全美100個(gè)地方政府及700企業(yè)被黑客攻擊，他們咋應(yīng)對(duì)？

我們可以想象下這樣的場(chǎng)景：當(dāng)你有事前往法院時(shí)，卻看到門上貼著通告，上面寫著“系統(tǒng)故障”；警察現(xiàn)場(chǎng)辦案時(shí)，卻發(fā)現(xiàn)無法在他們的車內(nèi)訪問筆記本電腦上的信息；當(dāng)醫(yī)生準(zhǔn)備為患者手術(shù)時(shí)，醫(yī)療設(shè)備卻處于宕機(jī)狀態(tài)，這些異常情況會(huì)產(chǎn)生什么樣的可怕后果？然而，這就是城市、警察局或醫(yī)院遭到勒索軟件攻擊時(shí)可能遇到的情況。

勒索軟件是可以加密或控制計(jì)算機(jī)系統(tǒng)的惡意軟件。發(fā)動(dòng)這些攻擊的罪犯可以拒絕還回訪問權(quán)限，直到他們拿到贖金。在2019年之前，勒索軟件大多針對(duì)企業(yè)和個(gè)人。然而近年來，針對(duì)Travelex、Maersk等石油和天然氣公司以及工業(yè)控制系統(tǒng)的攻擊，已經(jīng)導(dǎo)致數(shù)億美元的巨額損失。

但越來越多的城市、供電設(shè)施以及面向公眾的機(jī)構(gòu)也成為攻擊目標(biāo)。隨著攻擊的日益增加，越來越多的安全專家正在使用人工智能（AI）來提高防御惡意軟件攻擊的效率。但也有人擔(dān)心，犯罪分子也將開始使用AI將勒索軟件武器化，并策劃更有效的襲擊。

易受攻擊的目標(biāo)

安全公司Emsisoft的分析發(fā)現(xiàn)，僅在2019年，就大約有85所美國(guó)學(xué)校、100個(gè)美國(guó)地方和州政府，以及700多個(gè)醫(yī)療保健服務(wù)提供商遭受了勒索軟件攻擊。這還不包括最近德克薩斯學(xué)區(qū)遭受的襲擊事件（損失230萬美元），也不包括導(dǎo)致新奧爾良市宣布進(jìn)入緊急狀態(tài)的襲擊事件。新奧爾良市長(zhǎng)拉托亞·坎特雷爾(LaToya Cantrell)表示，勒索軟件攻擊造成的損失超過了該市300萬美元的網(wǎng)絡(luò)保險(xiǎn)單上限。

針對(duì)面向公眾機(jī)構(gòu)的勒索軟件攻擊尤其令人擔(dān)憂，因?yàn)榕c個(gè)人或企業(yè)不同，城市、學(xué)校和醫(yī)院為公眾提供著基本的公共安全和服務(wù)。Emsisoft的報(bào)告稱，2019年，勒索軟件中斷了911服務(wù)，推遲了手術(shù)程序，并使應(yīng)急官員難以訪問醫(yī)療文件、掃描員工徽章和查看未完成的逮捕令。

即使沒有AI為勒索軟件帶來的升級(jí)，網(wǎng)絡(luò)犯罪分子也在造成大量破壞，攻擊頻率和造成的損失都在上升。巴爾的摩花費(fèi)了1800萬美元來解決2019年勒索軟件襲擊造成的損失。在此之前，亞特蘭大市的一次襲擊造成了約1700萬美元損失。根據(jù)Barracuda Networks的分析，小城市特別容易受到攻擊，因?yàn)?019年近半被攻擊城市的人口在5萬人以下。分析還發(fā)現(xiàn)，2019年三分之二的勒索軟件攻擊針對(duì)的是政府組織。

回過頭來看，有時(shí)似乎對(duì)城市的勒索軟件攻擊甚至不知從何而來，但Malwarebytes Labs主任亞當(dāng)·庫(kù)賈瓦（Adam Kujawa）表示，這一趨勢(shì)可以追溯到2017年底，當(dāng)時(shí)WannaCry、Petya和NotPetya重新定義了惡意軟件。這些攻擊能夠加密數(shù)據(jù)并將它們傳播到全球各地的網(wǎng)絡(luò)，這讓網(wǎng)絡(luò)罪犯看到了新的可能性。一個(gè)針對(duì)烏克蘭供電公司的蠕蟲像數(shù)字臟彈一樣在全球傳播，造成的損失高達(dá)100億美元。

