文 | 华北电力大学 李建彬 李智勇 刘雨杉
近年来,勒索软件攻击日益全球化,许多国家的政府、金融、教育、医疗、制造、交通、能源等均受到影响。勒索软件攻击的重点逐步转向关键信息基础设施和数字资产等核心要素,给国家安全、企业权益、个人隐私等带来极大的威胁。同时,人工智能和网络攻防技术的发展为勒索软件攻击融入了新元素,使得勒索软件攻击更加高速化、规模化、智能化和多样化。
一、勒索软件原理与分类
勒索软件是一种恶意软件或网络钓鱼攻击软件,通过加密用户文件的方式使用户文件无法正常使用,并以此为条件向用户勒索钱财。通过对勒索软件原理的介绍,从传播途径、实现方式、目标等方面对勒索软件进行分类,可以较为清晰地掌握勒索软件的攻击途径及实现方法。
(一)勒索软件原理勒索软件的主要原理是攻击用户的计算机或设备,获取相关权限,采用加密算法加密用户文件,以阻止用户访问这些文件。用户一旦感染,就无法正常打开和使用这些文件,同时,病毒会在屏幕上显示警告信息,要求用户支付赎金以解锁文件。
传播方式。勒索软件的传播方式包括网页木马传播、与其他恶意软件捆绑发布、电子邮件附件传播以及借助可移动存储介质传播等。
表现形式。用户遭到勒索软件攻击后,通常会有如下表现形式:计算机或移动终端屏幕被锁定,令用户感到恐慌,屏幕弹出支付赎金的提示消息等。
勒索模式。通过影响系统正常使用迫使用户付款,恐吓用户诱骗其付款,或绑架用户数据迫使用户付款。
工作流程。一是尝试,利用网络漏洞攻击目标;二是传播,攻击者在网络内部署恶意软件,进行横向传播;三是扫描,识别要加密的文件并窃取重要数据;四是潜伏,若未发现重要数据,则进入静默状态;五是加密,启动加密过程,包括本地数据和备份数据;六是勒索,向用户的设备发送警告信息,说明支付赎金的金额和细节。
(二)勒索软件分类勒索软件不仅通过加密文件或锁定系统来威胁用户,还利用社会工程学手段,如伪造执法机构身份或声称检测到恶意软件来恐吓用户支付赎金。根据勒索软件对用户系统设备采取的措施,可分为以下四类。
一是加密数据勒索。这类勒索软件通过加密用户的重要文件和数据,如文档、图片、视频等,要求用户支付赎金以获取解密密钥。加密数据勒索的传播方式、表现形式以及勒索模式与典型勒索软件一致,其工作流程也是常见的六个步骤。WannaCry、CryptoLocker 等属于此类勒索软件。
二是锁定系统勒索。与加密数据勒索不同,这类勒索软件不加密用户的文件,而是通过修改系统配置或文件,使得用户无法正常使用设备,从而迫使用户支付赎金以解锁系统。锁定系统勒索在传播方式和表现形式方面与典型的勒索软件一致,但在勒索方式和工作流程方面具有独特性,NotPetya 就是一种典型的锁定用户设备的勒索软件。
三是威胁恐吓勒索。这类勒索软件通常伪装成防病毒软件或执法机构,谎称在用户的系统中发现病毒或违法活动,诱骗用户支付所谓罚款或解密费用。威胁恐吓勒索虽然具备部分诈骗软件的特征,但在传播方式、表现形式以及勒索模式上仍属于勒索软件的范畴,FakeAV 和 Reveton 等软件即通过恐吓用户实施勒索。
四是数据泄漏勒索。这是一类变种的勒索软件,它通过威胁用户“泄漏敏感信息”来迫使用户支付赎金,以防止损害进一步扩大。从传播方式、表现形式、勒索模式以及工作流程等方面来看,它都具有典型的勒索软件特征。该类型的勒索软件主要通过获取用户敏感数据而不是加密用户数据来进行威胁,以获取经济利益。
二、勒索软件攻击事件及原因分析
在讲述了勒索软件的原理和分类的基础上,需要了解勒索软件攻击的历史与发展以及当前的攻击现状。通过分析勒索软件攻击的快速发展、强大破坏力和巨大危害性,进一步探讨勒索软件攻击产生及泛滥的因素。
