從美首次因網絡攻擊宣布進入緊急狀態看勒索軟件的發展
5月7日,美國最大燃油運輸管道商Colonial Pipeline公司因受勒索軟件攻擊,被迫臨時關閉其美國東部沿海各州供油的關鍵燃油網絡。為遏制威脅,公司已主動切斷部分網絡連接,暫停所有管道運營。為解除對燃料運輸的各種限制,保障石油產品的公路運輸,美國政府首次因網絡攻擊宣布18個州進入緊急狀態。此次網絡攻擊是美國歷史上針對公共事業的最大攻擊之一,暴露美國能源安全行業的網絡安全脆弱性,凸顯了保護關鍵信息基礎設施的必要性,同時也為全球關鍵信息基礎設施行業敲響警鐘。
一、事件概述
2021年5月7日,美國最大燃油運輸管道商Colonial Pipeline公司遭受網絡攻擊。攻擊者通過安裝非法勒索軟件,控制受害者的計算機系統或數據系統,以此要求受害者支付大筆贖金才能重新獲得訪問權限。該攻擊暫時停止了所有管道的運行,并影響了某些IT系統。5月8日,Colonial Pipeline公司發布聲明稱,為防止病毒擴散,已主動將關鍵系統進行脫機。5月9日,美國政府宣18個州進入緊急狀態,以應對勒索軟件的攻擊。
據外媒BBC報道,根據多個消息來源證實,此次勒索軟件攻擊是一個名為DarkSide(黑暗面)的勒索軟件,這是首個非政府、非國家背景,純網絡犯罪、勒索背景的“APT”組織。DarkSide不同于早期勒索病毒通過僵尸網絡利用漏洞自動植入目標系統的廣撒網方式,而是有組織的實施攻擊行動,通常會嘗試拿下Windows AD域控制器從而實現整個AD域的橫向滲透便于盜取數據和批量釋放勒索軟件。
在此次攻擊事件中,DarkSide勒索軟件僅兩個小時的時間就從Colonial公司網絡中竊取了近100 GB的數據。對DarkSide的歷史入侵手段進行分析發現,DarkSide勒索軟件組織性很強,攻擊手段很新。DarkSide在整個入侵過程中,會在入侵的目標服務器上安裝Tor客戶端或者瀏覽器,并使用Tor進行RDP會話連接(RDP Over Tor),并且在遠程控制方面會使用CobaltStrike進行后續操作。后續操作主要圍繞獲取域控權限而進行,其中使用內網滲透工具包括advanced_ip_scanner.exe、psexec、Mimikatz。
二、事件意義
此次勒索軟件網絡攻擊事件,可以讓我們看到現有網絡安全的脆弱性。隨著地緣政治和國際環境日趨復雜,全球網絡攻擊事件頻發呈現出日益加劇的發展態勢,關鍵信息基礎設施已成為勒索軟件網絡攻擊的焦點,勒索軟件仍然是當前網絡安全最大的威脅。此次事件,不僅是給美國一次慘痛的警鐘,也是對其他各國關鍵信息基礎設施建設保護的鞭策。
1、數字化背景下關鍵信息基礎設施網絡安全脆弱性日益凸顯
2021年4月上旬,拜登政府剛剛出臺一項提振能源供應體系網絡安全的“百日計劃”,可見關鍵信息基礎設施的網絡安全防御迫在眉睫。可在半個月后,DarkSide勒索軟件攻擊事件就發生了,隨后,美國眾議院提出要確保管道網絡安全計劃的成功,網絡監管的有效性比以往任何時候都更為重要。5月12日,美國總統拜登簽署一項行政命令以強化聯邦網絡安全能力,并鼓勵曾發生黑客攻擊事件的民間行業全面提升數字安全標準。同時提出建立網絡安全事務安全審查委員會,在重大網絡事件發生后召集會議,以分析事件情況并提出改善網絡安全的具體建議等措施。早在2020年2月,美國網絡安全與基礎設施安全局就發布警報,強調關鍵基礎設施目標(包括輸送管線)已經成為黑客團伙的主要攻擊目標。當時美國某天然氣壓縮設施(并未透露具體身份)遭遇勒索軟件攻擊,導致其業務被迫關停兩天。
