官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
- 关注
本文由
创作,已纳入「FreeBuf原创奖励计划」,未授权禁止转载
写在前面的话
近期,网络安全公司Emsisoft的研究人员发布了一份针对“2023年北美地图勒索软件攻击态势”的研究报告。在这份报告中,研究人员详细描述了安全社区对现实世界中勒索软件攻击威胁的担忧。最重要的是,勒索软件攻击现在已经不仅仅是掏光你口袋这么简单,而是会威胁到我们的生命安全。
数据表明,2016年至2021年期间,北美地区平均每个月都会有一个人因勒索软件攻击而导致死亡。虽然恶意软件及对应的变种版本在过去几年中进化速度非常快,所使用的技术也更加先进,但他们此前一般都更倾向于攻击私营企业或政府实体。但现在,他们却开始将注意力转移到了医疗实体和教育实体上。因此,现在越来越多的安全专家开始呼吁制定相关法律来禁止目标用户支付赎金,以免助长威胁行为者的嚣张气焰。
勒索软件已成为高危风险
2023年,北美地区总共有2207家医疗实体、教育实体和政府实体受到了勒索软件攻击的直接影响,而针对相关实体供应链的攻击也会对这些实体产生间接的影响。除此之外,也有数千家私营企业或多或少都受到了直接或间接的影响。这些威胁活动主要都是为了数据赎金,但Emsisoft的最新研究所得出的结论是,虽然这些都是数字化的攻击,但会给现实世界产生真实且严重的影响,并将其视为了一种“危及人类生命安全”的网络威胁。
明尼苏达大学公共卫生学院的统计数据表明,从2016年到2021年,勒索软件攻击直接或间接导致的患者死亡数量约67名。
下表中显示了过去三年北美地区受勒索软件攻击影响的实体类型和数量统计(不完全统计):
2021年 | 2022年 | 2023年 | |
医院系统* | 27 | 25 | 46 |
K-12 学区* | 62 | 45 | 108 |
高等院校 | 26 | 44 | 72 |
政府实体 | 77 | 106 | 95 |
总计 | 192 | 220 | 321 |
在紧急的医疗救助场景下,每一分每一秒都是相当珍贵的。早在2023年11月,医疗实体Ardent Health Services就曾遭到过勒索软件攻击,当时导致了北美三个州的医院不得不改变救护车的路线。而救护车延误或改变路线可能会导致患者死亡或永久残疾,但如果响应时间更快,这样的结果就不会出现。
当然,受影响的不仅仅是紧急治疗或救助。勒索软件攻击可能会导致医疗保健服务大面积中断。医院计算机系统关闭可能会导致测试延迟、电子健康记录无法访问以及手动记录保存方面发生错误。
Emsisoft 的报告引用了一名3岁患者的例子,当时由于医院的计算机系统出现故障,该患者被注射了“大剂量”阿片类止痛药。而不幸的是,这并不是一个特殊的案例。
在2023年,北美地区总共有141 家医院的 46 个医院系统受到勒索软件的影响。至少 32 个系统的信息被盗,其中包括大量用户受保护的健康信息。
教育实体
2023年,至少有108个K-12学区受到勒索软件影响,是2022年受影响数量的两倍多,而这108所学校中至少有77所的数据被盗。
值得注意的事件包括对明尼阿波利斯公立学校的勒索软件攻击,此次攻击扰乱了该地区多所学校的正常运转,并导致近20万份被盗文件被发布到了网上,这些档案包括校园各类案件的详细信息、学生的心理报告以及其他极其敏感的信息。
政府实体
在2023年,北美地区至少有95个政府实体受到影响,低于2022年的106个。受影响的政府包括达拉斯、莫德斯托和奥克兰等城市的职能机构。圣贝纳迪诺县支付了110万美元的数据赎金,而另一个受害者洛厄尔市则花费了100万美元为受影响的个人提供信用保护。
到底应不应该支付数据赎金?