(一)勒索软件攻击历史与发展
1. 勒索软件攻击起源较早,功能相对单一1989 年,首个知名的勒索软件 AIDSTrojan 诞生。这种病毒在感染主机后,会加密电脑中的文件,只有拥有相应的密钥才能解密,其功能相对简单,攻击目标也较为单一。2005 年,首个现代勒索软件 GPCoder 诞生,该软件攻击 Windows 系统,并使用对称加密算法对用户文件进行加密。
2. 勒索软件攻击席卷全球,首次引发世界关注WannaCry 勒索软件攻击席卷全球,至少 150 个国家和地区近 30 万用户,超过 10 万台电脑遭到了勒索软件攻击,影响金融、能源、医疗、教育等众多行业。自此,勒索软件攻击引发全球关注。
3. 勒索软件攻击面向关键信息基础设施,具有较强破坏力NotPetya 被用于发动针对乌克兰信息基础设施的攻击,乌克兰多家医院、电力公司、机场以及银行受到重创。该勒索软件迅速席卷欧美等 60 多个国家和地区的港口、工厂等设施,给全球经济造成超过 100 亿美元的损失。
4. 勒索软件攻击方式多样化,变种更新速度快GandGrab 采用弱口令爆破、钓鱼邮件、网页挂马、水坑等多种攻击方式,在 1 年时间内更新了 5 个大版本和数个小版本,波及数十个国家和地区,全球累计超过 150 万用户受到感染,黑产利润累计高达 20 亿美元。
5. 勒索软件攻击重点突出,为数据安全防护敲响警钟在数字时代,勒索软件的威胁愈加普遍,给个人和组织带来了巨大的数据安全风险。随着技术的发展,勒索软件的攻击方式也在不断演变,攻击者不仅加密文件,还可能通过识别和窃取系统中的关键数据,以公开这些数据为威胁,要求组织支付赎金,这种模式被称为“双重勒索”。
6. 勒索软件攻击危害严重,已威胁到国家安全通过 Conti 无差别攻击,哥斯达黎加国家财政部数以 TB 计的数据和 800 多台服务器受到影响,数字税务服务和海关控制 IT 系统瘫痪,不仅影响了政府服务,也波及了从事进出口的私营部门。另一波与 HIVE 相关的攻击直接影响了该国的普通民众,使该国医疗保健系统非正常下线。
(二)勒索软件攻击产生及泛滥的因素
1. 经济利益驱动是勒索软件攻击泛滥的首要因素
对于攻击者而言,发起攻击的主要原因是获取暴利,实现自身利益最大化,攻击者往往选择成本低、传播范围广的攻击方式,勒索软件攻击正是符合此类特征,其核心目标是通过加密受害者的文件或窃取数据并要求支付赎金来获取经济利益。
2. 全球网络环境的变化为勒索软件快速传播创造了条件
随着网络的互联互通性增强,以及互联网逐步向工业控制网络和物联网的扩展,勒索病毒的传播速度和范围都有所增加,这使得包括政府机构、企业、学校以及个人的多个领域的用户都可能成为潜在的受害者。勒索软件攻击事件最初在美国出现,随后在俄罗斯大规模爆发,并最终波及全球。
3. 网攻技术快速发展使得勒索软件攻击呈现低成本高回报态势
随着互联网的发展,计算机设备在日常工作和生活中的普及,为勒索软件的出现提供了可能。勒索软件的多样化和易用性也是导致攻击频发的原因之一,勒索软件的制造者提供相关技术和实施教程,甚至通过可视化软件监控攻击状态,使得攻击者能够通过订阅模式盈利,大大降低了攻击门槛。
4. 安全意识不足、技术漏洞为勒索软件攻击提供了便利
网络自身的复杂性和互联互通性使得很多人在使用计算机设备联网时,往往忽视了网络安全问题,从而为勒索软件攻击提供了机会。安全意识不足是造成勒索软件攻击频发的重要原因,计算机设备安全防护策略设置不严格,访问非法网络资源,下载或点击不明来源的软件及链接以及打开来历不明的邮件及附件等。技术漏洞也为勒索软件攻击提供了便利条件,包括防护软硬件漏洞、操作系统漏洞、数据库漏洞、应用软件漏洞、办公软件漏洞等。
