美国要用拉帮结派对付勒索攻击？

本期关键词：勒索软件 网络攻击 美国

根据总部设在硅谷的网络安全公司SonicWall的调查报告，2020年勒索软件是增长最为迅猛（40%）的网络威胁。根据美国政府数据，2020年全球因勒赎软件而支付的赎金超过4亿美元，2021年第一季则超过8100万美元。2021年5月7日，美国最大的油气输送管道运营商克洛尼尔（Colonial Pipeline）成为软件勒索的受害者，此次攻击导致美国东海岸的天然气供给受到影响。数周后，网络犯罪分子又使美国一家全球最大的肉类加工企业---JBS股份有限公司几乎陷入瘫痪。勒索软件这种新型威胁自面世以来，不同家族的勒索软件保持快速增长势头，且呈现定向化、RaaS化等特点。与此同时，针对能源、医疗、金融等关键基础设施行业的攻击案例明显增长，造成的经济、社会影响也愈发增大。

10月5日，美国网络安全公司Mandiant主办的2021年网络防御峰会(Cyber Defense Summit)开幕,美国网络司令部司令兼国家安全局局长保罗·中曾根、负责网络和新兴技术的美国副国家安全顾问安妮·纽伯格出席并发表演讲,介绍了当前网络威胁态势,阐述了勒索软件的普遍威胁，并将其称作一个严重的国家安全问题，称其可以对世界主要大国造成重大损害。中曾根表示，美国将继续与勒索软件战斗数年。

中曾根在网络防御峰会上发言 图片来自网络

美国召集30国举行勒索威胁峰会

当地时间10月13日至14日，美国召集英日澳印等大约30个国家举行了所谓“打击勒索软件”线上峰会，而中俄并不在受邀之列。一名美国政府高级官员透露，拜登召集盟友和伙伴讨论打击勒索软件，是为了应对“共同威胁”，近期的“恶意网络活动”应该归咎于中俄。日本媒体甚至毫不避讳地宣称，这场峰会是为了讨论中俄“网络威胁”。应对国际犯罪集团发动的勒索攻击，需要联合全球多国执法力量，而美国却选择了拉帮结派的方式。这表明，美国正在扩大网络空间领域同盟军，不断给中俄罗织新罪名，把中俄丑化成网络空间的“邪恶”象征，便于后续动员盟友乃至更广泛力量联合打压中俄。

来自下列国家和地区的高层人事参加了此次峰会：澳大利亚、巴西、保加利亚、加拿大、捷克共和国、多米尼加共和国、爱沙尼亚、欧盟、法国、德国、印度、爱尔兰、以色列、意大利、日本、肯尼亚、立陶宛、墨西哥、荷兰、新西兰、尼日利亚、波兰、韩国、罗马尼亚、新加坡、南非、瑞典、瑞士、乌克兰、阿拉伯联合酋长国和英国。

峰会探讨的课题包括：应对加密货币被用于洗白勒索费，起诉利用勒索软件的罪犯，利用外交手段打击勒索软件，以及协助各国提高抵御勒索软件攻击的能力等。

美国私营部门网络安全专家称，许多勒索软件团伙来自乌克兰和俄罗斯。一些美国官员和分析人士称，俄罗斯勒索软件团伙在克里姆林宫的默许下运作，但不受政府直接控制。 7月9日，美国总统拜登与俄罗斯总统普京进行了一个小时的电话通话。拜登要求普京采取行动打击俄罗斯境内勒索软件组织，并警告称如果网络黑客不能得到阻止，美国就将做出回应。美国表示，即使勒索软件活动不是由俄罗斯支持的，但只要这些活动来自俄罗斯领土，只要美国向俄罗斯提供了充分的溯源信息以确定攻击者身份，俄方就应该采取行动。

图片来自网络

美国应对勒索攻击取得的主要进展

美国政府认为，反勒索软件主要包括以下四项工作：

一是破坏勒索软件的基础设施并打击参与者。美国正在充分利用政府的能力来打击勒索软件参与者、协助者，并破坏相关的网络和金融基础设施。

二是增强抵御勒索软件攻击的复原能力。美国政府呼吁私营部门加大投资力度，专注于网络防御以应对威胁。美国政府还概述了关键基础设施的预期网络安全阈值，并引入了针对交通关键基础设施的网络安全要求。

三是解决滥用虚拟货币进行赎金支付的问题。虚拟货币也适用于法定货币的反洗钱和打击恐怖主义融资 (AML/CFT) 控制措施的约束，并且必须执行这些控制措施和法律。美国政府正在利用现有能力并获取创新能力来追踪和拦截勒索软件收益。

