一方面是這些企業(yè)數(shù)據(jù)一旦被泄露或損毀，將造成無(wú)法挽回的損失，可造成大面積的社會(huì)影響；另一方面受害者還擔(dān)心其敏感數(shù)據(jù)被暴露將面臨自身聲譽(yù)受損的風(fēng)險(xiǎn)。以此為基礎(chǔ)，勒索團(tuán)伙可以提出相當(dāng)夸張的贖金要求，正如Ragnar Locker勒索軟件一度曾從受害目標(biāo)那索要上千萬(wàn)美元的贖金。索取高額贖金的同時(shí)，勒索組織付出的成本卻非常低。統(tǒng)計(jì)數(shù)據(jù)表明，針對(duì)關(guān)鍵基礎(chǔ)設(shè)施目標(biāo)的勒索軟件攻擊所需的費(fèi)用僅僅為1000美元或更少。而且隨著在暗網(wǎng)上出售的Netwalker等現(xiàn)成的勒索軟件工具的普及，較低的技術(shù)門檻進(jìn)一步促使對(duì)關(guān)鍵基礎(chǔ)設(shè)施目標(biāo)的攻擊變得越來(lái)越頻繁。低成本和高回報(bào)率是勒索軟件實(shí)施攻擊的最大動(dòng)力，這將吸引越來(lái)越多的數(shù)字贖金“游戲”的掠奪者蜂擁而至，同時(shí)暗網(wǎng)、虛擬貨幣等技術(shù)趨于成熟，更加助推勒索軟件攻擊大面積爆發(fā)。

　　（三）美國(guó)采取集中、綜合的措施應(yīng)對(duì)勒索軟件威脅

　　在全球范圍內(nèi)，據(jù)估計(jì)每11秒就會(huì)發(fā)生一次勒索軟件攻擊，僅2021年贖金損失就達(dá)到200億美元。對(duì)勒索團(tuán)伙來(lái)說(shuō)，贖金已成為一種很有吸引力的網(wǎng)絡(luò)武器，是對(duì)行業(yè)和個(gè)人最具破壞性的網(wǎng)絡(luò)攻擊之一。因此，如何防范和應(yīng)對(duì)勒索攻擊成為各國(guó)亟需解決的問(wèn)題，美國(guó)、英國(guó)、澳大利亞、韓國(guó)都先后出臺(tái)了相關(guān)政策法規(guī)予以防范和打擊。以美國(guó)為例，拜登政府強(qiáng)調(diào)集中、綜合措施的重要性。重點(diǎn)從四方面入手：一是破壞勒索軟件基礎(chǔ)設(shè)施和參與者。美國(guó)政府正在充分發(fā)揮政府的能力，以破壞勒索軟件參與者、協(xié)助者、網(wǎng)絡(luò)和金融基礎(chǔ)設(shè)施；二是增強(qiáng)抵御勒索軟件攻擊的彈性。政府宣布了鼓勵(lì)彈性的具體措施，包括為關(guān)鍵基礎(chǔ)設(shè)施管理人員舉行的機(jī)密威脅簡(jiǎn)報(bào)會(huì)以及工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全倡議等。政府呼吁擁有和運(yùn)營(yíng)美國(guó)大部分關(guān)鍵基礎(chǔ)設(shè)施的私營(yíng)部門對(duì)其網(wǎng)絡(luò)防御進(jìn)行現(xiàn)代化改造，以應(yīng)對(duì)勒索軟件的威脅；三是打擊濫用虛擬貨幣進(jìn)行贖金支付的問(wèn)題。美國(guó)認(rèn)為虛擬貨幣應(yīng)受到與法定貨幣相同的反洗錢和反恐怖主義融資控制，而且必須強(qiáng)制執(zhí)行這些控制和法律；四是利用國(guó)際合作破壞勒索軟件生態(tài)系統(tǒng)并解決勒索軟件罪犯的安全港問(wèn)題。美國(guó)正與國(guó)際合作伙伴合作，破壞勒索軟件網(wǎng)絡(luò)，提高合作伙伴在本國(guó)境內(nèi)偵查和應(yīng)對(duì)此類活動(dòng)的能力，包括對(duì)允許罪犯在其管轄范圍內(nèi)活動(dòng)的國(guó)家施加壓力并追究其責(zé)任。