美国“不小心”泄露一件武器：勒索软件群损席卷全球

1

时尚

1989 年，WHO AIDS 会议和《PC Business World》杂志的订阅者都收到了一份“礼物”——“软盘上的艾滋病信息”，其中包含安装程序的详细说明。

出于对艾滋病的好奇，在各种计算机上安装了 20,000 张软盘。随即，他们电脑C盘上的文件被加密了，名字变成了一堆乱七八糟的字符。与此同时，屏幕上弹出了一条消息，说软件试用已经结束，用户必须支付一年189美元的订阅费，或者买断378美元，否则无法解锁桌面。

但是，由生物学研究员 Joseph L. Pope 创建的勒索软件被称为“艾滋病信息木马”，使用对称加密，解密工具很快就修复了文件名。

2017 年 5 月 12 日，英国伦敦，一名妇女查看一个受到病毒攻击的网页。

从那时起，由于没有更好的加密方法，勒索软件基本上消失了。

直到17年后的2006年，“Archievus”的出现，迎来了勒索软件的新纪元。首次使用 RSA 加密，这是一种难以移除的非对称加密勒索软件，可对“我的文档”目录中的所有内容进行加密，并要求用户从特定网站购买解密文件。

七年后，Crypto Locker 诞生了，它的出现标志着勒索软件行业新时代的开始。这是第一个结合了所有关键技术（网络钓鱼、强加密和比特币）的勒索软件，也是当今勒索软件的主要模板。

Crypto Locker 病毒很容易清除，但用户的文件在经过强公钥加密后几乎不可能解密。与以往不同的是，它还设置了付款期限，规定受害者必须在接到通知后 72 小时内支付赎金，否则所有文件将被销毁。

后来，“撕票”等敲诈形式只能算是普通，花样不断翻新：2016年出现的Jigsaw堪称“花式敲诈”，其敲诈通知使用“电锯”。系列中的拼图角色（拼图杀手）。如果不支付 150 美元的赎金，它会每 60 分钟删除一个文件，如果受害者试图杀死进程或重启机器，它会一次删除 1000 个文件。

还有一种名为 Popcorn Time 的勒索软件在道德上受到挑战。感染后，用户有 7 天的时间选择——要么支付赎金解锁数据，要么感染另外两个用户，这样就可以避免支付赎金。感染虚拟机是没有用的，两个被感染的用户支付赎金后，成为传播者的用户可以获得免费的解密密钥。

还有一些勒索软件不走寻常路。

2018 年，一名计算机被 Gand Crab 病毒加密的叙利亚男子无法支付赎金，因此他再也看不到自己年幼儿子在战争中丧生的照片。随后，Gand Crab运营团队发布了部分叙利亚地区的密钥，并在后续病毒版本中将叙利亚地区列入白名单，不再感染。

这样的举动虽然让Gand Crab在中国被冠以“大盗敲诈”的名号，但也掩盖不了其行为的违法性。该病毒在一年多的时间里经历了 5 次重大迭代，在 16 个月内收入超过 20 亿美元。 2019 年，Gand Crab 运营团队在一份公开声明中表示，他们平均每人每年 5 亿美元，并成功洗钱。 “余生，花钱如泥，过得开心。”

然而，他们的春秋梦并没有持续多久。就在嚣张表态后半个月，罗马尼亚与欧洲多地警方联手对甘德蟹进行线上线下打击。随着最新病毒版本v5.2的解密，这个勒索团伙终于被消灭了。

2

没有人可以运行

尽管有很多安全防范措施，但潘多拉的盒子正在逐渐被打开。

目前，网络安全风险已成为全球企业和组织关注的5大风险之一。

今天的勒索软件已不仅仅是加密数据和在互联网上发布被盗数据。

首先，被勒索的人数急剧上升。

使用勒索软件的成本非常低。在黑市上只要几千元就可以买到未知病毒，如果买家不知道如何使用勒索软件，客服会帮助他们发起攻击。一次成功的敲诈，可以赚几万甚至几十万2017年勒索病毒事件，利润可以上百倍，真是太疯狂了。

