所謂“網絡勒索”通常表現為犯罪分子通過非法手段獲取特定數據并威脅將在“暗網”上進行發布����,以此來向受害者施壓并迫使其支付贖金�。2021 年全球范圍內發生了多起金額高�、影響大的網絡勒索攻擊�,這不僅引起了全球大型組織機構的高度關注���,也讓防范應對勒索軟件成為各大網絡安全團隊優先處理的事項之一���。
網絡勒索贖金額度創新紀錄
2021 年3 月��,美國最大的保險公司之一——CNA Financial 在遭到勒索軟件攻擊后支付了4000 萬美元贖金����,這也是目前公開報道的額度最高的網絡勒索贖金�。2021 年5 月�,美國最大燃油運輸管道運營商——科洛尼爾管道運輸公司(Colonial Pipeline)遭遇網絡襲擊�,黑客組織勒索數百萬美元���,并要求用比特幣等加密貨幣支付���?�?坡迥釥柟艿肋\輸公司隨后主動切斷了部分系統的網絡連接��,以遏制來自黑客的網絡攻擊威脅�,這使得所有的管道運輸暫停����,美國政府隨后宣布17 個州和華盛頓特區進入緊急狀態����。在向勒索軟件組織支付贖金后���,科洛尼爾公司逐步恢復了管道運營�。
根據知名網絡安全公司Palo Alto Networks的網絡安全研究部門——Unit 42 的最新研究報告����,全球網絡勒索攻擊的數量在2021 年增加了85%���。這份報告分析了2021 年遭受網絡勒索的2566 個組織機構�,其中60% 的受害者位于美洲����,31% 位于歐洲�、中東和非洲��,9% 位于亞太地區���。
報告認為����,2021 年基于計算機系統的網絡攻擊達到了創紀錄的水平��,其中網絡勒索的增長勢頭尤為突出�,背后的原因是整個網絡犯罪生態系統正在趨于專業化���。隨著犯罪組織對網絡攻擊“管理”水平的提升����,以及全球數字化趨勢不斷推進過程中暴露出越來越多的漏洞���,網絡勒索作為一種“商業模式”正變得越來越“有利可圖”�。
網絡勒索攻擊的特點及發展趨勢
Unit 42 的這份報告從宏觀層面審視了網絡勒索攻擊����,闡明了勒索軟件所涉及的范圍和未來發展的方向�。報告發現���,2021 年����,由35 個新興網絡勒索團伙組成的網絡犯罪生態系統將其巨額收益的一部分用于再投資�,開發更易于使用的勒索工具�。這些高度專業化�、職業化的犯罪分子���,能夠利用受害者軟件和應用程序中越來越多的未知漏洞(即零日漏洞����,“zero-day”)實施攻擊�。通過對真實案例進行分析���,結合從暗網論壇和勒索團伙網站獲取的數據���,報告總結了2021 年網絡勒索攻擊的三個主要特點���。
勒索金額不斷上漲�。2021 年����,犯罪分子每次網絡攻擊平均勒索的金額為220 萬美元���,比2020 年90 萬美元的平均值增加了約144%��;雖然遭受勒索的組織機構很少會按照攻擊者提出的金額進行支付����,但為每次網絡勒索攻擊實際支付的金額依然增長了78%���,達到創紀錄的54.1 萬美元����??紤]到實際支付的金額往往顯著低于初始贖金要求��,Unit 42 在報告中最終給出的計算結果是:平均實際支付的金額約為初始勒索贖金金額的42.87%���。
雙重/ 多重勒索成為常態��。2021 年的案例表明��,為了進一步給受害者施加壓力����,網絡勒索攻擊者越來越多地采用了“雙重/ 多重勒索”的策略:在對相關文件進行加密鎖定之前��,先盡可能從中提取出對涉事組織機構最為敏感的信息����,然后在“暗網”上發布一個“樣本”���,同時聲稱如果不支付贖金就公開更多信息���,以此來威脅受害者����。除了數據加密和竊取之外�,網絡勒索團伙還會威脅受害者�,聲稱如果贖金談判破裂�,就將對相關組織機構的網絡基礎設施和網站發起分布式拒絕服務(DDoS)攻擊���,從而進一步敲詐受害者��。網絡勒索軟件團伙使用這些策略來迫使受害者更多�、更快地支付贖金��,盡管這種方法的有效性在一定程度上取決于被竊取數據的真實性��、敏感性以及受害者自身的應對策略��。
RaaS 進一步降低網絡勒索門檻����。隨著越來越多的網絡不法分子想要從勒索軟件中分一杯羹����,出現了所謂“創業型”的網絡勒索發動者���。這些“犯罪企業家”采取“勒索軟件即服務”(ransomware-as-a-service���,RaaS)的方式���,與其他不法分子簽訂提供勒索軟件的協議��,直接收取費用或者從贖金中獲得一定比例的分成��。Unit 42 目前已經發現至少56 個活躍的RaaS 組織����,其中一些從2020 年以來一直在運作��。這些組織的存在以及RaaS 模式的發展大大降低了實施網絡勒索的門檻��,擴大了網絡勒索軟件的傳播范圍和負面影響��。
網絡勒索高發之下�,官方態度可能改變
法國《費加羅報》網站近期刊登的一篇文章指出�,法國是歐洲第二大網絡勒索和數據泄露目標國���,排名僅次于英國而高于德國����、意大利和西班牙�。為避免客觀上助長網絡勒索攻擊的惡性循環����,法國政府的立場是不鼓勵受害者支付贖金�,甚至有議員建議立法禁止保險公司對網絡勒索的贖金進行“擔保�、支付或賠償”���。這就導致通過支付贖金來避免遭受更大損失在法國成為一種“不光彩”的做法���,受害者事后也難以從正規途徑得到補償或救濟��。不過法國內政部3月16 日公布的一項提案建議����,保險公司可以對已支付的贖金進行賠償��,前提是受害者必須主動報案����。該提案在法國引起了廣泛的爭議���,可能預示著法國政府對支付網絡勒索贖金的態度將會出現變化��。
網絡勒索是全球數字化進程的一項“副產品”����,對其的認識和治理尚處于初級階段�,法國政府將其當作傳統意義上的“綁架勒索”來應對未必合適���。一方面����,網絡勒索攻擊的受害者往往是大型企業或者組織機構��,會千方百計維護自身利益��,試圖把勒索軟件造成的危害降到最低����,并且通常不會直接按照勒索者提出的要求支付贖金����。另一方面�,一旦決定支付贖金��,往往是經過權衡計算之后采取的理性決策���。例如通過支付贖金的方式來更快地恢復數據��,從而避免更大的經濟損失����。
