什麼是勒索軟件及其工作原理?——彭博社

Andrew Martin, Sana Pashankar

瑪莎百貨因網絡攻擊損失3億英鎊消息來源:彭博社2021年,一場導致美國東海岸燃油供應癱瘓的網絡攻擊後,時任總統喬·拜登誓言將勒索軟件列為國家安全優先事項。行政命令相繼出台,國際峯會頻繁召開,起訴書與制裁措施接連發布以遏制犯罪。四年後,勒索軟件仍是全球企業與組織難以拔除的毒刺。截至2025年,零售商、製造商、醫院及學校等行業持續遭受衝擊。勒索軟件肆虐的根源在於其始終為黑客提供着低風險高回報的犯罪温牀。

何為勒索軟件?

勒索軟件指黑客用於加密受害者計算機文件的惡意代碼程序。

過去十年間,這種手段徹底改變了以竊取信用卡號等敏感信息為主的網絡犯罪生態。2010年代加密貨幣的興起使得犯罪分子更容易將非法所得變現並隱匿身份。

近年來,更狡詐的惡意軟件與犯罪模式創新助長了勒索攻擊的蔓延。例如,眾多勒索組織將惡意代碼租賃給所謂"加盟商",由後者實施實際攻擊並上繳部分贓款。這種"勒索軟件即服務"模式顯著降低了黑客的入行門檻,導致攻擊數量激增。

這是一個已經擾亂國家醫療系統衝擊金融市場的問題,導致賭場臨時關閉,甚至迫使部分企業和至少一所學院永久停業。英國消費者在瑪莎百貨部分系統感染勒索軟件後受到影響,迫使其暫停線上銷售數週,店內支付系統癱瘓並導致貨架商品短缺。

勒索軟件如何被使用?

要部署勒索軟件,黑客首先需侵入計算機網絡。實現方式多種多樣,但釣魚郵件和未修復的安全漏洞是常見手段。網絡犯罪分子還會通過偽裝成被系統鎖定的同事等騙術,誘騙客服代表交出登錄憑證。

典型的勒索軟件攻擊會使計算機文件或服務無法使用,直到攻擊者提供解密密鑰解鎖。許多黑客組織還會在部署勒索軟件鎖定系統前,先徹底搜查受害者的計算機網絡並竊取敏感數據。這樣一來,他們既能索要解鎖費用,又能以公開泄露數據為要挾實施雙重勒索。部分黑客團伙甚至威脅受害者若不支付贖金將發動二次攻擊。

這些數字竊賊幾乎總是要求以加密貨幣支付,因為這種形式在資金轉移時能提供匿名性,比傳統貨幣更難追蹤。

誰是勒索軟件攻擊的幕後黑手?

勒索軟件組織通常以俄羅斯或東歐為基地運作,與當地或全球的附屬機構合作。美國和加拿大已逮捕多名涉嫌參與勒索軟件的人員,烏克蘭警方也開展行動拘捕了多名被指控的黑客。部分攻擊具有國家背景。根據聯合國報告,朝鮮黑客利用勒索軟件攻擊獲取的非法加密貨幣突破國際制裁籌集資金,通常用於資助該國核武器研發。

黑客組織的地理分佈使得打擊勒索軟件的嘗試變得複雜,部分原因是許多組織位於西方執法機構管轄範圍之外的司法管轄區。

情況有多嚴重?

由於缺乏追蹤網絡犯罪的中央數據庫,黑客攻擊的數據 notoriously 不完整。儘管追蹤到的攻擊數量起伏不定,但網絡安全專家表示,過去十年整體趨勢基本呈上升態勢。

2021年5月,當疑似俄羅斯黑客入侵管理殖民管道公司的計算機系統,導致美國民眾恐慌性購買燃料後,這一話題成為主流關注焦點。同年發生的其他入侵事件——一起針對肉類生產商JBS SA,另一起針對IT公司Kaseya Ltd.——徹底消除了此類攻擊已成為常態的疑慮。

新澤西州阿文納爾殖民管道公司設施內的儲油罐。攝影師:Mark Kauzlarich/Bloomberg2022年,勒索軟件行為體相對沉寂,安全專家將這一變化歸因於俄羅斯當年2月入侵烏克蘭。區塊鏈分析公司Chainalysis Inc.指出,戰爭初期該地區的勒索軟件團伙可能因分心、流離失所而暫時中斷了常規犯罪活動。

但2023年標誌着這類網絡犯罪的大規模捲土重來,據Chainalysis數據顯示,黑客當年通過勒索軟件竊取了10億美元。

一些最惡意的黑客團伙,如LockBit,已為其附屬機構創建了自動化大部分攻擊流程的儀表盤。這種客户服務加上鉅額利潤的誘惑,使得試圖參與此類活動的行為者數量和類型大幅增加。

像ChatGPT這樣的生成式人工智能平台還能讓黑客編寫更流暢、更具説服力的釣魚郵件,從而提升這些犯罪分子入侵網絡的效率。

誰最容易受到勒索軟件攻擊?

幾乎所有組織都可能成為目標,因為許多攻擊是隨機的——通常基於利用有缺陷的軟件而非特定受害者。醫療機構和學校尤其受到勒索軟件的重創,這是因為它們持有大量敏感數據,但往往沒有足夠的預算或人員來維護強大的網絡安全防護措施。

醫院被視為特別脆弱的目標,部分原因是它們提供關鍵服務,因此迫切需要解決技術問題。英國國家醫療服務體系(NHS)因其龐大的供應商網絡和計算機系統持有全球最豐富、最全面的國家健康數據集之一,成為特別誘人的目標

2024年6月,一個俄羅斯黑客團伙攻擊了為NHS提供血液檢測、輸血和其他病理服務的承包商Synnovis,導致倫敦多家醫院和診所服務中斷。根據彭博新聞社獲得的數據,這起事件對數十名患者造成了傷害。

關於勒索軟件採取了哪些措施?

在2021年發生一系列特別嚴重的攻擊後,美國政府誓言要打擊網絡犯罪分子。自那時起,美國及其盟友已關閉了臭名昭著的犯罪團伙的暗網網站,起訴了勒索軟件犯罪分子,並對協助支付贖金的公司實施了制裁。

去年,包括美國聯邦調查局和英國國家犯罪署在內的國際執法機構宣佈,他們已破壞了LockBit的運營。據美國司法部稱,LockBit黑客從全球2000多名受害者那裏竊取了超過1.2億美元,受害者包括學校、政府實體以及波音公司和英國皇家郵政等知名企業。

專家表示,雖然這些行動確實給網絡犯罪分子帶來了短期問題,但他們往往會改頭換面,以另一個組織的名義重新開始攻擊。

參考資料