2019 年第一季度，Malwarebytes Labs 共检测到 35.50,000 次针对企业的勒索软件攻击，较 2018 年同期的 5.70,000 次增加了 521%，增加了 195 次% 从 2018 年第四季度的 120,000 人。

与 2019 年相比，2020 年全球勒索软件攻击次数增加了 62%，仅北美地区的勒索软件攻击次数就增加了 158%。下半年，勒索软件攻击达到爆发期。零售行业的勒索软件攻击次数增加了 365%，医疗行业的勒索软件攻击次数也增加了 123%。 Emotet 恶意软件的传播甚至猛增了 4,000%。

[注：Emotet 有一个银行欺诈模块，主要针对德国、奥地利和瑞士的银行。多年来，该恶意软件一直被全球安全厂商归类为银行木马。 ]

其次，被攻击的目标范围更广。

勒索软件在运行方式和加密技术方面不断创新和完善，攻击目标呈现从医疗、交通、政府、酒店等行业向物联网、工控、公有云领域扩展的趋势。

2016 年 3 月，一场网络攻击导致孟加拉国中央银行盗窃了 8100 万美元。幸运的是，黑客在转账操作中拼错了一个英文单词，银行避免了超过8亿美元的损失。

运气不是常态。

2017年，Petya勒索病毒爆发，欧洲多个国家遭到大规模攻击。尤其是乌克兰的政府机构、银行、企业遭到大规模攻击，甚至乌克兰副总理的电脑也遭到攻击。

2019 年 6 月，全球最大的飞机零部件供应商之一 ASCO 遭遇勒索软件攻击，生产环境瘫痪，数千名员工被迫休带薪假。

2019 年 10 月，全球最大的助听器制造商之一 Demant 遭遇勒索软件攻击，损失高达 9500 万美元。

2019 年 12 月，一个名为 Maze 的黑客组织袭击了佛罗里达州彭萨科拉市，破坏了该市的电话、市政热线、电子邮件服务器和账单支付系统。

一、全球最大的铝生产商挪威海德鲁今年也未能幸免，勒索软件 Locker Goga 的攻击破坏了公司的 IT 系统，500 台服务器和 2700 台个人电脑无法正常运行，敲诈勒索员工电脑屏幕上闪现消息，指示受害者通过电子邮件发送解密工具和价格。

Hydro 被迫暂时关闭几家工厂，并将挪威、卡塔尔和巴西等国家的工厂运营模式改为“即用型”手动模式，以继续某些运营。

这家价值 120 亿美元、在全球拥有约 200 家工厂的巨头供应中断可能会引发全球铝业恐慌，因为世界上只有少数公司能够提供符合戴姆勒和福特汽车公司要求的产品。

同年，美国海岸警卫队 (USCG) 发布海事安全警报，确认 Ryuk 勒索软件攻击导致其监管设施的整个 IT 网络瘫痪。这次攻击迫使该设施在网络事件响应阶段完全关闭运营 30 多个小时。

最后，攻击者的“胃口”变大了。

今天的勒索软件不仅涉及加密数据，还涉及数据泄露。这种“双重勒索”首先窃取受害者的机密数据，然后对受害者的文件进行加密。如果受害者拒绝支付赎金，数据就会被释放。也就是说，今天的勒索软件不再只是简单地加密数据，还会在互联网上发布被盗数据。

2020 年第一季度，企业支付的平均赎金增加到 111,605 美元，比 2019 年第四季度增长 33%，2020 年支付的赎金是 2019 年支付金额的两倍。 2021 年第一季度为 220,298 美元，比上一季度增长 43%。赎金中位数为 78,398 美元，比上一季度增长 59%。

不过，就算付出了赎金，还是有人不讲武功。 2017年，美国一家好莱坞医疗中心遭到黑客攻击，被勒索340万美元赎金。经过一番讨价还价，医院最终支付了 1. 70,000 美元并恢复了手术。但不久之后，医院的病历就出现在了数据黑市上。

3

谁在养顾？

谁制造了全球网络危机？

2015年2017年勒索病毒事件，美国《商业内幕》发表文章称，一名少年黑客开发了一种可以创建在线勒索软件的工具，让普通网民可以轻松创建勒索软件文件并劫持他人的电脑。资源并向他们勒索钱财。

