5月12日,一个黑客坐在电脑前,轻轻按下了Enter键。这个看似无足轻重的动作,掀起了全球七十多个国家、数十亿用户对网络安全的恐慌。
当晚,WanaCrypt0r2.0(以下简称Wcry2.0)勒索软件在全球爆发。在无需用户任何操作的情况下,Wcry2.0即可扫描开放文件共享端口的Windows机器,从而植入恶意程序。
目前,该勒索病毒的攻击已经扩散到全球74个国家,包括美国、英国、中国、西班牙、俄罗斯等。此次被攻击的对象包括政府、医院、公安局以及各大高校等机构和个人。
黑客要求每个被攻击者支付赎金后方能解密恢复文件,而此次的赎金方式使用了当下最为火热的产品比特币,勒索金额最高达5个比特币,价值人民币5万多元。
国内最早的防病毒厂商kill公司技术总监、江民公司原技术总监、现华为高级安全专家娄伟峰表示:“从技术上讲,这不算是一次黑客攻击,而是一次大面积的以经济为目的勒索软件传播事件。此次大规模传播的Onion、WNCRY勒索软件是‘永恒之蓝’勒索软件的病毒变种,但恰这类并非新技术的病毒,反而能肆虐蔓延、短短时间内侵袭各大机构,经济损失截至目前已达数十亿。”
网络安全专家刘博士认为,本质上病毒要想获得访问权限、突破访问控制,操作系统会通过防火墙等做访问限制,但如果系统有安全漏洞可以被利用,就有可能突破。Windows被感染的几个版本恰好有漏洞可被利用。
安全首席工程师郑文彬表示:“中国此次遭受攻击的主要是教育网用户。上个月针对该端口漏洞发出预警,并推出了免疫工具,微软此前也已发布相关漏洞补丁。但许多教育网并未对此漏洞做出修复,以至于沦为重灾区。”
▌为何教育网、公安局、医院等机构沦为重灾区?
郑文彬认为,这类机构多使用内网、较少与外界接触,以至于在防范意识上存在疏漏。而另一方面,这些机构并不能保证完全隔绝互联网,一旦被病毒扫描,则同样会中毒——而只需一台电脑被扫描,便会像人类感染病毒一般传染到其它电脑。
青莲云CEO董方说:“学校使用教育网,教育网是专网,其特点为,学校的某一个网站被攻击以后,会在专网中迅速传播,且教育网防护的等级不是很高,导致学校成为重灾区。”
此外,本次被病毒感染的多是Windows系统,而苹果、安卓侥幸免于灾难。
长亭科技CEO陈宇森表示:“这与系统优劣并无关系。此次攻击是利用Windows漏洞进行,对其主机、服务器运行在端口的SMB服务进行攻击,所以中招的都是Windows系统。微软官方3月份陆续发布不同版本的系统补丁,就在13号下午,还专门针对XP和系统发布了特别补丁。”
不过华为云安全负责人娄伟峰认为,从经济利益的角度看,微软的用户远大于苹果的用户,因此成了被攻击的原因之一。
“这是微软十年来出现的较为重大的事件,4月15号微软已发出预警,但可能预警发方式太偏技术,以至大家没看懂被攻击的后果是什么。”青莲云CEO董方补充说。
那么,这样一次攻击范围波及全球,涉及金融、医疗、铁路、能源、教育系统等终端的病毒,究竟从何而来?
▌病毒从何而来?
此次“永恒之蓝”变异的勒索蠕虫,是NSA网络军火民用化的全球第一例。
早在4月14日,自称“影子经纪人”(ShadowBrokers)的黑客团体泄露出一份震惊世界的机密文档,其中包含了多个Windows远程漏洞利用工具,可以覆盖全球70%的Windows服务器,影响程度极其巨大,但国内诸多政府、高校等机构并没有引起足够的重视。
华为高级安全专家娄伟峰表示:“影子经纪人”(ShadowBrokers)攻破了NSA(美国国家安全局)网络,拿到其中一个叫“方程式”的黑客组织的大量军用级别黑客工具,ShadowBrokers将其中一个黑客工具做成“永恒之蓝”,而这次的勒索软件正是“永恒之蓝”的变种。
而据安全首席工程师郑文彬猜测,之前美国军方使用黑客技术攻击中东银行,而此前美国政府对叙利亚进行轰炸,导致了黑客的不满,继而盗出此技术,以示威胁。
黑客使用勒索软件由来已久,但大多数病毒软件勒索的赎金都是法币、电子汇款、预付卡等手段收取。但这次病毒勒索事件,黑客似乎蹭了比特币热点。
▌为何使用比特币作为赎金?
深圳招股科技联合创始人程超表示:比特币作为一种匿名转账的数字资产,其匿名特性成为黑客首要看重的特性。比特币地址是一串英文字符乱码,不绑定任何用户信息,所以单纯从比特币地址无法追踪到用户信息,这让黑客可以更简单地规避追捕和监管。
而网上不少观点认为后续黑客有可能放弃大额勒索,因为一旦大量比特币流入该黑客账户,有可能导致其行为轨迹被追踪。然而,安全首席工程师郑文彬表示,基于比特币的勒索,很难查找踪迹,要想抓到黑客几乎不可能。
事件发生后,网络热议,认为比特币不可追踪性、隐蔽性,给了黑客团伙提供了一个便捷作案工具。
▌暴利产业链是如何形成的?
