如果你一直关注近期的网络安全新闻头条,就会注意到一个令人不安的趋势。过去,这些攻击主要集中在窃取信用卡信息、社保信息以及显示那些烦人的弹窗广告,这样的日子已经一去不复返了。如今,它们已演变成全球各类规模企业面临的重大生存威胁。
我们看到的攻击不再仅仅导致企业生产力出现小幅波动,而是会使其运营中断一两天。我们看到的攻击甚至有能力将整个组织从地图上彻底抹去。
人们普遍存在一种误解,认为勒索软件攻击专门针对大型科技公司、企业或不知名的政府机构。但黑客的目标其实更加随意。那些挺过了经济衰退、全球战争和疫情的企业,如今却在数字勒索的压力下摇摇欲坠,它们亟需迅速学会如何保护自己。
在本文中,我们将详细解析勒索软件究竟是什么、现代攻击背后的机制、它们为何传播如此迅速,以及当企业猝不及防时,这些攻击会变得多么无情。
在我们深入探讨一些恐怖故事和警示案例之前,让我们先快速明确一些定义。
勒索软件最贴切的描述是一种恶意软件(malware),它会破坏运营并阻止企业访问其系统,直到支付一定金额的赎金。
虽然字典中的定义可能略显抽象甚至生硬,但让我们通过一个虚构场景来了解真实勒索软件攻击的样子。假设你明天早上走进办公室,会议都已安排妥当,你准备开始工作。
你唤醒电脑,晃动鼠标,屏幕亮起,但往常的桌面壁纸不见了。取而代之的是一个黑色屏幕,上面有威胁性的红色文字,说明你系统上的每个文件、每个数据库和每条客户记录都已被加密,你再也无法访问它们。恐慌开始蔓延。
通常,加密是“好人”用于网络安全的工具。但在勒索软件中,他们颠覆了这一概念,加密你所有的数据,因为他们知道自己是唯一拥有解锁密钥的人。
接下来,黑客会提出勒索要求。这通常以加密货币支付的形式进行,例如比特币,但更有可能是像门罗币(Monero)或零币(Zcash)这类更难追踪的币种。他们承诺,一旦你支付赎金,就会解密你的系统,你就能恢复正常,仿佛什么都没发生过。
现在大多数黑客团伙还会使用一种被称为“双重勒索”的邪恶策略,他们会锁定你的文件,复制你所有的文件,并威胁要将其泄露给公众。因此,即使你通过可靠的备份为勒索软件攻击做好了准备,他们仍会以大规模数据泄露的形式对你施加第二轮压力。他们可能威胁曝光客户私人数据、法律文件或商业机密。这完全取决于他们获取了何种类型的数据。
在很多方面,这变成了一种数字人质事件,而且由于枪口直接对准了组织的声誉和生存,处理起来十分棘手。
既然此类威胁如今已广为人知,为何仍在大规模造成如此严重的破坏?问题在于,一旦网络遭到入侵,恶意软件的传播速度极快,同时也与现代网络的架构有关。
勒索软件沿着阻力最小的路径传播,而现代数字基础设施的一大问题在于,其中布满了未加锁的“门”。
勒索软件攻击是如何发起的?尽管流行文化描绘的场景是,一个戴着兜帽的人在黑暗的房间里疯狂敲击键盘,试图绕过防火墙,但现实情况要平凡得多(对安全团队而言也更令人沮丧)。
大多数时候,黑客不需要用攻城锤去撞击守卫森严的前门。他们只需拿到留在门垫下的备用钥匙。实际上,这把备用钥匙可能就是一个简单的弱密码或已泄露的密码。如果你的企业有数百或数千名员工,每人都使用数十个应用程序,那么就会有很多潜在的“盔甲裂缝”可能被利用。
如果攻击者猜对了弱密码,或者从暗网购买到有效的登录信息列表,他们就能像合法用户一样轻松登录你的网络。一旦侵入,大多数网络安全防御措施便不再将其视为外部人员,他们得以在系统间自由横向移动,传播恶意软件,直至达到临界规模。
一旦攻击者踏入大门,他们便会不慌不忙地以尽可能隐蔽的方式感染系统。他们通过一种名为“就地取材”的技术来实现这一点。
他们不会上传那些可能被杀毒软件识别的明显恶意病毒,而是使用 Windows 操作系统中已内置的工具。例如,他们可能会使用 PowerShell(一种任务自动化框架)来运行脚本,以禁用安全警报或扫描网络中的其他计算机。
由于他们使用的是合法的管理工具,因此能融入正常的网络流量而不引起任何怀疑。采用这种方法,安全团队可能需要数小时、数天,在某些情况下甚至数月才能发现异常。这使得勒索软件有足够时间造成破坏,并在系统和数据中传播,提升自身权限,直至黑客能够锁定整个组织。
您可能听说过SaaS(软件即服务)。现在试想一下这种商业模式,但这次它是为网络犯罪而构建的。这听起来似乎过于肆无忌惮,不像是真实存在的事情,但这恰恰就是勒索软件即服务(RaaS)。
过去,如果您想实施勒索软件攻击,需要扎实的技术能力和黑客技能才有可能成功。这也是为什么这类攻击曾经寥寥无几。但如今,任何人都可以上网购买现成的勒索软件工具包。
犯罪集团将其工具打包,就像现代软件公司打包其应用程序一样,然后以订阅方式出售。这些服务通常配备完整的客户服务、技术指导、入门指南、利润分成模式,甚至还有用于跟踪受害者感染情况的仪表板。
这听起来可能很疯狂,但它是一个真实的“行业”,并且每天都在发生。
其结果是,任何心怀不轨之人——无论是心怀不满的前员工、想捞点快钱的人,还是纯粹想搞破坏看热闹的人——都能发起大规模勒索软件攻击。他们无需了解恶意软件的工作原理,因为这些软件早已开发完成。
这是攻击事件激增的最大原因之一。网络犯罪已形成“加盟模式”。而随着犯罪分子越来越多,攻击的侵略性也急剧上升。
如果你认为勒索软件团伙只会锁定文件,那就大错特错了。他们的商业模式依赖于恐惧、压力和羞辱。他们希望受害者恐慌。他们希望决策者感到走投无路。
英国广播公司(BBC)最近的一篇报道展示了情况可能变得多么恶劣。某勒索软件团伙不仅窃取数据,还直接针对员工。他们发送信息威胁要泄露个人信息和医疗记录,利用员工作为情感杠杆,迫使企业支付赎金。这并非偶然的“害群之马”行为,而正成为一种标准操作。
如今,犯罪分子通常会:
他们毫无真正的羞耻感,也没有拒绝逾越的底线。这些罪犯不仅仅想要钱,他们想要完全的控制和服从,并且会想尽一切办法压榨受害者,直到达到目的。
每年,这些攻击都变得更快、更具侵略性且破坏性更大。犯罪集团正在相互勾结、磨练技能、分享“最佳实践”并逐步完善策略。由于经济利益极高,不乏想要加入分一杯羹的不良分子。
对于企业而言,保护自身的第一步是了解勒索软件的实际运作方式,希望本篇博客能帮助您开启这一认知之旅。尽管勒索软件的危害极大,但通过良好的网络安全实践和定期的员工培训,是可以预防的。
请记住,你的防御强度取决于其最薄弱的环节,因此要确保组织中的每个人都了解勒索软件的风险以及他们在在线交互时的责任。