不難看出,隨著云計算、物聯網、5G、大數據、人工智能等新一代信息技術的飛速發展和普遍應用,“一切皆可編程、萬物均要互聯、大數據驅動業務、軟件定義世界”的時代已悄然到來。
雖然美國政府層面為了應對關鍵信息基礎設施的網絡安全威脅,不斷出臺政策和行政命令,但關鍵信息基礎設施的網絡安全脆弱性還沒得到明顯改善。
2、勒索軟件網絡攻擊目前仍然是網絡安全最大的威脅
據彭博社報道,知情人士透露,美國最大燃油管道運輸公司科洛尼爾(Colonial Pipeline)5月7日向勒索軟件團伙DarkSide支付了近500萬美元贖金,以期盡快恢復業務系統。此次勒索軟件攻擊事件,不僅使美國東海岸燃油供應受到影響,還將引發一系列連鎖反應。本次針對美國管道公司的重大勒索軟件攻擊,暴露美國能源安全行業的網絡脆弱性,同時也為全球能源行業敲響警鐘。此次攻擊導致美國主要的燃油管道關停,如果管道不能迅速恢復,部分地區將受到燃油緊缺影響,甚至產生多米諾骨牌效應。攻擊已經導致美國油價上升,價格正在逼近2014年以來的最高水平。
放眼全球,勒索軟件目前仍然是網絡安全最大的威脅。2020年至今,全球爆發了多次重大關鍵信息基礎設施行業的勒索軟件攻擊事件,例如跨國能源企業Enel Group連續遭遇兩輪勒索軟件攻擊,美國馬薩諸塞州電力公司RMLD遭勒索攻擊,美國某天然氣運營商遭受勒索攻擊被迫關閉。黑客往往在盜取重要數據后,以此要挾支付巨額贖金。《華盛頓郵報》報道,僅2020年就有至少2400家機構受害,其中包括銀行、醫院、大學和市政當局等。此外,工業企業遭到網絡攻擊和勒索的案例也在快速增多,主要是因為這些企業往往更愿意支付贖金。
3、首個非政府、非國家背景,純網絡犯罪、勒索背景的“APT”組織涌現
據外媒BBC報道,根據多個消息來源證實,此次勒索軟件攻擊是一個名為DarkSide(黑暗面)的勒索軟件。從目前已經知情來看,該組織并不具有政治性的,沒有國家背景,主要目標是獲取經濟利益。它是一支新興的RaaS(勒索即服務)犯罪團伙,以俄語為母語。自2020年年中以來,Darside一直保持活躍狀態。DarkTracer的最新勒索軟件統計, 2020年DarkSide的攻擊數量位列TOP10行列。該組織開發了用于加密和竊取公司數據的勒索軟件,然后提供給其“分支機構”,并從分支機構獲得成功攻擊的贖金分成。
根據DarkSide團伙的歷史攻擊數據分析,發現DarkSide主要呈現幾個鮮明特點。第一,目標針對性極強且定向。該團伙曾公開表示,該團伙只會針對除醫療、政府、教育、非盈利組織和殯葬行業外的組織機構發起勒索攻擊;第二,長期持續性“潛伏滲透”。為達到攻擊目的,DarkSide會對目標進行長達數周乃至數月的技術分析工作,包括會計數據、執行數據、銷售數據等核心價值數據;第三,勒索方式史無前例。除了加密數據外,為了確保成功勒索用戶繳納贖金,在進行加密前攻擊者會在目標環境中進行滲透并安裝后門程序以竊取重要的數據信息,當勒索目標拒絕繳納贖金時,會將數據公開、放負面安全事件消息,以此做空而獲利。
三、勒索軟件的發展態勢
如今,勒索軟件已經成長為主流的安全威脅之一。勒索軟件已經在全球范圍內呈現爆發態勢,美國、日本、中國、歐洲都成為勒索軟件肆虐的“重災區”。勒索軟件商品化趨勢日漸明顯,勒索軟件的商品化使得組織與個人面臨的勒索軟件風險大幅增加,而隨著地下黑產市場的進一步演進,勒索軟件的產業鏈將進更加細化、專業化,即使是毫無攻擊經驗的新手,也能夠通過購買這些產品和服務,快速地發動攻擊。此外,商品化也使得勒索軟件攻擊的方式更加靈活,對于安全防護提出了更高的要求。
