全美100個地方政府及700企業(yè)被黑客攻擊，他們咋應對？

我們可以想象下這樣的場景：當你有事前往法院時，卻看到門上貼著通告，上面寫著“系統故障”；警察現場辦案時，卻發(fā)現無法在他們的車內訪問筆記本電腦上的信息；當醫(yī)生準備為患者手術時，醫(yī)療設備卻處于宕機狀態(tài)，這些異常情況會產生什么樣的可怕后果？然而，這就是城市、警察局或醫(yī)院遭到勒索軟件攻擊時可能遇到的情況。

勒索軟件是可以加密或控制計算機系統的惡意軟件。發(fā)動這些攻擊的罪犯可以拒絕還回訪問權限，直到他們拿到贖金。在2019年之前，勒索軟件大多針對企業(yè)和個人。然而近年來，針對Travelex、Maersk等石油和天然氣公司以及工業(yè)控制系統的攻擊，已經導致數億美元的巨額損失。

但越來越多的城市、供電設施以及面向公眾的機構也成為攻擊目標。隨著攻擊的日益增加，越來越多的安全專家正在使用人工智能（AI）來提高防御惡意軟件攻擊的效率。但也有人擔心，犯罪分子也將開始使用AI將勒索軟件武器化，并策劃更有效的襲擊。

易受攻擊的目標

安全公司Emsisoft的分析發(fā)現，僅在2019年，就大約有85所美國學校、100個美國地方和州政府，以及700多個醫(yī)療保健服務提供商遭受了勒索軟件攻擊。這還不包括最近德克薩斯學區(qū)遭受的襲擊事件（損失230萬美元），也不包括導致新奧爾良市宣布進入緊急狀態(tài)的襲擊事件。新奧爾良市長拉托亞·坎特雷爾(LaToya Cantrell)表示，勒索軟件攻擊造成的損失超過了該市300萬美元的網絡保險單上限。

針對面向公眾機構的勒索軟件攻擊尤其令人擔憂，因為與個人或企業(yè)不同，城市、學校和醫(yī)院為公眾提供著基本的公共安全和服務。Emsisoft的報告稱，2019年，勒索軟件中斷了911服務，推遲了手術程序，并使應急官員難以訪問醫(yī)療文件、掃描員工徽章和查看未完成的逮捕令。

即使沒有AI為勒索軟件帶來的升級，網絡犯罪分子也在造成大量破壞，攻擊頻率和造成的損失都在上升。巴爾的摩花費了1800萬美元來解決2019年勒索軟件襲擊造成的損失。在此之前，亞特蘭大市的一次襲擊造成了約1700萬美元損失。根據Barracuda Networks的分析，小城市特別容易受到攻擊，因為2019年近半被攻擊城市的人口在5萬人以下。分析還發(fā)現，2019年三分之二的勒索軟件攻擊針對的是政府組織。

回過頭來看，有時似乎對城市的勒索軟件攻擊甚至不知從何而來，但Malwarebytes Labs主任亞當·庫賈瓦（Adam Kujawa）表示，這一趨勢可以追溯到2017年底，當時WannaCry、Petya和NotPetya重新定義了惡意軟件。這些攻擊能夠加密數據并將它們傳播到全球各地的網絡，這讓網絡罪犯看到了新的可能性。一個針對烏克蘭供電公司的蠕蟲像數字臟彈一樣在全球傳播，造成的損失高達100億美元。

然后在2018年末，Malwarebytes Labs發(fā)現了涉及EmoTet的攻擊，EmoTet會竊取憑證，通過垃圾郵件模塊傳播惡意軟件，然后使用TrickBot等惡意軟件橫向移動并感染網絡。庫賈瓦說：“從那時起，我們開始看到越來越多的特定攻擊方法，然后是對這種攻擊方法的各種改進，直到演變到現在的樣子。”

Barracuda Networks表示，電子郵件是攻擊者訪問城市系統的最常見方式，其次是PDF和微軟Office文檔。釣魚電子郵件和文檔有時被設計成適合城市通常收到的電子郵件和文檔的類型，比如發(fā)票或發(fā)貨通知。

