赎金支付意愿与支付能力“双高” 关基设施渐成最具吸引力的攻击目标

近期，勒索软件攻击在全球范围内再次掀起了高潮，在著名的Colonial Pipeline遭勒索攻击之后，肉类加工企业巨头——JBS在遭遇知名勒索软件攻击组织Revil的攻击后不得不暂时关闭，这一结果导致其在美国占比达到20%的牛肉供应放缓，导致市场价格飙升。
 
这一系列事件表明，当下攻击者会选择支付意愿和支付能力“双高”的企业、机构作为目标，因为这类目标在遭攻击后的停摆普遍都会给社会和民众带来较大影响，由此可以看出勒索软件攻击有转向类似于恐怖主义活动的模式，将事件产生的损害广泛的社会化，而不是此前的只是针对企业自身。

 
比如Colonial Pipeline事件，这种针对关键基础设施发起的袭击影响力更大且影响范围更广，导致美国东部和东南部沿海大部分地区的汽油供应中断约一周。在此期间，由于燃油供应的短缺甚至引起了普遍恐慌，一些加油站完全关闭，还有一些加油站则排起了绵延数英里的长队。虽然牛肉并不是“关键的基础设施”，但在夏季烧烤和旅游旺季期间，牛肉产量突然间大量减少和飙升的价格仍会给民众带来不小的影响。
 
JBS SA是全球最大的肉类加工企业，而Revil攻击的目标是JBS USA（JBS美国分公司），同时该分公司的一些服务器也在为澳大利亚的业务提供支持。据公开报道显示，在遭遇袭击后，JBS并没有像Colonial Pipeline那样去支付赎金（不过事后一段时间，JBS声称为业务运转支付了1100万美元的赎金），在发现遭袭后，它们首先第一时间关闭了所有受影响的服务器，还关闭了其在美国的所有（9家）牛肉工厂的运营，并同第三方的专业安全团队进行合作来应对这一危机。接下来，我们所能看到的是JBS USA似乎是通过备份来恢复其服务，并在几天后恢复了业务的运转，当然，这并不意味着未来会一切正常，也许可能还会经历一些间歇性的中断。

 
而JBS这一事件的影响还不止于此，尽管遭袭后他们在一个较短的时间内控制住局面，但我们也能看到，哪怕只是中断几天，也会对整个行业产生重大影响，比如下游的相关企业、工厂也不得不关闭或歇业，职工不得不回家，一些运来的牛不得不掉头返回牧场。更瞠目的是，截至到目前为止，澳大利亚的影响似乎比美国更严重，火车停运和退运牲畜的连锁反应给当地市场造成了各种混乱。此外，加拿大至少有一家工厂也受到了影响，阿尔伯塔省的2500名工人不得不回家歇了一天半的时间。据报道，美国农业部正在与其他肉类加工企业沟通，但到目前为止，还没有关于任何进一步的勒索软件攻击的评论。
 
尽管一家主要肉类加工企业关闭几天可能不会造成多大的实际损害，但Tenable的首席执行官、US-CERT的创始董事阿米特·约兰(Amit Yoran)认为，每个组织都应该把这看作是即将发生的事情的预兆：“在令人不安的网络攻击中，这是最近的两起大事件，显示出我们的供应链和关键基础设施是多么脆弱。Colonial Pipeline遭攻击导致美国东部45%的燃料供应系统关闭，JBS遭攻击导致世界上一些最大的肉类加工厂关闭。这些攻击有着非常切实的影响，比如影响了大量的民众的工作和生活等等，在这种情况下，再怎么强调我们了解网络风险的重要性都不为过，特别是在关键的业务流程中。目前，我们全球的食品供应链、运输系统等基础设施都受到了攻击，因为网络犯罪分子意识到针对这些系统的攻击不仅具有强大的破坏性，而由此产生结果是更加的有利可图。”
 
“可喜的是，我们看到政府不仅非常重视网络安全，而且切实的在通过各种方式去付诸于实际行动，但同样重要的是，关键的基础设施、供应链和物流供应商都要对网络安全给予极高的重视，这样才能保护好他们的系统和依赖它们的人。”
 
对于寻求快速付款的攻击者来说，关键基础设施是一个有吸引力的目标
 
JBS遭勒索攻击的事件被美国认定是REvil（又名Sodinokibi）发起的，这个勒索软件团伙也参与了针对Colonial Pipeline的攻击——REvil向犯罪客户提供“勒索软件服务（RaaS）”，并声称对Colonial Pipeline遭攻击事件没有直接责任，并指责其客户野心太大。REvil曾声称，由于在关键基础设施遭到攻击后，国际执法机构对其进行了审查，该公司将“停业”（真实情况很可能换块招牌继续“营业”）。不过，根据当前的情况看，也还并未确定对JBS的攻击是REvil自身所为还是其客户所为。
 
Vectra首席技术官团队技术总监Tim Wade认为，“要阻止这些攻击将非常困难，降低这些风险最具性价比的方法是围绕风险去部署检测和响应能力。”
 
网络安全评级公司BitSight最近的一项分析表明，食品生产行业尤其容易受到勒索软件的攻击，约70%的公司由于报告的安全措施而落入“高风险”类别。这些公司中有40%所面临的风险甚至更高，因为他们根本没有做好相关的安全他应对措施，甚至连给系统及时更新安全补丁都做不到。
 
正如前文所述，对关键基础设施展开的攻击具有公开影响大、社会民众感知明显的特征，其相关企业又因这些因素成为了攻击者最爱的支付意愿和支付能力“双高”目标，但相应的安全建设并不简单，此前安全419在针对Colonial Pipeline遇袭事件采访过腾讯安全相关专家，他们给出的建议颇具参考性——以当前勒索软件团伙表现出来的产业化和高度定向攻击趋势来看，当前单靠技术手段，或者依靠某一款安全产品很难建立起有效的防御。抵御勒索软件攻击是一件长期且持续的事情，不是加强某个环节、某一个点就能解决，而是需要体系化的管控，关键基础设施单位只有整体提升防护水平，建立完整的网络安全体系，方能在攻击发生前建立安全的御敌屏障。