1、發展歷程
(1)2017年,勒索軟件攻擊日益流行
在2017年WannaCry大爆發之前,勒索病毒軟件多為散在發生,影響很小,普遍當作惡作劇處理。WannaCry、Petya等勒索病毒讓人印象深刻,此類病毒勒索更側重破壞性,贖金并不算高。但由于WannaCry借助永恒之藍在該年度的全球席卷攻擊活動,使得勒索攻擊事件制造了空前的影響力。WannaCry病毒成為一枚種子,引爆了隱藏在黑暗中的貪欲,勒索攻擊從此日益流行。
(2)2018年,完整的勒索產業鏈形成
從2018年開始,勒索病毒迅速發展,進一步催生出完整的勒索產業鏈。其中勒索代理角色頗有新意,從業者利用國內用戶不方便購買數字貨幣,不了解支付方式以及較低的代理價格,吸引受害者聯系解密,在整個過程中賺取差價。
(3)2019年,勒索軟件RaaS化運營
小打小鬧的勒索攻擊者在面對法律和技術雙重打擊下已銷聲匿跡,而反過來,專業勒索家族團伙則越做越大,還采用了分級代理,RaaS化運營(勒索即服務),更多的不法分子卷入這個行業。實施攻擊的門檻進一步降低,更多的流量參與者加入到勒索病毒產業鏈中。
(4)2020年,勒索軟件攻擊更有針對性
盡管惡意軟件使用者和網絡罪犯仍忙于發動復雜的網絡攻擊,但是全球惡意軟件總量在2020年繼續穩步下降。與之形成鮮明對應的是,勒索軟件攻擊的態勢沒有任何減弱的跡象。勒索軟件的攻擊是全球性、廣泛性發展的,并且勒索攻擊呈現集聚化發展,主要的勒索攻擊事件都來自少數幾個勒索軟件家族。Maze、REvil、Sodinokibi 、NetWalker、Ryuk 5種主要的勒索軟件家族及變體進行的勒索攻擊占所有勒索攻擊事件的60%。
2、未來發展特點
2021年,勒索軟件將繼續迭代進化,攻擊手段會更加復雜多樣,攻擊范圍也將不斷擴大并且更加難以防范。
(1)勒索軟件攻擊手法將會不斷翻新
未來,Windows平臺上基于無文件的勒索病毒攻擊應該會增多,這種攻擊可以逃避大量的終端安全軟件的檢測,未來會有更多新的攻擊手法來傳播勒索病毒。現在基于Windows服務器的勒索病毒變種非常多,這些網絡犯罪團伙未來會向Linux等服務器平臺進行轉向,針對Linux平臺進行勒索病毒攻擊。鑒于網絡犯罪分子對勒索軟件以及與地下網絡市場上的深度偽造(Deepfake)服務相關的廉價產品表現出興趣,惡意行為者最終可能會將這兩種威脅組合在一起,成為深度偽造勒索軟件攻擊。
(2)雙重勒索和定向攻擊將成為新常態
由于網絡信息渠道和媒體傳播速度提高,很多企業網絡安全事件和信息泄露會在幾分鐘之內傳遍整個世界。因此很多勒索組織就威脅企業,如果不及時支付贖金就將信息泄露出去。因為它不再與數據加密有關,而是與從受害者網絡中泄露的信息有關。未來攻擊將從隨機的、投機性的攻擊演變為具有針對性的攻擊,并且每一次攻擊都使得受害者付出相當大的代價。定向勒索是一種新常態,也是關鍵信息基礎設施機構面臨的主要威脅。攻擊者根據受害者的支付能力、對加密數據的依賴以及攻擊的影響,精心選擇受害者。隨著勒索軟件團伙在尋求投資回報的最大化,這一攻擊趨勢可能會進一步深化發展。
(3)勒索軟件攻擊將向聯盟模式集團化擴展
2020年,Maze和Sodinokibi兩大團伙都率先提出一種“附屬”模式,涉及團伙之間的合作。據歐洲刑警組織近期發布的有組織犯罪威脅評估報告指出,Emotet、Trickbot以及Ryuk勒索軟件團伙之間的關系正愈發緊密,甚至有歸于同一體系的趨勢,或者至少會在合作當中建立起穩定且精準的配合關系。勒索軟件正在從一點滋擾過渡到一種真正的戰略問題。這種聯盟模式日益擴展,不同威脅參與者結合在一起,導致整個流程專業化大幅提升。一些行為者開發勒索軟件,并與專門獲得初始訪問和妥協后滲透的其他人合作,這都導致一個更廣泛的犯罪生態系統。
