在勒索軟體攻擊中,駭客加密計算機系統,然後勒索受害者付款,否則將面臨失去對其資料的訪問許可權的風險。受害者包括大型公司,如肉類供應商 JBS,主要基礎設施,如 Colonial Pipeline 輸油管道,以及整個國家,如哥斯大黎加。美國司法部最近宣佈了一些關於這個犯罪行業的罕見好訊息:FBI 滲透了一個名為 Hive 的主要勒索軟體團伙,並獲得了其解密金鑰。這些金鑰讓勒索軟體受害者無需支付要求的費用即可恢復其資料。FBI 的工作幫助受影響方避免支付 1.3 億美元。之後,美國執法部門與國際合作夥伴合作,查封了 Hive 的伺服器並關閉了其網站。
根據美國司法部的資料,自 2021 年 6 月以來,Hive 一直是勒索軟體領域的主要參與者,攻擊了 80 多個國家的 1500 多名受害者,並從他們那裡勒索了超過 1 億美元。“我認為這與我們掌握資料的最大勒索軟體團伙不相上下,無論是在受影響的組織數量還是在支付的金額方面,”塔夫茨大學網路安全政策副教授約瑟芬·沃爾夫說。大眾科學與沃爾夫談論了 FBI 如何搗毀 Hive,以及這次執法行動將對其他勒索軟體罪犯產生多大的影響。
[以下是採訪的編輯文字記錄。]
關於支援科學新聞報道
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道 訂閱。透過購買訂閱,您正在幫助確保未來能夠繼續刊登關於塑造我們當今世界的發現和想法的具有影響力的報道。
FBI 對 Hive 採取了什麼行動?
這其中有兩個部分,兩者都非常有趣。執法部門做的第一件事是實際滲透到他們的內部通訊中幾個月的時間——我們認為可以追溯到去年夏天,根據司法部的說法。由於執法部門在他們的計算機內部,能夠看到他們感染了誰,更重要的是,能夠看到撤銷勒索軟體的解密金鑰是什麼,司法部表示,它能夠幫助許多被攻擊的受害者,並透過基本上從 Hive 伺服器竊取這些解密金鑰,在 Hive 不知情的情況下解密他們的系統。因此,幾個月來,執法部門在這些伺服器中秘密存在,獲取解密金鑰並將其提供給受害者,以便他們可以恢復他們的計算機。
第二部分,也就是剛剛發生的,是查封行動。這是司法部實際介入並查封伺服器並移除 Hive 網站的地方。對於這一部分,很難知道長期的影響是什麼,因為伺服器和網站是可以替換的。因此,這是一個很好的干擾,但這不一定等同於說,“這些人將永遠無法再次散佈勒索軟體。” 我的猜測是,查封行動發生的原因是執法部門在 Hive 系統中的存在已被發現。因為否則我認為你會盡可能長時間地維持這種存在。
FBI 是否有可能繼續組織像這樣涉及將特工植入犯罪組織系統中數月的行動?
老實說,我希望如此。這是一件棘手的事情,因為許多網路犯罪組織出於顯而易見的原因,對誰有權訪問其伺服器相當謹慎。我的猜測是,這是一個有點異常的現象,即找到一個保護不夠嚴密的組織。也許這也與 Hive 是一個“勒索軟體即服務”組織有關:你看到他們將惡意軟體出租給一大堆其他不良行為者。因此,它被該領域的許多不同實體廣泛使用,他們與非內部、已知的組織成員而是購買其服務的客戶有大量交易。也許這使得更容易將新人引入組織和系統。當然,這是執法部門將繼續嘗試做的事情。我希望它會成功。
Hive 的垮臺會阻止其他勒索軟體團伙嗎?
這在一定程度上取決於接下來的一些步驟。我認為這不一定是一個會讓網路罪犯聞風喪膽的故事。我的猜測是,一些較大的組織將會清掃他們自己的系統,並尋找任何他們應該注意的類似存在的跡象。我不認為這會讓任何人收斂他們的勒索軟體行動,部分原因是我認為對於在海外運營的網路罪犯來說,人們對勒索軟體的關注較少,恐懼也較少。但這肯定會讓人們對自己的系統以這種方式被滲透的可能性感到不安。
這些團伙最近還在做什麼?勒索軟體世界的現狀如何?
我們繼續看到這些相當重大、影響深遠的勒索軟體攻擊發生在醫療機構、地方和國家政府層面以及私營機構。我從保險公司那裡得到的印象是,在過去的半年到一年裡,勒索軟體的發生率有所放緩——它不像 2020 年、2021 年那樣頻繁或普遍,那時它造成的破壞最大,造成的索賠也最多。但這並不是說它已經消失了。
為什麼會發生這種放緩?
關於這一點有不同的看法。許多保險公司會說,“我們在要求投保人採取某些措施來保護自己方面做得更好了”——其中最直接的就是建立備份,要求每個人在所有東西都被加密的情況下都能夠重啟他們的系統。他們認為這至少有助於減少索賠數量和勒索軟體攻擊造成的損害。在某種程度上,烏克蘭戰爭使勒索軟體行業陷入某種程度的混亂。有一系列勒索軟體團伙和網路犯罪組織在烏克蘭有人,領導人通常在俄羅斯,他們開始洩露關於彼此的資訊,並從內部破壞彼此的努力。
另一方面是美國以及歐洲積極的執法行動:試圖抓捕人員,進行查封,使勒索軟體成為一種不太有利可圖的犯罪。其中一些行動也集中在加密貨幣行業的監管上:試圖制裁某些犯罪分子用來處理這些付款的加密貨幣交易所。加密貨幣中介機構促進大規模和跨國界的貨幣支付,這對於使其成為一項盈利業務至關重要。美國政府肯定在追求的另一件事是國際合作。這些犯罪分子大多不在美國或其他受害者所在國家。要搗毀他們,需要與海外執法部門進行非常積極的合作。
網路罪犯是否正在改變他們的策略以應對來自執法部門的更強有力的回應?
我們尚未大量觸及的一個方面是,當勒索軟體運營者不僅加密受害者的系統,還竊取其所有資料的副本,然後威脅說:“如果你不支付贖金,我就要線上洩露你的所有資料”時,會發生什麼。在過去的幾年裡,這種情況發生的頻率越來越高。當您想到我們已經看到的解決方案時,這尤其成問題,這些解決方案的希望是“如果我們提供解密金鑰,那麼人們就不會支付贖金。” 如果有一個被盜副本懸在受害者的頭上,那將是一種效果較差的緩解措施。
我們還能從 Hive 的查封行動中學到什麼?
在美國司法部的公告中,他們說當他們在 Hive 伺服器內部時,他們可以看到誰是目標。但他們只收到大約 20% 的受害者的報告。這為我們提供了一個數據點,說明實際直接向 FBI 報告的勒索軟體攻擊佔多大比例,而 FBI 不得不主動聯絡並說“看起來這個勒索軟體團伙可能已經影響了您。我們認為我們可以提供幫助”的攻擊又佔多大比例。就試圖瞭解這個問題的規模而言,20% 是一個相當低的數字,它遠低於人們自願報告的規模。