随着互联网的普及,金融电子化乃至互联网化的拓展,越来越多的人已经习惯了用电脑或者手机等智能设备进行购物生活。于是,原先只是程序员自己自娱自乐或者证明价值的小东西,就成为了控制电脑,遥控手机,来攫取利益的巨大产业链。根据财经网的报道,美国政府统计,仅年,美国国内“勒索软件”攻击发生的频率就激增了%,几乎每天都有件此类勒索案件发生。
范围越大、波及人群越广、威胁越大,赎金也就越多。年,一款勒索软件“密码锁”,在两个月之内入侵超过23.4万台微软“视窗”操作系统电脑,最终黑客“获利”万美元;去年,好莱坞长老会医疗中心在遭遇勒索攻击后支付了超过1.7万美元的赎金;和此次病毒类似的“熊猫烧香”从最初的破坏系统,发展到借病毒牟取暴利,获利数千万。FBI也曾揭露,对美国造成最大威胁的勒索软件是CryptoWall,最新版的CryptoWall3迄今已造成3.25亿美元的损失。
病毒产业已经形成了一个异常巨大的暴利产业链。一般来说,计算机病毒的制作已经呈现出团伙作战的特点,他们会首先组成皮包公司,当接到相关任务或者发现相关电脑漏洞之后,一般进行三步走:
首先,组织专门的人员根据相关任务或者漏洞,安排人员根据使用工具制造病毒。
其次,安排人员操纵病毒,进行流量控制,也就是我们说的传播病毒的过程。
第三,收钱,当然变现的方式多种多样,今天就和大家聊聊,这个东西如何赚钱的?
最简单粗暴的方式:倒卖信息。对于大多数电脑病毒来说,最简单的赚钱方式就是收集信息和倒卖信息,收集信息就是借助病毒攻克企业或者个人的信息数据库,然后把这些信息转手卖给需要的人,由于大家已经将互联网延伸到了自己生活的方方面面,所以这些信息往往大量留存在企业或者个人的计算机或者手机上,这些信息都很有价值。当然,在早期还有直接盗取用户网游账号等方式,通过直接卖号或者直接卖装备赚钱,这都是最简单粗暴的办法。
最隐秘的方式:恶意安装软件。相信很多的朋友都曾经碰到过,自己去下载一个软件莫名其妙的被下了全家桶,电脑里面出现了一堆奇奇怪怪的东西,这个就是另外一种病毒的赚钱方式,通过默默入侵电脑,让电脑成为自己的肉鸡,然后这个时候接一些小的软件企业的推广,每安装一个软件付钱多少来,一般情况下安装一个软件可以赚到0.4-0.6元,甚至有专业的病毒企业会包下某个下载站甚至网页导航站,通过这个方式来赚钱。
最直接的方式:盗窃用户网银或者第三方支付。当然,前面两种来钱速度都不够快,最直接的办法就是去盗窃用户的网银或者第三方支付账户,直接将用户的真金白银转到病毒开发者那里,最近几年随着杀毒软件的免费推广和普及,前面两种方式赚钱变得越来越难,通过这种直接盗窃网银或者第三方支付账户的办法,成为了赚钱的主要方式。当然,控制网购账户这个方法也可以说是直接盗窃账户的一种变种吧。
最恶劣的方式:直接打劫。当然,除了上面说的三种之外,还有另外一种方式就是直接打劫,最近出现的这种勒索病毒也就是这样的方式,通过控制用户非常重要的私人文件,直接要求用户支付赎金,由于比特币等去中心化的数字货币的盛行,原先只能够在一国之内使用的直接打劫的办法,变成了全世界都能够使用的好方式,所以这次的病毒产业者就是通过比特币作为货币,要求用户支付赎金,由于比特币去中心化的特征,这种赎金基本上是无处可查。
网络上之前常说:病毒写得好,一月50万很轻松。同样,病毒产业已经成为了一种日进斗金,年赚百亿的黑金大生意,有利润就会有人铤而走险,只能希望魔高一尺道高一丈,我们的反病毒能够真正控制病毒产业的发展吧。
而对于此事后续发展状态如何,安全首席工程师郑文彬认为“还很难预测”,只能等待黑客的下一步动作。
互联网正从PC时代走向移动时代,手机也将同样面临巨大的安全考验。刘春华表示,未来移动智能终端安全将涉及各个方面,安全问题遵循“木桶效应”,解决一部分问题,不代表移动终端安全问题就得到了解决。
移动安全是一个生态圈,需大家共同努力,只有企业、应用市场、终端厂商、个人用户各方一起携手提高安全意识,才能最终建立并不断优化移动智能终端的安全生态链。
此外,业务应用云端化,带来了新一轮生产效率的提高,云的出现,是一次IT业务模式的重大变革,也让为其提供支撑保障的安全体系,面临着新的挑战。除了云服务商提供一定的安全保障外,使用云端的客户更要有防范意识,而非将安全交于他人之手。
道高一尺魔高一丈,网络没有绝对安全。威客安全CEO陈新龙认为,日后通过加密进行勒索的方式会层出不穷,取消隐蔽支付与变现,是遏制这类事件发生的关键,安全防御能力的自动化防御将是趋势。
人工反应速度无法赶上机器传播速度,这次事件各个国家将高度重视,带来的世界级的影响也将给各类人群敲响警钟,网络安全战略将走向一个新高度。
中企君荐读1.观察
天量过剩产能——国企造?民企造?市场造?
2.国资
海外收购再亏钱,国资委要严肃处理了!
3.行业分析
透过“国产大飞机”看中国航空业的发展困境
-----------------------------
本文综合自公开信息,编辑:如水。
本平台尊重文章原作者的辛勤劳动和原著版权,如您对我们的文章存在异议,欢迎后台联系我们,我们将第一时间回复处理。