四、啟示建議
近年來,針對關鍵基礎設施的勒索軟件網絡攻擊事件不斷增加,深刻展現了網絡攻擊可能造成的巨大、真實的破壞。全球范圍內針對關鍵信息基礎設施的網絡攻擊行為不斷攀升,涉及金融、醫療衛生、交通、能源、工業控制等領域,影響范圍廣泛、程度嚴重。
1、加強完善關鍵信息基礎設施保護制度體系
面對數字化時代如此嚴峻的網絡安全形勢,尤其是在此次勒索軟件攻擊事件前后,美國政府已經在逐步采取一系列措施,頒布法案或者行政命令,為維護關鍵信息基礎設施的網絡安全提供制度保障,這也給我們敲響了警鐘。我們首先要完善關鍵信息基礎設施保護制度體系,盡快制定出臺關鍵信息基礎設施保護相關法律法規,明確相關主體法律責任;其次要求網絡安全企業在提供服務時,應秉持“建設+運維”兩手都要抓的思維,提供網絡安全保障最關鍵的安全運維環節服務,全面提供網絡安全運維服務保障的業務模式;同時鼓勵加強合作,建立面向整體保障的網絡安全產業聯盟,通過產業聯盟,聚集產業優勢資源和力量,博采眾長,以武器裝備協同攻關模式持續提升技術、產品與服務水平。
2、提升防范勒索軟件攻擊的整體防護水平
此次網絡攻擊由DarkSide勒索軟件團伙發起,DarkSide可能已經購買了TeamViewer和Microsoft Remote Desktop等遠程桌面軟件的賬戶登錄詳細信息,其中包括工程師用來訪問管道控制系統的賬戶信息,進而利用惡意軟件竊取并挾持了Colonial Pipeline公司近100 GB的數據。據DarkSide組織稱,其勒索軟件配備了市場上最快的加密速度,并且包括Windows和Linux版本。當前,勒索軟件迭代進化加速,攻擊手段會更加復雜多樣,攻擊范圍也將不斷擴大并且更加難以防范。面對愈加強大的定向勒索攻擊者,我們對網絡安全防御需要提升整體的防護水平,要以面對APT組織攻擊的策略進行防御體系建設,才能夠抵御目前網絡攻擊技術水平愈加高強的定向針對性勒索軟件攻擊。要實現整體安全,必須加強技術升級換代,聚焦核心技術突破,在基礎性技術、前沿性技術、顛覆性技術投入研發方面花大力氣,盡早實現關鍵信息基礎設施網絡安全裝備自主創新。
3、持續開展關鍵信息基礎設施網絡安全演練
此次網絡攻擊事件,表面即使技術最強的美國,其最大的輸油管公司的網絡依然存在著漏洞,可想而知,其他國家的網絡的漏洞是否會更多?如今世界已經進入了物聯網時代,隨著5G建設的發展,萬物均將互聯。因此網絡安全就顯得越來越重要。網絡安全演練是檢驗、鍛煉和提高關鍵信息基礎設施防護能力的重要手段。所以,在最后我們建議關鍵信息基礎設施管理運營單位將開展常態化網絡安全演練納入管理制度和考核指標中。針對關鍵信息基礎設施防護,引入現實社會因素,設置訓練題目和訓練流程,盡可能真實地模擬現實復雜情況,在演練中發現問題解決問題,不斷提高網絡安全防護水平。
從Colonial Pipeline公司遭受勒索軟件攻擊事件可以看出,網絡攻擊可以在不損壞設備的前提下破壞關鍵信息基礎設施,給國家安全帶來重大影響甚至災難性后果。當前,勒索軟件呈現變種多、針對性高、感染量上升快等特點,攻擊正在肆虐全球,攻擊態勢愈演愈烈。隨著云計算的快速普及,數字化轉型升級的關鍵信息基礎設施依舊是勒索軟件攻擊的重點目標。加強關鍵信息基礎設施網絡安全保障,已經刻不容緩。
