什么是勒索软件及其工作原理?——彭博社

Andrew Martin, Sana Pashankar

玛莎百货因网络攻击损失3亿英镑消息来源:彭博社2021年,一场导致美国东海岸燃油供应瘫痪的网络攻击后,时任总统乔·拜登誓言将勒索软件列为国家安全优先事项。行政命令相继出台,国际峰会频繁召开,起诉书与制裁措施接连发布以遏制犯罪。四年后,勒索软件仍是全球企业与组织难以拔除的毒刺。截至2025年,零售商、制造商、医院及学校等行业持续遭受冲击。勒索软件肆虐的根源在于其始终为黑客提供着低风险高回报的犯罪温床。

何为勒索软件?

勒索软件指黑客用于加密受害者计算机文件的恶意代码程序。

过去十年间,这种手段彻底改变了以窃取信用卡号等敏感信息为主的网络犯罪生态。2010年代加密货币的兴起使得犯罪分子更容易将非法所得变现并隐匿身份。

近年来,更狡诈的恶意软件与犯罪模式创新助长了勒索攻击的蔓延。例如,众多勒索组织将恶意代码租赁给所谓"加盟商",由后者实施实际攻击并上缴部分赃款。这种"勒索软件即服务"模式显著降低了黑客的入行门槛,导致攻击数量激增。

这是一个已经扰乱国家医疗系统冲击金融市场的问题,导致赌场临时关闭,甚至迫使部分企业和至少一所学院永久停业。英国消费者在玛莎百货部分系统感染勒索软件后受到影响,迫使其暂停线上销售数周,店内支付系统瘫痪并导致货架商品短缺。

勒索软件如何被使用?

要部署勒索软件,黑客首先需侵入计算机网络。实现方式多种多样,但钓鱼邮件和未修复的安全漏洞是常见手段。网络犯罪分子还会通过伪装成被系统锁定的同事等骗术,诱骗客服代表交出登录凭证。

典型的勒索软件攻击会使计算机文件或服务无法使用,直到攻击者提供解密密钥解锁。许多黑客组织还会在部署勒索软件锁定系统前,先彻底搜查受害者的计算机网络并窃取敏感数据。这样一来,他们既能索要解锁费用,又能以公开泄露数据为要挟实施双重勒索。部分黑客团伙甚至威胁受害者若不支付赎金将发动二次攻击。

这些数字窃贼几乎总是要求以加密货币支付,因为这种形式在资金转移时能提供匿名性,比传统货币更难追踪。

谁是勒索软件攻击的幕后黑手?

勒索软件组织通常以俄罗斯或东欧为基地运作,与当地或全球的附属机构合作。美国和加拿大已逮捕多名涉嫌参与勒索软件的人员,乌克兰警方也开展行动拘捕了多名被指控的黑客。部分攻击具有国家背景。根据联合国报告,朝鲜黑客利用勒索软件攻击获取的非法加密货币突破国际制裁筹集资金,通常用于资助该国核武器研发。

黑客组织的地理分布使得打击勒索软件的尝试变得复杂,部分原因是许多组织位于西方执法机构管辖范围之外的司法管辖区。

情况有多严重?

由于缺乏追踪网络犯罪的中央数据库,黑客攻击的数据 notoriously 不完整。尽管追踪到的攻击数量起伏不定,但网络安全专家表示,过去十年整体趋势基本呈上升态势。

2021年5月,当疑似俄罗斯黑客入侵管理殖民管道公司的计算机系统,导致美国民众恐慌性购买燃料后,这一话题成为主流关注焦点。同年发生的其他入侵事件——一起针对肉类生产商JBS SA,另一起针对IT公司Kaseya Ltd.——彻底消除了此类攻击已成为常态的疑虑。

新泽西州阿文纳尔殖民管道公司设施内的储油罐。摄影师:Mark Kauzlarich/Bloomberg2022年,勒索软件行为体相对沉寂,安全专家将这一变化归因于俄罗斯当年2月入侵乌克兰。区块链分析公司Chainalysis Inc.指出,战争初期该地区的勒索软件团伙可能因分心、流离失所而暂时中断了常规犯罪活动。

但2023年标志着这类网络犯罪的大规模卷土重来,据Chainalysis数据显示,黑客当年通过勒索软件窃取了10亿美元。

一些最恶意的黑客团伙,如LockBit,已为其附属机构创建了自动化大部分攻击流程的仪表盘。这种客户服务加上巨额利润的诱惑,使得试图参与此类活动的行为者数量和类型大幅增加。

像ChatGPT这样的生成式人工智能平台还能让黑客编写更流畅、更具说服力的钓鱼邮件,从而提升这些犯罪分子入侵网络的效率。

谁最容易受到勒索软件攻击?

几乎所有组织都可能成为目标,因为许多攻击是随机的——通常基于利用有缺陷的软件而非特定受害者。医疗机构和学校尤其受到勒索软件的重创,这是因为它们持有大量敏感数据,但往往没有足够的预算或人员来维护强大的网络安全防护措施。

医院被视为特别脆弱的目标,部分原因是它们提供关键服务,因此迫切需要解决技术问题。英国国家医疗服务体系(NHS)因其庞大的供应商网络和计算机系统持有全球最丰富、最全面的国家健康数据集之一,成为特别诱人的目标

2024年6月,一个俄罗斯黑客团伙攻击了为NHS提供血液检测、输血和其他病理服务的承包商Synnovis,导致伦敦多家医院和诊所服务中断。根据彭博新闻社获得的数据,这起事件对数十名患者造成了伤害。

关于勒索软件采取了哪些措施?

在2021年发生一系列特别严重的攻击后,美国政府誓言要打击网络犯罪分子。自那时起,美国及其盟友已关闭了臭名昭著的犯罪团伙的暗网网站,起诉了勒索软件犯罪分子,并对协助支付赎金的公司实施了制裁。

去年,包括美国联邦调查局和英国国家犯罪署在内的国际执法机构宣布,他们已破坏了LockBit的运营。据美国司法部称,LockBit黑客从全球2000多名受害者那里窃取了超过1.2亿美元,受害者包括学校、政府实体以及波音公司和英国皇家邮政等知名企业。

专家表示,虽然这些行动确实给网络犯罪分子带来了短期问题,但他们往往会改头换面,以另一个组织的名义重新开始攻击。

参考资料