5. 攻击方式灵活多样给防范勒索软件带来较大困难
攻击对象广泛,不仅限于个人用户,还包括企业和公共管理部门。勒索软件传播的方式繁多,可以通过钓鱼邮件、网页挂马、入侵服务器、利用系统漏洞、共享网络文件及移动存储设备等途径传播。攻击技术产业化,勒索软件的开发与销售团体运作模式大大提升了其产业化程度。
6. 法律监管措施不到位对勒索软件攻击难以有效制裁
法律监管不到位也是勒索软件攻击频发的重要原因,虽然各国政府都在努力打击这类网络犯罪,但由于其匿名性、跨国性及技术复杂性,很多法律条款难以对其进行有效约束和制裁,即使受害者向攻击者支付了赎金,也无法保证能正常使用系统或还原被加密的文件。
7. 软件即服务的模式降低了勒索软件攻击难度和门槛
黑客组织像商业企业一样运营,将他们的黑客工具出售或出租给他人,并提供一系列支持服务。勒索软件即服务(RaaS)是指开发者编写恶意软件后,提供给代理分发者,扩散感染再抽成的获利模式。低门槛高收益的获利模式推动黑色产业链日趋成熟,勒索软件层出不穷。
三、勒索软件攻击与网络犯罪
网络犯罪是指利用互联网进行的犯罪活动,其核心特性是对网络及其信息安全和秩序造成威胁。勒索软件攻击已经具备了网络犯罪的特征、创新了网络犯罪的模式、促进了网络犯罪率的提升,同时也给犯罪行为取证带来困难。
(一)勒索软件攻击具有明显的网络犯罪特征
网络犯罪具体包括三个方面内容:一是行为人运用编程、加密、解码技术或工具在网络上实施的犯罪,通过编写程序、密码学和反向工程来实现的在线犯罪活动;二是行为人在线上线下结合使用软件命令、网络架构或者产品加密等方式实施的犯罪;三是行为人借助网络服务的管理权限或是其他手段在网络环境中执行的犯罪行为。勒索软件攻击从原理、技术、实现方法以及产生结果等方面均具备明显的网络犯罪特征。
(二)勒索软件攻击衍生网络犯罪新模式
勒索软件攻击不同于通常的网络犯罪手段和模式,其目的在于窃取或破坏用户数据并获取利益;采用高级伪装技术,伪装成其他的合法软件,让受害者难以发现和防护;采用生成式人工智能技术,带来新的安全风险;攻击手段产业化,将勒索软件转化为在线服务,大幅降低了攻击难度。
(三)勒索软件攻击促使网络犯罪率提升
近年来,网络犯罪行业日趋成熟,勒索软件组织逐步形成产业化,构建了勒索软件的生态环境,双重或多重勒索攻击已成为常态。制造业、商业服务、教育行业以及非营利组织成为勒索软件攻击的重灾区。《2024 年全球威胁情报报告》显示,勒索软件和勒索事件在 2023 年激增了 67%,受勒索软件影响最大的行业分别是制造业、零售批发和医疗保健行业。
(四)勒索软件攻击的网络犯罪行为取证困难
勒索软件攻击往往是跨国犯罪,攻击者可能位于不同的国家和地区,增加了执法的难度。不同国家的法律和执法力度不同,使得跨国合作打击勒索软件攻击变得复杂。勒索软件攻击通常使用高级的隐匿技术,使得取证变得困难,即使能够追踪到攻击者,收集足够的证据进行起诉也是一大挑战。执法部门在追踪和扣押用于不法目的的加密货币方面面临重大障碍。
四、勒索软件攻击演变趋势
自勒索软件攻击产生以来,历经多年的演变与发展,已呈现出显著的特征和趋势。
一是攻击范围全球化。1989 年,首个知名的勒索软件在美国产生,到 2017 年,WannaCry 勒索软件攻击席卷全球,波及 150 余个国家,覆盖金融、能源、教育、医疗、航空等多个领域。
