最大全球勒索软件攻击 百万公司受打击 (图)
有史以来最大的勒索软件攻击,已经袭击了几乎各大洲多达100万家公司的IT系统,与俄罗斯有关的黑客REvil,要求用7000万美元的加密货币来修复它。美国总统拜登表示,如果这与俄罗斯总统普京有关,他“将作出回应”。
黑客攻击的规模和复杂程度 “ 前所未有 ”
据《每日邮报》7月5日报导,瑞典的杂货店、新西兰的学校和荷兰的两家大型IT公司,都是黑客组织REvil的受害者,该组织在攻破美国软件公司卡西亚(Kaseya)的系统后,于周五(7月2日)发起了攻击。
卡西亚公司说,只有几十个客户直接受到攻击,但连锁反应使17个国家的公司受到影响。一位专家说,这次攻击的规模和复杂程度是 “ 前所未有的 ”。
瑞典杂货连锁店Coop,因其收银机管理商遭受REvil的勒索软件攻击,被迫在2021年7月4日关闭其所有800家商店。图为2006年的一间瑞典杂货店 。 (图片来源:维基百科)
REvil是最近入侵肉类加工厂JBS的幕后黑手,该公司支付了1100万美元的赎金,一直在与个别公司协商最高500万美元的赎金,但现在说,只要支付7000万美元就能解锁所有受影响的网络。
美国总统拜登,上个月曾警告普京总统,对来自俄罗斯的针对美国的黑客组织采取行动,他说联邦调查局正在调查最新的黑客事件,如果莫斯科被认为是负责任的,他将采取行动。
分析人士说,这次攻击恰逢7月4日的周末假期,这并不是巧合,因为这时公司会人手不足,应对能力较差。
英国国家网络安全中心(National Cyber Security Centre)的创始人马丁(Ciaran Martin)告诉BBC第四电台:“ 这种全球犯罪的规模和复杂性是罕见的,甚至是前所未有的。这是一个真正严重的全球性行动。”
瑞典杂货连锁店Coop,因其收银机管理商遭受REvil的勒索软件攻击,被迫在7月4日关闭其所有800家商店,并表示,在其收银台受到影响后,5日将继续关闭。该国的国家铁路运营商和公共广播公司SVT也受到了影响。
在德国,一家不愿透露姓名的IT服务公司告诉当局,其数千名客户受到了影响。
据报道,受害者中还有两家大型荷兰IT服务公司 — — VelzArt和Hoppenbrouwer Techniek。
但大多数受害者,被认为是不太可能公开宣布被感染病毒的中小型公司:汽车经销商、发廊和会计师事务所等等。
网络安全团队,5日疯狂地工作,以阻止有记录以来最大的一次全球勒索软件攻击的影响,关于与俄罗斯有联系的团伙,如何入侵其软件作为渠道的公司的一些细节已经出现。
网络安全研究人员说,臭名昭著的REvil团伙(因在阵亡将士纪念日攻击后,向肉类加工厂JBS勒索1100万美元而闻名)的一个分支机构,2日感染了至少17个国家的数千名受害者,主要是通过为多个客户远程管理IT基础设施的公司。
早些时候,联邦调查局在一份声明中说,虽然它正在调查这次攻击,但其规模 “ 可能使我们无法对每个受害者作出单独回应 ”。
拜登:若与俄罗斯政府有关将作出回应
副国家安全顾问纽伯格(Anne Neuberger)后来发表声明说,拜登总统已经 “ 指示政府的全部资源来调查这一事件 ”,并敦促所有认为自己受到影响的人提醒联邦调查局。
拜登3日告诉记者,目前还不清楚谁是袭击美国企业的最新网络安全漏洞的幕后黑手,但他坚持认为,如果这与俄罗斯总统普京有关,他 “ 将作出回应 ”。
当拜登在密歇根州中央湖的一个樱桃园里庆祝7月4日周末的开始时,他说:“ 我们不确定是谁。最初的想法是它不是俄罗斯政府,但我们还不确定。”
他补充说:“如果它是在俄罗斯知情和/或俄罗斯(应承担的)后果的情况下发生的,那么我告诉普京我们会做出回应。”
不到一个月前,拜登向普京施压,要求他停止向REvil和其他勒索软件团伙提供安全庇护,这些团伙无休止的勒索攻击被美国视为国家安全威胁。
美国总统拜登被抨击为 “ 对普京软弱无力 ”,因为他被指对影响美国至少1000家公司的全球网络攻击反应缓慢,并与俄罗斯黑客有关。
众议院少数党领袖麦卡锡(Kevin McCarthy)3日在推特上提到了6月份的新闻,即拜登给俄罗斯总统普京一份禁止网络攻击的目标清单。
麦卡锡在推特上说:“ 还记得拜登总统给普京一份应该是网络攻击禁区的清单吗?他应该说的是,所有美国目标都是禁区。” 他还说:“ 拜登在犯罪问题上软弱无力,对普京也是如此。”
