美國一條汽油輸送「大動脈」遭網路攻擊停運事件表明,一種專業等級且危險的駭客勒索威脅正在惡化、迅速蔓延並危及企業、學校、醫院和其他機構。
雖然多年來勒索軟體一直是小企業面臨的一個挑戰,但在過去一年來,一系列因素讓駭客更加有恃無恐,最終導致向美國東海岸輸送汽油的重要管道7日停運。該管道的營運商Colonial Pipeline Co.現在表示,管道服務可能持續關閉至本周末,可能讓數以百萬計的美國人面臨汽油零售價上漲的局面。
本文為風傳媒與華爾街日報正式合作授權轉載。欲看更多華爾街日報全文報導,請訂閱特別版華爾街日報VVIP方案,本方案僅風傳媒讀者專屬,以低於原價3折以下之全球最優惠價,即可無限暢讀中英日文全版本之華爾街日報全部內容。
安全研究人員表示,網路攻擊的數量和規模都在上升,目前全美各地數以百萬計的人以遠端方式工作或上課,有時候人們會在沒有企業或機構安全保護的情況下打開網路後門。
駭客們越來越善於在所謂的暗網(Dark Web)上交流有關網路漏洞的資訊。暗網是一個可以匿名分享資訊的資訊網路。同時,要求用加密貨幣支付贖金的能力限制了執法部門的追蹤能力。而且賠付勒索軟體贖金的保險產品增多,也為一個日益專業化的勒索軟體產業提供了生存的土壤。
拜登(Joe Biden)政府的高級官員已表示,勒索軟體可能是美國面臨的最嚴重 網路安全威脅,照目前的態勢來看,這個問題在未來幾年只會越來越嚴重。美國司法部一位高級官員將這種現象比作「大規模殺傷性網路武器」。
美國沒有負責追蹤勒索軟體案件的官方資訊交換中心,而去年報告給美國聯邦調查局(FBI)的勒索軟體案件達到近2500起,同比增加66%。
通常很難獲得關於攻擊的精確數據,原因之一是肇事者和受害者都希望保密,但據區塊鏈分析公司Chainalysis Inc.提供的資訊,shuyo,金額增長了311%。其他安全專家和網路安全官員估計,目前,勒索軟體每年給美國經濟造成總計數十億美元的損失。
美國奧睿律師事務所(Orrick Herrington & Sutcliffe LLP)的網路、隱私和數據創新業務合夥人Antony P. Kim表示:「勒索軟體之所以呈爆炸性增長之勢,原因在於它是可擴展、可預測和有利可圖的。」Kim說:「如果這不是一種商業模式,我不知道什麼才是。」
多年來,FBI一直告知企業,在受到駭客攻擊時不應支付贖金。但網路安全公司Bitdefender稱,至少有一半的受害者最終支付了贖金。
最不容易受到影響的是那些對系統進行備份的企業,這樣它們就沒有支付贖金的壓力,但這樣做的前期成本可能很高。
勒索軟體會對受害者電腦的內容進行加密,如果不支付贖金,這些內容就無法使用。駭客承諾收到錢後會給受害者一串由字母和數字組成的複雜解密金鑰,可以解鎖它們的系統。通常情況下,受害者支付贖金是因為被病毒感染的系統沒有備份,或者是因為要恢復成百上千台電腦,所需的工作量令人望而卻步。
美國前總統川普(Donald Trump)執政時期擔任國土安全部最高網路安全官員的克雷布斯(Christopher Krebs)上周在國會針對勒索軟體作證時表示:「我們即將迎來一場全球數位疫情,推動這場疫情的是貪婪、一個脆弱的數位生態系統以及不斷擴大的犯罪產業。」
學校、律師事務所、地方政府、機場和執法機構都遭到過攻擊。
去年9月的一次駭客襲擊令美國連鎖醫院聯合醫療服務(United Health Services Inc.)稅前損失了6700萬美元,從那一個月後,勒索軟體組織在一次大範圍的攻擊行動中導致幾十家醫院癱瘓。
