美國參議院報告：美政府缺乏關于勒索軟件的全面數據

報告稱，關于勒索軟件攻擊和支付的數據報告和收集是分散且不完整的。

根據美國參議院國土安全和政府事務委員會的一份新報告 ，美國政府缺乏關于勒索軟件攻擊的全面數據，包括支付損失的金額 。

該報告介紹了對日益增長的勒索軟件威脅進行的為期 10 個月的調查結果。它引用 FBI 的數據顯示，該機構已收到 3729 起勒索軟件投訴，調整后的損失超過 4920 萬美元。然而，即使是這些數字“也可能大大低估了受害者的攻擊和贖金支付的實際數量以及相關損失。”

在對聯邦執法和監管機構進行多次采訪后，除了協助勒索軟件受害者敲詐勒索要求的私營公司外，該報告得出的結論是，在政府層面缺乏關于這種激增的攻擊媒介的數據。改變這一點至關重要，因為“需要更多數據來更好地理解和打擊這些攻擊。” 此外，它指出，這些信息將有助于調查和起訴勒索軟件威脅行為者。該委員會還強調了勒索軟件對美國國家安全構成的重大威脅，  去年的殖民管道事件就證明了這一點。

然而，根據委員會的報告，“關于勒索軟件攻擊和支付的數據報告和收集是分散且不完整的”。這部分是由于兩個獨立的聯邦機構——網絡安全和基礎設施安全局 (CISA) 和 FBI——托管不同的網站，每個網站都聲稱托管政府的一站式報告勒索軟件攻擊的位置。雖然這些機構表示他們彼此共享數據，但“勒索軟件事件響應公司質疑此類通信渠道對協助攻擊受害者的影響的有效性。”

調查還強調了加密貨幣，尤其是比特幣，在勒索軟件攻擊中的作用越來越大，“已成為一種近乎普遍的贖金支付形式”。作者指出，這些貨幣的去中心化性質使得執法部門難以識別和逮捕肇事者，尤其是外國團體。然而，FBI 追回了 Colonial Pipeline 支付的一半以上的贖金， 這表明“通過訪問正確的信息，執法部門可以利用加密貨幣的獨特功能以及其他調查技術來追蹤網絡犯罪分子并追回被盜資金。”

因此，委員會建議優先收集有關勒索軟件攻擊的數據，作為應對日益嚴重的國家安全威脅的重要手段。這包括迅速實施《 關鍵基礎設施網絡事件報告法案》，該法案今年由喬·拜登總統簽署成為法律。

參議院國土安全和政府事務委員會主席、參議員加里·彼得斯在評論調查結果時說：“加密貨幣——它允許犯罪分子快速勒索巨額資金，可以匿名，并且沒有始終如一地強制遵守法規，特別是對于外國攻擊者——進一步使網絡犯罪分子能夠實施破壞性勒索軟件攻擊，威脅我們的國家和經濟安全。

“我的報告顯示，聯邦政府缺乏必要的信息來阻止和防止這些攻擊，并使外國對手和網絡犯罪分子對實施這些攻擊負責。我的法案最近簽署成為法律，要求關鍵基礎設施報告網絡攻擊和勒索軟件付款，這將是確保我們的政府有更好的數據來了解這種威脅的范圍、破壞虛擬貨幣為網絡犯罪分子提供的激勵的重要一步進行攻擊，并幫助受害者在違規后迅速恢復。”

工作組敦促美國將勒索軟件放在首位

根據安全與技術研究所勒索軟件工作組的一份新論文，聯邦政府在過去一年中在阻止勒索軟件方面取得了長足進步，但仍有許多里程碑需要達到。

一年前，該組織是一個公私合作伙伴關系，匯集了政府、非營利組織和私營部門的 60 多家公司和組織，發布了一份全面的報告，就如何打擊勒索軟件提出了 48 條建議。

報告的緊迫性在 2021 年 4 月發布后幾乎立即變得清晰起來，美國在隨后的幾周內遭受了一系列備受矚目的勒索軟件攻擊，包括關閉燃料供應商 Colonial Pipeline的事件、針對肉類供應商 JBS的攻擊和托管服務提供商Kaseya的滲透，導致全球近 1,500 個組織的服務中斷。

在勒索軟件工作組在其初步報告中提出的 48 項具體建議中，有 12 項在此后的一年中取得了切實進展。對 29 項建議采取了一些初步措施，而 7 項建議沒有采取任何行動。

根據周五的更新，美國在解決 RTF 阻止勒索軟件的建議方面取得了最大的進展。除了國土安全部發起招聘“沖刺”來打擊網絡犯罪外，司法部去年還成立了自己的勒索軟件工作組。在周五的活動中，網絡安全和基礎設施安全局局長 Jen Easterly 表示，國土安全部部門正在創建另一個工作組，與 FBI 和其他打擊網絡犯罪的機構合作。

美國在國際合作方面也取得了進展，司法部周五宣布了更多措施。副總檢察長 Lisa Monaco 表示，該部門正在針對非法加密貨幣交易發起一項聯合國際行動，并正在建立一個新的網絡行動聯絡員以與外國政府合作。

美國也是去年 10 月與其他 30 個國家發起的全球反勒索軟件倡議的一部分，并且還與 G7 合作解決這個問題。

盡管在全球方面取得了進展，但 RTF 聯合主席梅根·斯蒂菲爾表示，美國仍有工作要做。

她說：“我認為，未來的挑戰之一是擴大關注這一問題的國家的范圍，并希望改善他們的衛生狀況，同時支持調查工作，以試圖減少這種持續存在的禍害。”

新的 RTF 論文還指出，關于勒索軟件攻擊的全面數據持續缺乏。

“我們不知道如何對我們擁有的數據進行分類，因為我們擁有的數據非常不完整，”網絡安全公司 Rapid7 社區和公共事務副總裁兼勒索軟件工作組聯合主席 Jen Ellis 說。“這意味著加班衡量進度將非常困難。”

美國在《關鍵基礎設施網絡事件報告法案》方面取得了立法進展，該法案要求關鍵基礎設施運營商報告勒索軟件攻擊。但是，由于實施的時間框架為兩年，該法律還需要一段時間才能取得成果。

根據 RTF 的新論文，中小型企業的支持也滯后。去年 1.2 萬億美元的基礎設施法包括 10 億美元用于新的州和地方網絡安全撥款計劃，以幫助政府應對勒索軟件威脅，但國土安全部仍在為該計劃起草指導。許多小公司仍在努力確保他們的系統安全。

“勒索軟件普遍存在且多產，這是一個可怕的問題，而且不會消失，”埃利斯說。“即使我們認為沖突將發生巨大轉變，但現實情況是網絡犯罪仍在繼續。但我確實對未來抱有希望，因為我們看到了前所未有的協調與協作水平，而這正是我們所需要的。”

參考鏈接：

https://www.infosecurity-magazine.com/news/us-government-data-ransomware/

https://www.cyberscoop.com/ransomware-task-force-one-year-report/

文章來源：網絡安全風云榜