二是攻击层次国家化。勒索软件攻击对国家安全的影响是深远的,涉及国民经济、数据要素、关键信息基础设施等多个方面。勒索软件攻击不仅给企业和组织带来经济损失,更重要的是,会威胁到国家关键信息基础设施的安全,这已经上升到国家安全层面。
三是攻击增长高速化。近年来,勒索软件攻击事件一直保持高速增长,大规模勒索软件攻击正在瞄准各个行业,医疗保健、政府和关键信息基础设施成为重点目标。同时,勒索软件攻击的手段、方式和技术在不断变化,这是勒索软件攻击事件频发的主要原因。
四是攻击方式规模化。勒索软件攻击已成为网络安全领域的重大挑战,不仅攻击规模不断扩大,而且攻击手段和技术也在不断演变,以适应网络安全领域的对抗性环境。到 2024 年上半年,全球勒索软件数量上升到近 2000 个,遭受过勒索软件攻击的组织近 5000 个,发生的勒索软件攻击事件的数量更是数以万计。
五是攻击技术智能化。随着人工智能和机器学习技术的不断完善,ChatGPT 等众多生成式人工智能服务的兴起,攻击者利用这些创新技术提高勒索软件攻击的能力和效率,使得传统防御机制更难检测和预防这类攻击。
六是攻击手段多样化。勒索软件攻击手段从数据加密和泄漏逐步转向数据删除,攻击者采用了多样的勒索手法,包括双重勒索和三重勒索,通过加密数据勒索赎金,或威胁泄露数据向受害者施压。同时,将数据删除作为简单有效的方法,不需要进行复杂的加密处理,也不需要受害者通过支付赎金换取解密代码来挽回损失。
七是攻击服务产业化。随着首个勒索软件即服务 Reveton 的推出,勒索软件生态系统随之形成,包括开发人员、关联公司和访问代理。开发人员编写复杂的勒索软件变体并定期提供更新以确保其有效性,关联公司则将网络钓鱼、电子邮件、漏洞利用工具包以及受感染网站分发给攻击者,访问代理则出售受感染网络的访问权限。通过上述流程,形成了勒索软件攻击服务的产业链,攻击者不需具备高水平的技术能力,依然可以有效运用勒索软件进行攻击。
八是攻击对象重点化。在勒索软件攻击中,个人用户的数据主要是私人信息,而企业和政府机关的数据则涉及商业秘密和重要文件。因此,对于后者来说,这些数据的价值更高,他们更愿意支付赎金以恢复数据。同时,相较于个人,企业和政府通常拥有更多的财务资源来支付赎金,这使得针对企业和政府的勒索攻击可能带来更高的收益。
五、勒索软件攻击治理与合作
勒索软件攻击的危害性较大,具有跨国性和匿名性的特点。有效防范勒索软件攻击、依法惩治相关犯罪势在必行,需要从强化国家网络空间防御能力、完善网络安全防护水平、推进反网络犯罪立法进程以及提升安全事件应急响应能力等方面入手。同时,要加强勒索软件攻击治理的组织间合作与国际合作,实现联防联治。
(一)勒索软件攻击治理内容
1. 强化国家网络空间防御能力,有效防范勒索软件攻击
勒索软件攻击具有匿名性和跨国性,这使其成为复杂的全球性问题。近年来,我国遭受来自境外的勒索软件攻击事件频发,攻击者破坏关键信息基础设施、窃取涉密信息和敏感数据,严重威胁到国家安全、企业权益以及个人隐私。需要以总体国家安全观为指引,在网络安全和数据安全方面做好战略布局、完善顶层设计,有效防范勒索软件攻击。
2.推进反勒索软件攻击立法进程,逐步完善惩治网络犯罪的依据
我国的《刑法》《网络安全法》《数据安全法》以及《个人信息保护法》等法律法规均在不同程度定义了网络犯罪的行为特征和惩戒方式,但针对勒索软件攻击特点归入哪一类别的网络犯罪、如何定罪及进行溯源取证等尚无准确的法律依据。需要通过实践积极推进针对勒索软件攻击的立法进程,以增强对采用勒索软件攻击的个人和组织的震慑力。
3. 加大反勒索软件攻击宣传教育力度,全面增强网络安全意识