然后在2018年末，Malwarebytes Labs發(fā)現(xiàn)了涉及EmoTet的攻擊，EmoTet會(huì)竊取憑證，通過垃圾郵件模塊傳播惡意軟件，然后使用TrickBot等惡意軟件橫向移動(dòng)并感染網(wǎng)絡(luò)。庫(kù)賈瓦說：“從那時(shí)起，我們開始看到越來越多的特定攻擊方法，然后是對(duì)這種攻擊方法的各種改進(jìn)，直到演變到現(xiàn)在的樣子?！?/p>

Barracuda Networks表示，電子郵件是攻擊者訪問城市系統(tǒng)的最常見方式，其次是PDF和微軟Office文檔。釣魚電子郵件和文檔有時(shí)被設(shè)計(jì)成適合城市通常收到的電子郵件和文檔的類型，比如發(fā)票或發(fā)貨通知。

庫(kù)賈瓦表示，這些工具的演變以及其他襲擊帶來的更高投資回報(bào)，使更多的犯罪活動(dòng)轉(zhuǎn)向了政府機(jī)構(gòu)。他指出，城市服務(wù)和醫(yī)院正成為更大的目標(biāo)，因?yàn)樗鼈儼绱硕嗟膫€(gè)人身份信息(PII)，需要始終發(fā)揮作用才能服務(wù)于社會(huì)。城市以采用新技術(shù)的速度低于平均水平而聞名，包括旨在修補(bǔ)最新漏洞的軟件更新。他們的員工中也不太可能有網(wǎng)絡(luò)安全專家，而且他們的文化可能沒有認(rèn)真對(duì)待網(wǎng)絡(luò)安全。

犯罪手段似乎也在升級(jí)。攻擊者不僅威脅要加密文件和限制訪問，現(xiàn)在還威脅要在網(wǎng)上發(fā)布文件。庫(kù)賈瓦指出：“開始威脅將內(nèi)部文件和客戶信息泄露到開放網(wǎng)絡(luò)中，這很可能成為一種標(biāo)準(zhǔn)的操作程序，這將把勒索軟件攻擊變成全面的數(shù)據(jù)泄露事件。這將給受到攻擊的組織帶來更多的問題?！?/p>

罪犯索取的贖金（通常要求用比特幣）也在上升。Malwarebytes Labs發(fā)現(xiàn)，2019年攻擊者向政府和學(xué)校索要的贖金從最初的1000美元左右飆升至年底的4萬美元以上。安全公司Coveware預(yù)計(jì)，2019年第四季度的平均贖金勒索金額超過8萬美元。

另一個(gè)令人擔(dān)憂的問題是，實(shí)施勒索軟件攻擊的組織開始銷售勒索軟件，允許技術(shù)知識(shí)較少的犯罪分子自己發(fā)動(dòng)攻擊，庫(kù)賈瓦稱這種模式為“勒索軟件為服務(wù)”，這幾乎已經(jīng)形成了獨(dú)立的經(jīng)濟(jì)模式。

支付贖金城市的失誤

巴爾的摩在十幾個(gè)月的時(shí)間里遭受了兩次勒索軟件攻擊，這是情況可能變得如此糟糕的最引人注目、最昂貴和最持久的例子。第二起襲擊發(fā)生在2019年5月，到結(jié)束時(shí)，這座城市已經(jīng)損失了近1800萬美元。

關(guān)于城市是否應(yīng)該支付贖金的要求存在很大爭(zhēng)議。庫(kù)賈瓦說，巴爾的摩沒有支付贖金是個(gè)錯(cuò)誤，該市也沒有制定總體政策。2019年夏天的襲擊事件加強(qiáng)了雙方在是否支付贖金問題上的分歧。去年6月，佛羅里達(dá)州的湖城和里維埃拉海灘分別支付了約50萬美元和60萬美元的贖金。相比之下，德克薩斯州近20多個(gè)城市在2019年8月的集體襲擊中受到攻擊，但沒有任何城市支付贖金。