2017 年 5 月 13 日，在美国华盛顿，一名工程师将他的计算机连接到网络。

如果说过去的勒索病毒有相当一部分是个人行为，那么2017年5月12日全球爆发的“Wanna Cry”勒索病毒就相当有意义了。

2017年4月14日晚，黑客组织Shadow Brokers发布了大量网络攻击工具，其中包括“永恒之蓝”工具。 《永恒之蓝》利用Windows系统的SMB漏洞获取系统最高权限。

5月12日，不法分子通过改造“永恒之蓝”制作了“Wanna Cry”勒索软件并大范围传播。

计算机用户收到一封电子邮件，通常以工作机会、发货清单、安全警告等为幌子，一旦打开相关链接，计算机就会受到攻击。然后，勒索软件会加密存储在计算机上的文件，使用户无法打开它们。电脑屏幕上弹出一条警告：“您可能正在尝试取回您的文件，所以不要浪费您的时间！”

英国公共卫生系统NHS的服务系统被病毒入侵后，许多医院的电脑都瘫痪了。病人不得不停下来，一些医疗服务如救护车受到影响。

这种勒索软件病毒也传播到了中国。它在校园网络上迅速传播，在夜间高峰期间每小时大约有 4000 次攻击。中石油还表示，由于全球“Wanna Cry”勒索病毒的爆发，公司部分加油站的正常运营受到威胁。

150多个国家和地区、10万多个组织机构、30万多台电脑都经历了这场勒索狂潮，总损失超过500亿元。

“永恒之蓝”是由美国国家安全局 (NSA) 创建的。

早在 2016 年，黑客组织“中间影子人”就闯入了美国国家安全局 (NSA) 的网络“武器库”“方程式组织”，窃取了一些黑客工具和数据。

美国国家安全局研发的这款网络武器“永恒之蓝”只是美国国家安全局“方程式”组织使用的众多网络武器之一。据业内人士介绍，“方程式组织”是世界顶级的黑客团队，这个团队的加密水平无人能及。 2010年摧毁伊朗核设施的Stuxnet病毒和Flame病毒被认为起源于“方程式组织”。

但是，2017 年美国外交政策认为，人们误解了 NSA 在创作“想哭”中的作用。情报机构实际上并没有创造“想哭”，而只是无意中促成了病毒的诞生。

多年来，美国发现了许多系统漏洞和木马病毒，这些系统漏洞和木马病毒可以通过其在计算机方面的先天优势来攻击其他国家的网络。打造世界上可与核武器媲美的最大网络武库，将引发全球网络军备竞赛，对全球网络安全构成严重威胁。

威胁最终转向了自己。 2021年，美国输油管道运营商和华盛顿警察局先后遭到“打击”，索要高额赎金。该国一度进入紧急状态。

4

什么是快速解除武装？

面对巨额敲诈勒索，美国财政部外国资产控制办公室发布消息警告组织不要向勒索软件支付勒索软件，声称此举违反了政府对网络犯罪集团实施的经济制裁或国家黑客的法律风险.

此举虽然可能在一定程度上切断了黑客的财务路径，但也让被攻击企业的处境更加艰​​难，大部分企业、政府等仍会支付赎金。

因为，许多勒索软件攻击的受害者在支付赎金后都会恢复其数据。这一比例在 2018 年仅为 49%，到 2020 年已增长到 67%。

与此同时，巨额赎金支付刺激了勒索软件的发展。企业和政府都知道，为什么要买单？

原因很简单，“伤不起”。

对于一些受害者来说，攻击者窃取知识产权就等于夺走了他们的“生命”。

网络犯罪分子是在 2017 年“想哭”风靡全球之后才意识到企业网络的脆弱性。企业在知识产权开发上投入了大量资金，而知识产权通常是企业最宝贵的资产。如果数据被窃取并出售给竞争对手或公开披露，对企业竞争优势和声誉的损害往往是灾难性的，甚至导致企业倒闭。