四是利用国际合作来破坏勒索软件生态系统并解决勒索软件犯罪分子的“安全港”问题。负责任的国家不应允许犯罪分子在其境内活动而不受惩罚。美国政府正在与国际合作伙伴合作破坏勒索软件网络，并提高合作伙伴在其境内检测和响应此类活动的能力，包括追究那些允许犯罪分子在其管辖范围内活动的国家的责任并使这些国家承担相应的后果。

美国政府表示，他们的工作主要取得了如下进展：

美国司法部成立了一个工作队来协调和统一执法和检控举措。

美国财政部首次对俄罗斯虚拟货币交易所Suex实施制裁，据称该交易所帮助勒索软件攻击者。

美国国务院的“司法奖励计划”提供高达1000万美元的奖金，用于奖励提供可以锁定外国政府支持的针对美国关键基础设施的网络攻击线索。

白宫的“自愿性工业控制系统网络安全倡议”号召150多家电力公司部署或承诺部署增强型网络安全技术，保障近9000万客户的用电安全。

美国国土安全部和司法部建立了“StopRansomware.gov”网站以协助私人和公共组织减轻相关风险。

美国运输安全管理局发出通知，要求关键管道业主和运营商响应关于网络防御的两个安全指令。

拜登在今年8月会见了私营部门的技术领导者，讨论了通过举国动员来努力解决网络安全问题；

美国在虚拟货币业务领域开展反洗钱/打击资助恐怖主义活动；

美国财政部正在推动实施有关虚拟资产财务透明度的国际标准。

从技术层面看勒索软件

近日，Google公司的在线恶意软件扫描服务平台VirusTotal分析了过去一年半上传的8000 万个勒索软件样本，并于近日发布了2021年勒索软件分析报告。

报告指出，传播最广的勒索软件家族的活动神出鬼没，但大约有100个非流行的勒索软件家族的活动基线从未停止，攻击者似乎是在为他们的活动准备新的样本。在2020年初，GandCrab是最活跃的家族，然后它的活动率在下半年大幅下降。2021年7月，VirusTotal平台观察到一波Babuk勒索软件的新变种。

与勒索软件相关的提交文件的时间分布

根据VirusTotal上恶意样本的提交数量，以色列、韩国、越南、中国、新加坡、印度、哈萨克斯坦、菲律宾、伊朗和英国是受影响最严重的10个地区。

勒索软件相关提交文件的地理分布情况

根据该报告，自2020年至2021年上半年，至少有140多个国家的用户提交了恶意软件样本到VirusTotal平台，该平台至少发现了130个不同的活跃的勒索软件家族。

勒索软件相关群组的时间分布

每个家族的勒索软件相关集群

在大约130个勒索软件家族中，GandCrab家族最为活跃，紧随其后的是Babuk、Cerber、Matsnu、Congur、Locky、Teslacrypt、Rkor和Reveon 。

按不同样本数量排列的十大勒索软件家族

根据报告，VirusTotal上检测到的95%的勒索软件文件是基于Windows的可执行文件或动态链接库（DLLs），2%是基于Android的。

勒索软件样本的类型

攻击者在某些阶段使用的工具或文件与勒索软件家族有关，报告中将其分为两组：用于分发勒索软件的工具或文件，以及用于横向移动的工具或文件。

用于分发勒索软件的Top5工具

此外，报告表示，YARA规则在检测和分类方面不是完全有效，勒索软件不同于其他恶意软件活动，这很可能是因为它们不像其他威胁那样经常更新，也可能是由于目前活跃着大量的勒索软件家族。其次，攻击者正在使用一系列不同的方法，包括使用著名的僵尸网络恶意软件和其他RATs。第三，在勒索软件分发方面，攻击者似乎不需要除权限提升和恶意软件在内部传播之外的可利用的漏洞。最后，如前所述，Windows占勒索软件目标的95％，而安卓系统只占2%。

我们应该如何应对勒索软件

非必要时，不要将远程桌面服务（如RDP）暴露在公共网络中，并始终对其使用强密码。

确保商业VPN解决方案和其他服务器端软件始终是最新的，因为它们是勒索软件的常见感染载体。另外，始终保持客户端的应用程序也是最新的。

实施网络分段，在网段之间应用强大的防火墙和IPS 保护措施，以控制恶意软件在整个网络中传播。

将防御策略集中在检测横向移动和数据渗出到互联网上，要特别注意传出的流量，以检测网络犯罪的连接。

定期使用“3，2，1”规则备份重要文件：以两种不同的文件格式创建三个备份副本，其中一个备份位于单独的位置。

使用最新的威胁情报信息，以实时了解攻击者所使用的TTP。

为了保护公司网络和系统环境，开展专门的培训课程对员工进行安全培训。

对所有端点启用勒索软件保护。

如果已经成为受害者，切勿支付赎金，这不能确保能够取回数据，但会鼓励犯罪分子继续其活动。应将事件报告给当地的执法机构或试着在互联网上寻找解密器。

（参考来源：Mandiant等网络安全网站）