有些城市試圖通過購(gòu)買網(wǎng)絡(luò)保險(xiǎn)來采取積極措施，防止?jié)撛诘睦账鬈浖p失。在新奧爾良發(fā)生攻擊事件后，坎特雷爾表示，該市計(jì)劃將其網(wǎng)絡(luò)保險(xiǎn)覆蓋金額從300萬美元提高到1000萬美元，而巴爾的摩預(yù)算委員會(huì)在2019年10月批準(zhǔn)了一項(xiàng)2000萬美元的網(wǎng)絡(luò)安全保單。

庫(kù)賈瓦說，網(wǎng)絡(luò)保險(xiǎn)將問題從從未遇到過勒索軟件的人手中拿出來，并將其移交給始終在處理這個(gè)問題的人。他稱：“很明顯，外面有很多騙子，我絕對(duì)認(rèn)為網(wǎng)絡(luò)安全保險(xiǎn)在我們今天的社會(huì)中非常重要，而且未來會(huì)更有價(jià)值，只要它不只是為了抬高補(bǔ)救成本而存在。“

無論如何，城市宣布他們有網(wǎng)絡(luò)保險(xiǎn)是不明智的，巴爾的摩就犯了這樣的錯(cuò)誤。這只會(huì)招致罪犯勒索數(shù)額更大的贖金，并在某種程度上喂飽了這頭“野獸”。幾乎沒有襲擊面向公眾機(jī)構(gòu)的肇事者被繩之以法，這一事實(shí)可能會(huì)加劇勒索軟件的流行趨勢(shì)。

AI如何防范勒索軟件攻擊

為了防止勒索軟件的傳播，安全軟件使用AI來檢測(cè)、隔離和刪除受感染的文件。安全軟件可以使用無監(jiān)督機(jī)器學(xué)習(xí)來創(chuàng)建AI模型，這些模型由數(shù)據(jù)集訓(xùn)練，以識(shí)別干凈文件和惡意文件之間的差異。自然語言處理(NLP)和計(jì)算機(jī)視覺有助于檢測(cè)電子郵件或文檔中的異常行為。微軟正在使用運(yùn)行在傳統(tǒng)分類模型之上的單調(diào)模型，可以捕獲95%的惡意軟件。這項(xiàng)技術(shù)是由加州大學(xué)伯克利分校的AI研究人員開發(fā)的。

網(wǎng)絡(luò)安全公司Capgeini在報(bào)告中發(fā)現(xiàn)，AI正在幫助該行業(yè)更快地發(fā)展，并專注于解決最大的問題。接受調(diào)查的安全專業(yè)人士中有四分之三表示，AI減少了檢測(cè)惡意軟件的時(shí)間。三分之二的人表示，AI降低了應(yīng)對(duì)入侵的成本。反病毒和安全公司越來越多地采用AI。在2019年之前，大約五分之一的安全組織使用AI，三分之二的組織計(jì)劃在2020年采用這項(xiàng)技術(shù)。

AI如何助長(zhǎng)勒索軟件攻擊

庫(kù)賈瓦表示，魚叉式網(wǎng)絡(luò)釣魚仍然是傳遞惡意軟件的主要方法，這一事實(shí)表明，人們?nèi)匀缓苋菀资艿接袝r(shí)會(huì)出現(xiàn)在他們電子郵件收件箱中的那種欺詐的影響。

這也反映了這樣一個(gè)事實(shí)，即今天的勒索軟件襲擊似乎不需要AI的幫助。Malwarebytes Labs和Barracuda Networks尚未在實(shí)驗(yàn)室外看到AI在勒索軟件中的應(yīng)用。Malwarebytes Labs對(duì)惡意軟件潛在武器化的分析預(yù)測(cè)，帶有AI的勒索軟件在未來一到三年內(nèi)都不會(huì)流行起來。

庫(kù)賈瓦稱，他當(dāng)前最關(guān)心的是AI加入進(jìn)來的想法，這種想法可以描述組織中最適合瞄準(zhǔn)的人。AI還可以發(fā)現(xiàn)將惡意軟件傳播到世界各地大量機(jī)器的路徑，并成為AI軍備競(jìng)賽中的“彈藥”。這樣的方法可以利用特定安全供應(yīng)商檢測(cè)或訓(xùn)練模型的漏洞類型，來檢測(cè)攻擊的軟區(qū)域。