庫賈瓦表示，這些工具的演變以及其他襲擊帶來的更高投資回報，使更多的犯罪活動轉向了政府機構。他指出，城市服務和醫(yī)院正成為更大的目標，因為它們包含如此多的個人身份信息(PII)，需要始終發(fā)揮作用才能服務于社會。城市以采用新技術的速度低于平均水平而聞名，包括旨在修補最新漏洞的軟件更新。他們的員工中也不太可能有網絡安全專家，而且他們的文化可能沒有認真對待網絡安全。

犯罪手段似乎也在升級。攻擊者不僅威脅要加密文件和限制訪問，現在還威脅要在網上發(fā)布文件。庫賈瓦指出：“開始威脅將內部文件和客戶信息泄露到開放網絡中，這很可能成為一種標準的操作程序，這將把勒索軟件攻擊變成全面的數據泄露事件。這將給受到攻擊的組織帶來更多的問題。”

罪犯索取的贖金（通常要求用比特幣）也在上升。Malwarebytes Labs發(fā)現，2019年攻擊者向政府和學校索要的贖金從最初的1000美元左右飆升至年底的4萬美元以上。安全公司Coveware預計，2019年第四季度的平均贖金勒索金額超過8萬美元。

另一個令人擔憂的問題是，實施勒索軟件攻擊的組織開始銷售勒索軟件，允許技術知識較少的犯罪分子自己發(fā)動攻擊，庫賈瓦稱這種模式為“勒索軟件為服務”，這幾乎已經形成了獨立的經濟模式。

支付贖金城市的失誤

巴爾的摩在十幾個月的時間里遭受了兩次勒索軟件攻擊，這是情況可能變得如此糟糕的最引人注目、最昂貴和最持久的例子。第二起襲擊發(fā)生在2019年5月，到結束時，這座城市已經損失了近1800萬美元。

關于城市是否應該支付贖金的要求存在很大爭議。庫賈瓦說，巴爾的摩沒有支付贖金是個錯誤，該市也沒有制定總體政策。2019年夏天的襲擊事件加強了雙方在是否支付贖金問題上的分歧。去年6月，佛羅里達州的湖城和里維埃拉海灘分別支付了約50萬美元和60萬美元的贖金。相比之下，德克薩斯州近20多個城市在2019年8月的集體襲擊中受到攻擊，但沒有任何城市支付贖金。

有些城市試圖通過購買網絡保險來采取積極措施，防止?jié)撛诘睦账鬈浖p失。在新奧爾良發(fā)生攻擊事件后，坎特雷爾表示，該市計劃將其網絡保險覆蓋金額從300萬美元提高到1000萬美元，而巴爾的摩預算委員會在2019年10月批準了一項2000萬美元的網絡安全保單。

庫賈瓦說，網絡保險將問題從從未遇到過勒索軟件的人手中拿出來，并將其移交給始終在處理這個問題的人。他稱：“很明顯，外面有很多騙子，我絕對認為網絡安全保險在我們今天的社會中非常重要，而且未來會更有價值，只要它不只是為了抬高補救成本而存在。“

無論如何，城市宣布他們有網絡保險是不明智的，巴爾的摩就犯了這樣的錯誤。這只會招致罪犯勒索數額更大的贖金，并在某種程度上喂飽了這頭“野獸”。幾乎沒有襲擊面向公眾機構的肇事者被繩之以法，這一事實可能會加劇勒索軟件的流行趨勢。

AI如何防范勒索軟件攻擊

為了防止勒索軟件的傳播，安全軟件使用AI來檢測、隔離和刪除受感染的文件。安全軟件可以使用無監(jiān)督機器學習來創(chuàng)建AI模型，這些模型由數據集訓練，以識別干凈文件和惡意文件之間的差異。自然語言處理(NLP)和計算機視覺有助于檢測電子郵件或文檔中的異常行為。微軟正在使用運行在傳統分類模型之上的單調模型，可以捕獲95%的惡意軟件。這項技術是由加州大學伯克利分校的AI研究人員開發(fā)的。

網絡安全公司Capgeini在報告中發(fā)現，AI正在幫助該行業(yè)更快地發(fā)展，并專注于解決最大的問題。接受調查的安全專業(yè)人士中有四分之三表示，AI減少了檢測惡意軟件的時間。三分之二的人表示，AI降低了應對入侵的成本。反病毒和安全公司越來越多地采用AI。在2019年之前，大約五分之一的安全組織使用AI，三分之二的組織計劃在2020年采用這項技術。