近年来,勒索软件攻击席卷全球,强势爆发,各个国家和地区均遭受不同程度的危害。虽然外部形势非常严峻,但部分组织和人员对勒索软件的原理和危害性并不了解,防范意识不强,缺乏基本的防护能力和应急处置能力。因此,需要从全民角度开展安全意识教育培训,通过案例讲解起到警示教育的作用。
4. 构建完善的网络安全防护体系,全面遏制勒索软件攻击的发生
勒索软件攻击往往通过伪装或渗透的方式,利用网络和系统漏洞进入目标主机,窃取数据、加密文件、进行威胁和恐吓等。需要从网络安全防御体系的角度考虑如何遏制勒索软件攻击的发生,包括安全管理、安全技术以及安全运营等层面。除传统网络安全防护外,还应重点考虑数据安全保护和供应链安全。
5. 加强技术研发和创新能力,堵塞安全漏洞,提高防护水平
勒索软件攻击已逐步实现智能化、自动化和产业化,攻击手段融入了更多的创新技术,执行效率和速度较高,常规的防护措施难以有效抵御这类攻击。因此,需要在网络安全、数据安全、工控安全和物联网安全等方面加强技术研发和创新能力,实现自主可控,堵塞安全漏洞,提高安全防护水平。
6. 提升安全事件应急响应能力,抵御勒索软件攻击带来的安全风险
勒索软件攻击通常锁定主机、加密文件以及窃取数据进行威胁。针对此类攻击行为,应具备较强的应急响应能力。首先,应制定针对勒索软件攻击的专项应急预案;其次,将应急处置定义为三个阶段,包括预防阶段(备份数据、升级软件、扫描、监测等)、处置阶段(断网隔离、确认感染范围、通报、取证溯源)和恢复阶段(数据还原、安全增强、总结分析、外部合作)。
(二)勒索软件攻击治理合作
勒索软件攻击席卷全球,且呈现上升趋势,多个国家的关键信息基础设施和政府实体遭受勒索软件攻击,有的国家甚至被迫宣布进入紧急状态。这些安全事件凸显了勒索软件攻击的严重性,也进一步增强了共同应对这一威胁的必要性。
1. 勒索软件攻击的联防联治
在我国数字经济蓬勃发展的背景下,企业正积极进行数字化转型。然而,各部门和单位在网络安全防护和数据安全保护方面的表现不一,大量设备接入互联网,导致企业在全方位的业务应用中存在严重的安全风险。基于上述的安全现状,在开展勒索软件攻击治理时,应秉承联防联治的思路,由职能管理机构组织和监督,网络安全和数据安全专业机构提供技术支撑,各业务部门加强安全意识、提高防护能力,实现统一协同、联防联治的目标。
2. 勒索软件攻击的跨国治理
防范勒索软件攻击面临的主要问题是其跨国性,攻击者往往利用加密货币等手段跨境转移资金,使得追踪和定罪变得极为困难。因此,国际社会需要加强合作,共同打击跨国网络犯罪。勒索软件攻击的跨国治理主要从三个方面开展工作:一是建立联合研究机构,进行技术研发,实现成果共享;二是建立互信互认机制,对勒索软件攻击形式的网络犯罪,从取证到定罪保持法律一致性;三是建立沟通协调机制,针对勒索软件攻击的网络追踪和溯源,形成良好的沟通协调机制,实现信息共享利用。
六、结 语
勒索软件攻击已出现多年,自 2017 年大规模爆发并席卷全球,其发展态势呈爆炸性增长,以获取经济利益为首要目标,逐步向规模化、多样化、智能化、产业化发展,严重威胁到国家安全、组织利益和个人隐私,给关键信息基础设施和数字资产等带来较大的安全风险,更可能影响经济发展。为有效防范勒索软件攻击,惩治网络犯罪,降低勒索软件攻击带来的安全风险,需要从总体国家安全观出发,完善顶层设计、加强立法合规、融入技术创新、提高防护能力、加强数据保护、增强安全意识、提升应急能力等。同时,需开展针对勒索软件攻击的多部门、多行业联防联治,开拓国际合作治理的渠道,建立打击勒索软件攻击犯罪的跨国合作机制。
(本文刊登于《中国信息安全》杂志2024年第8期)