庫(kù)賈瓦解釋稱：“有些研究人員已經(jīng)做了實(shí)驗(yàn)室測(cè)試，并創(chuàng)造了內(nèi)部的AI惡意軟件。這當(dāng)然是可能的事情，但我們?cè)趯?shí)際中如何看到它出現(xiàn)，看到其出現(xiàn)的頻率，這才是我最擔(dān)心的。我確實(shí)看到AI和機(jī)器學(xué)習(xí)被用來從泄密、社交媒體或其他任何地方抓取數(shù)據(jù)，以創(chuàng)建特定用戶的個(gè)人資料或理想受害者的個(gè)人資料。你可以利用所有這些信息來創(chuàng)建更高效的魚叉式網(wǎng)絡(luò)釣魚攻擊，來對(duì)付企業(yè)或任何你想要對(duì)付的人?！?/p>

未來發(fā)展趨勢(shì)預(yù)測(cè)

安全公司Barracuda Networks首席技術(shù)官弗萊明·施（Fleming Shi）說：“希望2018年和2019年吸取的經(jīng)驗(yàn)教訓(xùn)將在2020年為這些組織帶來更高的安全保障，但我們知道這可能不是所有組織都能做到的，襲擊會(huì)變得更糟?！?/p>

弗萊明·施預(yù)測(cè)，2020年，美國(guó)大選“搖擺州”的小城鎮(zhèn)可能會(huì)看到民族國(guó)家行為者發(fā)動(dòng)更多襲擊，以此作為在11月美國(guó)總統(tǒng)大選之前發(fā)現(xiàn)漏洞的方式。他說：“那些在選舉決定中起重要作用的人有時(shí)會(huì)成為攻擊目標(biāo)。我的觀點(diǎn)是，我覺得我們還沒有為大選年做好準(zhǔn)備，沒有適當(dāng)?shù)姆烙胧??！?/p>

但庫(kù)賈瓦認(rèn)為，我們不太可能在搖擺州的小城市看到這種類型的攻擊，因?yàn)橛懈⒚畹姆椒▉頊y(cè)試系統(tǒng)。然而，他和弗萊明·施一樣擔(dān)心，城市和面向公眾的機(jī)構(gòu)未來可能會(huì)看到民族國(guó)家行為者實(shí)施的勒索軟件攻擊增加，因?yàn)樗麄兊膭?dòng)機(jī)不僅僅是金融敲詐勒索。

WannaCry在全球造成的損失估計(jì)在40億至80億美元之間，它是由Shadow Brokers傳播的，這些人被認(rèn)為與俄羅斯政府有關(guān)聯(lián)。從美國(guó)國(guó)家安全局黑客組織竊取的漏洞EternalBlue，暴露了黑客在WannaCry、Petya和NotPetya攻擊中使用的Windows操作系統(tǒng)的漏洞。

特朗普政府稱NotPetya是“史上破壞性最大、代價(jià)最高的網(wǎng)絡(luò)攻擊”，導(dǎo)致美國(guó)財(cái)政部在2018年對(duì)俄羅斯政府實(shí)施制裁。美國(guó)財(cái)政部公布了對(duì)NotPetya的制裁，以及對(duì)干預(yù)2016年總統(tǒng)選舉行為的制裁措施。

庫(kù)賈瓦看到安全專家現(xiàn)在對(duì)犯罪集團(tuán)的能力和勒索軟件的流行有了更多的認(rèn)識(shí)，這讓他感到鼓舞。越來越多的城市開始實(shí)施最佳實(shí)踐，將PII置于另一層保護(hù)技術(shù)之后，并在發(fā)生攻擊時(shí)立即做出反應(yīng)。他補(bǔ)充說，Barracuda Networks和MalwareBytes等安全公司正在使用AI更好地檢測(cè)SamSam、Ryuk、RobbinHood和LockerGoga等勒索軟件。

庫(kù)賈瓦表示：“我們正朝著更好的方向發(fā)展，安全領(lǐng)域的許多行業(yè)也在朝這個(gè)方向發(fā)展。這必須是AI與AI之間的較量。如果網(wǎng)絡(luò)罪犯真的開始利用這些東西，我們需要能夠在他們襲擊之前阻止威脅，我們必須能夠在甚至不知道威脅存在的情況下阻止威脅出現(xiàn)。”

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。