AI如何助長勒索軟件攻擊

庫賈瓦表示，魚叉式網絡釣魚仍然是傳遞惡意軟件的主要方法，這一事實表明，人們仍然很容易受到有時會出現在他們電子郵件收件箱中的那種欺詐的影響。

這也反映了這樣一個事實，即今天的勒索軟件襲擊似乎不需要AI的幫助。Malwarebytes Labs和Barracuda Networks尚未在實驗室外看到AI在勒索軟件中的應用。Malwarebytes Labs對惡意軟件潛在武器化的分析預測，帶有AI的勒索軟件在未來一到三年內都不會流行起來。

庫賈瓦稱，他當前最關心的是AI加入進來的想法，這種想法可以描述組織中最適合瞄準的人。AI還可以發(fā)現將惡意軟件傳播到世界各地大量機器的路徑，并成為AI軍備競賽中的“彈藥”。這樣的方法可以利用特定安全供應商檢測或訓練模型的漏洞類型，來檢測攻擊的軟區(qū)域。

庫賈瓦解釋稱：“有些研究人員已經做了實驗室測試，并創(chuàng)造了內部的AI惡意軟件。這當然是可能的事情，但我們在實際中如何看到它出現，看到其出現的頻率，這才是我最擔心的。我確實看到AI和機器學習被用來從泄密、社交媒體或其他任何地方抓取數據，以創(chuàng)建特定用戶的個人資料或理想受害者的個人資料。你可以利用所有這些信息來創(chuàng)建更高效的魚叉式網絡釣魚攻擊，來對付企業(yè)或任何你想要對付的人。”

未來發(fā)展趨勢預測

安全公司Barracuda Networks首席技術官弗萊明·施（Fleming Shi）說：“希望2018年和2019年吸取的經驗教訓將在2020年為這些組織帶來更高的安全保障，但我們知道這可能不是所有組織都能做到的，襲擊會變得更糟。“

弗萊明·施預測，2020年，美國大選“搖擺州”的小城鎮(zhèn)可能會看到民族國家行為者發(fā)動更多襲擊，以此作為在11月美國總統大選之前發(fā)現漏洞的方式。他說：“那些在選舉決定中起重要作用的人有時會成為攻擊目標。我的觀點是，我覺得我們還沒有為大選年做好準備，沒有適當的防御措施?！?/p>

但庫賈瓦認為，我們不太可能在搖擺州的小城市看到這種類型的攻擊，因為有更微妙的方法來測試系統。然而，他和弗萊明·施一樣擔心，城市和面向公眾的機構未來可能會看到民族國家行為者實施的勒索軟件攻擊增加，因為他們的動機不僅僅是金融敲詐勒索。

WannaCry在全球造成的損失估計在40億至80億美元之間，它是由Shadow Brokers傳播的，這些人被認為與俄羅斯政府有關聯。從美國國家安全局黑客組織竊取的漏洞EternalBlue，暴露了黑客在WannaCry、Petya和NotPetya攻擊中使用的Windows操作系統的漏洞。

特朗普政府稱NotPetya是“史上破壞性最大、代價最高的網絡攻擊”，導致美國財政部在2018年對俄羅斯政府實施制裁。美國財政部公布了對NotPetya的制裁，以及對干預2016年總統選舉行為的制裁措施。

庫賈瓦看到安全專家現在對犯罪集團的能力和勒索軟件的流行有了更多的認識，這讓他感到鼓舞。越來越多的城市開始實施最佳實踐，將PII置于另一層保護技術之后，并在發(fā)生攻擊時立即做出反應。他補充說，Barracuda Networks和MalwareBytes等安全公司正在使用AI更好地檢測SamSam、Ryuk、RobbinHood和LockerGoga等勒索軟件。

庫賈瓦表示：“我們正朝著更好的方向發(fā)展，安全領域的許多行業(yè)也在朝這個方向發(fā)展。這必須是AI與AI之間的較量。如果網絡罪犯真的開始利用這些東西，我們需要能夠在他們襲擊之前阻止威脅，我們必須能夠在甚至不知道威脅存在的情況下阻止威脅出現?！?/p>

廣告聲明：文內含有的對外跳轉鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結果僅供參考，IT之家所有文章均包含本聲明。