高校的学术数据是核心资产。

COVID-19 大流行迫使高等教育发生巨大变化，2020 年全球针对大学的勒索软件攻击同比翻了一番。2020 年 6 月 4 日，Netwalker 勒索软件团伙声称已成功攻击加州大学，旧金山（UCSF），窃取未加密的数据并加密计算机。该机构专注于健康科学的医学研究成果已成为“肉票”。

最后，学校表示支付了部分赎金，约 114 万美元，因为学术材料很重要。

对于其他人来说，时间就是金钱。

勒索软件变得更有针对性，专注于那些“投资回报率最高”的行业，例如公共部门、医院和制造业。以制造业为例，这是一个众所周知的设备维修和重新配置困难的行业，因为大多数设备必须连续运行才能使制造过程顺利运行。

一旦这些企业的生产线被攻击关闭，供应链就会中断，导致整条产品线停工，从而导致利润减少、股价下跌，甚至政治声誉受损。

p>

也有受害者，代价可能是生命。

Georgia Tech 的网络安全研究专家披露了一款针对工业控制系统的恶意软件。这种勒索软件可以轻松“摧毁”我们日常生活所需的一些关键基础设施。

研究团队进行了模型演示。当工业控制系统被攻击者恶意关闭时，如果有关当局拒绝支付赎金，攻击者可以威胁要向城市供水系统添加过量的氯。会给整个城市居民的人身安全带来危险。

对于医院而言，勒索软件的负面影响将直接影响患者的安全。

还有一些可怕的趋势。研究表明，在未来的国际网络空间战场上，攻击者使用勒索软件将不再局限于经济利益，而将更加纯粹是国家级的破坏活动。

“对现有勒索软件的修改、其破坏性影响以及其目标和时间规范为国家级破坏提供了经过验证的蓝图。”

p>

5

永远不要放弃

面对这种情况，敲诈者只有抓住它的权利吗？

*修补漏洞

修补高风险漏洞以防止勒索软件利用。

例如在传统制造业中，由于一些定制化的系统过于陈旧，往往会安装与工业生产和管理相关的独立软件，以免在安装操作系统补丁后影响业务系统的稳定性和兼容性, 制造商通常不会升级系统，留下大量具有已知高风险漏洞的易受攻击的系统。

*企业人员安全教育

在当今的勒索软件攻击中，网络犯罪分子更善于利用​​社交信息作为诱饵，将简历、订单和护照作为电子邮件主题来发起垃圾邮件或针对性攻击。一旦受害者收到这些电子邮件并单击链接或下载附件，他们可能会感染勒索软件。因此，对企业员工和普通计算机用户进行持续的安全教育培训具有重要意义。

*网络隔离

目前，勒索软件在 PC 上加密数据并不是他们的最终目标，他们可能会获得网络访问权限，然后进行广泛探索，以便在触发和加密一切之前尽可能多地传播其恶意软件。

为了防止勒索病毒的传播，应采取有效的网络隔离措施，将关键业务服务程序、数据、设备隔离到独立的网络中，防止网络感染。

*数据备份与恢复

可靠的数据备份可以最大限度地减少勒索软件造成的损害，但同时，这些数据备份也必须受到保护，避免感染和破坏。

*人才培养

为了最大化攻击的有效性，绝大多数勒索软件都会选择在正常工作时间之外运行，以避免被 IT 人员发现和扫荡。在 Fire Eye 的调查中，76% 的勒索软件部署是在周末或上午 8 点到下午 6 点之间完成的。 IT安全人才严重短缺是当前企业政府面临的一大难题。

勒索软件攻击规模巨大，但它们只是数字时代新网络安全挑战的冰山一角。数字经济的本质特征是软件定义了世界。未来，整个世界都将建立在软件之上，整个世界的脆弱性将是前所未有的。因此，数字化运行得越快，如果我们无法应对新的安全威胁，安全积累的风险就越大。

参考资料：

1.美国正在打造全球最大网络武库，引发网络军备竞赛丨央视2019-06-13

2.揭秘勒索病毒背后的黑客组织：盗取官网武器库丨山西晚报2017-06-11