揭示勒索软件的威胁“新套路”

最近，美国软件公司Casia受到了ransomware的攻击，其800到1500名客户受到了影响。今年以来，全球范围内的勒索软件攻击愈演愈烈，给经济和社会生活造成严重损失，已成为网络安全的主流威胁之一。

从20世纪80年代末开始出现的勒索软件攻击，其攻击方式不断演变，呈现出新的特点和趋势，包括瞄准更多的高价值目标，扩大负面影响，逐渐形成网络犯罪的“产业链”，采取越来越多的双重勒索策略。

锁定高价目标

最近几个月，世界各地发生了许多重大的勒索软件攻击。这些勒索软件攻击有一定的相似性。他们都以高价值的关键资产为目标，发起有针对性的攻击。索要的赎金数额巨大，造成了广泛的负面影响。

5月初，美国科罗内尔管道运输公司遭到勒索软件攻击，一条输油干线被迫停运数日，导致美国多个州和地区面临燃油供应危机。联邦调查局称，幕后有一个名为“黑暗面”的网络犯罪团伙。为了尽快恢复系统，Colonier向黑客支付了价值近500万美元的比特币赎金。部分赎金后来被美国司法部追回。

5月中旬，爱尔兰卫生服务执行委员会的网络系统遭到黑客攻击，使全国许多医院的电子信息系统无法访问。爱尔兰公共支出和改革部政府电子政务国务部长莪相史密斯说，对卫生服务执行委员会网络系统的攻击可能是该国迄今遭受的最严重的网络攻击。攻击者是一个来自国外的网络犯罪团伙，其目的是为了钱。

5月底，世界肉类加工巨头JBS遭到黑客攻击，其在北美和澳洲的信息系统遭到黑客攻击，部分工厂瘫痪。一个名为“邪恶”的黑客组织被指控为幕后黑手。该公司美国分公司发表声明，确认已向黑客支付了相当于1100万美元的赎金，以结束对该公司业务的攻击。

新被攻击的卡西亚公司是一家为IT外包公司提供软件的企业。该公司Fred Vuokkola对媒体表示，多达1500家客户企业受到影响，很难准确估计这些客户企业对下游用户的影响。英国牛津大学网络安全教授夏兰马丁认为，这种“供应链攻击”针对的是服务于数千家下游企业的公司，受害企业总数可能巨大。

美国媒体声称，此次攻击还与一个“邪恶”的黑客团伙有关，该团伙在其黑暗网站上提出，Casia可以用7000万美元的加密货币赎金换取一个通用解密器来消除故障。目前，该公司拒绝透露是否打算与黑客谈判或支付赎金。

随着实体经济信息化程度的不断提高，出现了针对高价值目标的针对性攻击。据中国科技集团首席技术架构师肖介绍，早期的勒索软件主要是非定向传播的，具有数据加密和删除功能的蠕虫，依靠网络或u盘大面积感染电脑，赎金数额较低。此后，勒索攻击与高级持续威胁攻击相结合，演变成针对高价值目标的定向勒索。

勒索模式演变

网络敲诈事件高发、威胁升级的一个重要原因是网络犯罪生态系统的形成和发展。据美国媒体报道，勒索软件攻击已经演变为“高度合作的行业”，由勒索软件供应商、赎金谈判者、攻击执行者和电话运营商组成。肖介绍，在网上敲诈勒索的“产业链”中，一般是上游团伙编写勒索软件并提供攻击设施，而下游团伙则负责实施攻击，并与上下游“平分”赎金。

据媒体报道，“邪恶”和“黑暗面”都采用“勒索软件即服务”的犯罪模式。他们向其附属团体提供赎金和相关设施，并从其附属团体收到的赎金中提取资金。加密追踪公司Eliptik UK的联合创始人汤姆罗宾逊(Tom Robinson)表示，从美国政府缴获的比特币中，我们可以看到“阴暗面”与其合作伙伴之间的份额比例。

在攻击模式上，上述两个黑客团伙采用了逐渐成为主流趋势的“双重勒索”策略：黑客先窃取受害者系统中存储的敏感信息，然后对这些敏感数据进行加密，并索要密钥赎金；勒索者还制造了额外的威胁：如果目标拒绝支付赎金，他们将在网上公布被盗数据。这意味着受害者可能会被迫支付赎金，无论他们是否提前备份了数据。

中国瑞星公司6月发布的《瑞星防勒索指南》显示，这种“复合敲诈”使受害企业面临隐私数据泄露、相关法律法规、财务损害、声誉受损等多重风险。

由于网络敲诈是跨国、跨境犯罪，在网络空间难以追踪，取证和执法面临诸多挑战。欧洲刑警组织去年10月发布的报告建议，为更有效应对网络犯罪挑战，应通过公共部门与私人合作伙伴之间的协调与合作，加强信息共享，提升防范意识和防御能力建设，同时多边合作机制应继续在打击网络犯罪中发挥关键作用。