正如已经指出的那样,2016年至2021年间,勒索软件每月都会造成北美地区死亡1人,而且这种情况很可能会持续下去。勒索软件问题得不到解决的时间越长,就会有越多人的生命受到此类攻击的威胁,只要问题得不到解决,勒索软件造成的经济危害和无数社会危害就会持续下去。
安全研究专家Kevin Beaumont表示,全球的各类实体组织都需要禁止向这些组织支付勒索软件,我们必须克服短期的痛苦,因为这是更安全的选择,并开始为此做好计划。这一目的的实现需要最高层领导的坚定想法,用户的安全需要坚定的高层领导和决策来保护,而不是由那些少数只看眼前利益的实体来决定。
网络安全公司Recorded Future的威胁情报分析师Allan Liska认为,勒索软件攻击现在越来越严重,不仅是攻击数量不断上升,而且攻击性也越来越强。支付数据赎金根本就行不通,反而会助长他们的嚣张气焰。如果当下拒绝支付数据赎金,可能用户会非常痛苦,而且短期内还可能导致勒索软件攻击活动频率增加,但这似乎是唯一有可能取得长期胜利的解决方案。
Emsisoft的威胁分析师Brett Callow也认为,当前的反勒索软件策略只不过是设置减速带而已,现实的情况是,只要向威胁行为者支付数据赎金的行为是合法的,网络犯罪分子就会不择手段地收取勒索赎金。唯一的解决方法,就是从法律层面禁止支付数据赎金,这是目前唯一有效的办法。
2018年,勒索软件活动的赎金金额平均为5000美元,但去年增加到了平均150万美元。毫无疑问,有钱能使鬼推磨,但这种大幅增长肯定会促使当局采取严厉行动。目前,针对勒索软件攻击的相关政府特别工作组和国际联盟已经成立,执法机构也在不断通过冻结加密资产、捣毁僵尸网络和逮捕网络犯罪分子等形式与勒索软件威胁作斗争,然而这些解决方案似乎目前还没有产生显著的效果。
Emsisoft表示,应对这场危机的唯一可行解决方案是彻底禁止支付赎金。毕竟,作为一种以利润为导向的活动,如果没有钱可赚,勒索软件攻击很可能会减少。
到目前为止,政府一直都没有正式颁布相关的法律条文或禁令,可能是考虑到了目前受害者的困境。相关部门在年度工作报告中曾提到,这种方法的可行性还有待考量。
需要注意的是,这种禁令并非没有先例。2022年,北卡罗来纳州和佛罗里达州都曾禁止公共部门实体支付数据赎金。据我们所知,这两个州都没有任何实体因禁令而遭受灾难性数据丢失,也没有任何实体经历过异常过多的服务中断或系统宕机。
总结
2018年的数据赎金平均为5000美元,而2023年这一数字增长到了150万美元,这种程度的增长也是勒索软件活动数量激增的主要诱因。勒索软件威胁行为者收到了赎金越多,他们就越能够扩展其业务、购买漏洞并投入资源开发和研究新的技术,他们也就更加难以被解决。
参考资料
https://tech.co/news/ransomware-harder-defend-against
https://www.statnews.com/2023/11/17/hospital-ransomware-attack-patient-deaths-study/
https://techcrunch.com/2023/10/31/united-states-cybersecurity-coalition-deny-ransom-demands
https://securityandtechnology.org/wp-content/uploads/2021/09/IST-Ransomware-Task-Force-Report.pdf
https://therecord.media/an-inside-look-into-states-efforts-to-ban-govt-ransomware-payments
https://pubmed.ncbi.nlm.nih.gov/37155166/
https://ktla.com/news/local-news/san-bernardino-county-pays-1-1-million-to-settle-ransomware-attack/
https://www.lowellsun.com/2023/05/25/lifelock-protection-to-cost-lowell-1-million/
https://www.chainalysis.com/blog/crypto-crime-midyear-2023-update-ransomware-scams/
https://www.sec.gov/ix?doc=/Archives/edgar/data/789570/000119312523251667/d461062d8k.htm
https://thrivedx.com/resources/article/clorox-companys-2023-cyberattack-fallout
参考链接
已在FreeBuf发表 0 篇文章
- 0 文章数
- 0 关注者