擁有1萬名學生的休士頓謝爾登獨立學區(Sheldon Independent School District)去年遭到勒索軟體攻擊,導致該學區無法運作並威脅到馬上要進行的薪水發放,在這之後,該學區支付了206931美元的贖金,討價還價前的贖金數額為大約35萬美元。
「我們無法運作,」謝爾頓理事長King R. Davis說。「對我們來說,繼續前行是非常重要的。」
加州大學舊金山分校(University of California, San Francisco)去年6月向一名駭客支付了114萬美元贖金。該校表示,之所以做出支付贖金的決定,是因為駭客對包含研究的重要學術工作數據進行了加密。該校在一份聲明中表示,支付贖金是個「艱難的決定」。
FBI把Colonial輸油管道事件與勒索軟體DarkSide聯結在一起,這種軟體使用Tor匿名軟體,讓其服務器的位置不被執法部門發現。製作這個勒索軟體的組織使用比特幣進行匿名支付。據安全研究人員稱,該組織被認為是在東歐運作,利用線上駭客論壇招募可以侵入受害者網路的「聯合」夥伴。
DarkSide的開發者沒有回應採訪要求。在這個勒索軟體組織網站的「新聞」部分,他們似乎撇清與Colonial駭客事件的關係,將其歸咎於一個聯合夥伴。他們表示,未來將加強對其聯合夥伴想要攻擊公司的控制,以「避免造成社會影響」。
雖然勒索軟體組織通常會關閉被勒索者的關鍵業務,要求付錢換取恢復業務的密鑰,但近年來,這些組織開始威脅要公開受害者的文件。
網路安全公司Mandiant的高級副總裁卡瑪克(Charles Carmakal)稱,這種轉變為駭客們提供了一種新的業務模式,哪怕受害方能夠透過備份來恢復加密的系統,駭客仍然能威脅要發布竊取來的資訊以收取贖金。他說:「很多時候,這些受害者都不得不支付贖金。」
安全諮詢公司LMG Security LLC的首席執行長大衛杜夫(Sherri Davidoff)表示,現在勒索軟體組織入侵了受害公司後,會通知該公司的員工甚至是合作夥伴,用最大程度施壓,讓受害者支付贖金。DarkSide在其網站上稱,如果受害者拒絕付款,DarkSide樂於把從受害者那裡竊取的資訊賣給做空者。
Davidoff說,所有這些因素加在一起,讓不斷增多的駭客可輕而易舉地以最小的努力進行勒索軟體活動。她表示:「只需要點擊滑鼠即可。」
美國司法部上個月成立了一個特別工作小組,目的就是遏制泛濫的軟體勒索行為,此舉反映出這種威脅有多嚴重。司法部計劃對支持網路勒索攻擊的整個數位生態系統(包括罪犯如何依賴數位貨幣來收取受害者的贖金)採取行動,從而讓網絡勒索不那麼有利可圖。
美國司法部高級官員卡林(John Carlin)上月接受採訪時將勒索軟體比作「大規模殺傷性網路武器」,與核武器一樣,其威力和破壞力都在不斷增強。卡林說,勒索軟體行動的成功讓駭客犯罪分子得以向受害者索要越來越多的贖金,高達數千萬美元,並將所得錢財重新投資於新的工具和服務,以發動更多更厲害的攻擊。
卡林說:「我們必須想辦法打破我們現在面臨的惡性循環,他們賺的錢越多,就越有錢升級他們所使用的工具。」
拜登的副國家安全顧問紐柏格(Anne Neuberger)在10日的白宮新聞發布會上說,許多公司如果數據被加密,而又沒有備份、無法恢復數據的話,往往會陷入困境。
紐柏格還說,有一種「令人不安的趨勢」,那就是駭客會瞄準那些有買保險、更有錢的公司,這些公司更有可能支付贖金。她說:「我們需要認真考慮這個問題,包括與我們的國際夥伴一起仔細研究,除了主動暫停基礎設施運行和追究肇事者責任之外還要做些什麼,以確保我們不會鼓勵勒索軟體的猖獗泛濫。」