受害者大部分是中小企业
网络安全公司Sophos报告说,广泛的企业和公共机构受到了最新的攻击,显然是在各大洲,包括金融服务、旅游和休闲以及公共部门,尽管很少有大公司。
勒索软件犯罪分子渗透到网络中,并播下恶意软件,通过扰乱他们的所有数据而使之瘫痪。受害者在付款后会得到一个解码器钥匙。大多数赎金软件受害者不公开报告攻击事件,也不透露他们是否支付了赎金。
被入侵的软件公司卡西亚的首席执行官沃科拉(Fred Voccola)估计,受害者数量在数千家左右,大多数是小型企业,如 “ 牙科诊所、建筑公司、整形外科中心、图书馆等 ”。
沃科拉在接受采访时说,在该公司的37000个客户中,只有50-60个客户受到影响。但70%是管理服务提供商,他们使用该公司被黑的VSA软件来管理多个客户。它可以自动安装软件和安全更新,并管理备份和其它重要任务。
专家们说,REvil在美国国庆节周末开始时发起攻击,知道美国的办公室会有少量人员,这不是巧合。许多受害者可能在5日重新上班时才得知。沃科拉说,管理服务提供商的大多数终端用户 “ 不知道 ” 是谁的软件让他们的网络活跃。
卡西亚公司说,它在3日晚上向近900名客户发送了一个检测工具。
黑客也无法逐个应对的庞大数量
网络安全公司Recorded Future的分析师利斯卡(Allan Liska)说,REvil提出为卡西亚攻击的所有受害者提供全面的解密,以换取7000万美元,这表明REvil无力应对受感染网络的庞大数量。虽然分析家们报告说,看到对更大的目标要求500万美元和50万美元,但它显然对大多数目标要求45000美元。
利斯卡说:“ 这次攻击比他们预期的要大得多,它得到了很多关注。迅速结束它符合REvil的利益,这是个管理的恶梦。”
Emsisoft的分析师卡洛(Brett Callow)说,他怀疑REvil希望保险公司能够计算出数字,并确定这7000万美元对他们来说比延长停机时间更便宜。
像REvil这样复杂的勒索软件团伙,在激活勒索软件之前,通常会从他们窃取的文件中检查受害者的财务记录,如果他们能找到的话,还有保险单。然后,犯罪分子威胁说,如果不付钱,就把偷来的数据扔到网上。在这次攻击中,这似乎没有发生。
黑客利用 “ 零日 ” 漏洞攻击
荷兰研究人员说,他们提醒总部位于迈阿密的卡西亚公司注意这一漏洞,并说犯罪分子使用了一个 “ 零日 ”,这是一个行业术语,指的是软件中以前未知的安全漏洞。沃科拉不愿证实这一点,也不愿提供漏洞的细节,只是说这不是网络钓鱼。他说:“ 这里的复杂程度非常高。”
沃科拉说,当网络安全公司Mandiant完成其调查时,他相信调查将显示,犯罪分子在闯入他的网络时不仅违反了卡西亚代码,而且还利用了第三方软件的漏洞。
这并不是第一次利用管理服务提供商的勒索软件攻击。2019年,犯罪分子通过一个网络阻碍了22个德克萨斯州市政当局的网络。同年,400家美国牙科诊所在一次单独的攻击中瘫痪了。
荷兰漏洞研究人员之一格弗斯(Victor Gevers)说,他的团队对卡西亚的VSA等产品感到担忧,因为它们可以提供对庞大计算资源的完全控制。他在4日的博客中写道:“ 越来越多的用于保持网络安全的产品正在显示出结构性的弱点。”
网络安全公司ESET发现,至少有17个国家的受害者,包括英国、南非、加拿大、阿根廷、墨西哥、印度尼西亚、新西兰和肯尼亚。
卡西亚说,这次攻击只影响了 “ 内部 ” 客户,即运行自己的数据中心的组织,而不是为客户运行软件的基于云的服务。不过,作为预防措施,它也关闭了这些服务器。
卡西亚2日呼吁客户立即关闭他们的VSA服务器,4日表示,它希望在未来几天内有一个补丁。
REvil自2019年4月开始活跃,提供勒索软件即服务(ransomware-as-a-service),这意味着它开发了网络瘫痪软件,并将其出租给所谓的分支机构,这些分支机构感染目标并赚取大部分赎金。美国官员说,最强大的勒索软件团伙以俄罗斯和其盟国为基地,在克里姆林宫的容忍下运作,有时与俄罗斯安全部门勾结。
Silverado Policy Accelerator智库的网络安全专家阿尔佩罗维奇(Dmitri Alperovitch)说,虽然他不相信对卡西亚的攻击是克里姆林宫导演的,但这表明普京在关闭网络犯罪分子方面 “ 还没有行动 ”。