圖片來源：視覺中國 “NoFuel（無燃料）。”5月11日，美國東部城市加油站里赫然貼著這樣的標識牌。同時，美國也于5月9日宣布進入國家緊急狀態。造成這一切的源頭，恰恰是一個看似并不起眼的組織Darkside制作出來的勒索軟件。 5月7日，美國大型燃油運輸管道運營商ColonialPipeline（科洛尼爾管道運輸公司，以下簡稱科洛尼爾）遭受網絡黑客攻擊，被迫關閉旗下成品油燃油管道。據了解，科洛尼爾運營美國最大的成品油管道系統，管道共長5500英里，將汽油和其他燃料從德克薩斯州運往東北，其提供的燃油約占東海岸燃料消耗的45%。其燃油運輸中斷或將影響到5000萬美國人，涉及民生及國家安全。 5月9日（周日），科洛尼爾表示計劃在本周結束前（美國周日為一周第一天）對管道的運作進行實質性的修復和恢復。 安恒信息工業互聯網安全事業部總經理葉鵬對《每日經濟新聞》記者表示：“想要快速恢復，必須從攻擊方處取得對應的密鑰。上次挪威鋁業巨頭（海德魯）遭受勒索軟件攻擊，耗費約一個月時間才完全恢復。此次（針對科洛尼爾）的勒索軟件攻擊，后續還需要關注。” 勒索攻擊掀風波，美國進入緊急狀態 5月9日，FBI（美國聯邦調查局）官網發布聲明表示：“確認Darkside勒索軟件是造成ColonialPipeline網絡受損的原因，我們將繼續與公司、政府合作伙伴合作進行調查。”即FBI認定Darkside為這次勒索軟件攻擊的幕后組織者。 由于科洛尼爾遭受勒索軟件攻擊，致使美國東海岸燃油運輸中斷。美國總統拜登于5月9日宣布美國進入緊急狀態。 同日，美國交通運輸部聯邦汽車運輸安全管理局發布通知，對18個州載運汽油、柴油、航空燃油及其他精煉石油的運輸車免稅。 美國商務部長吉娜·雷蒙多（GinaRaimondo）也于當日表示，勒索軟件這類攻擊正變得越來越頻繁，也是企業現在必須擔心的。美國商務部必須和企業合作來保護網絡，以保護自己免受這些攻擊。她還表示，正在與公司、州和地方官員密切合作，以確保科洛尼爾盡快恢復正常運營，并且不會出現供應中斷的情況。 然而想要通過公路運輸替代科洛尼爾的管道運輸并不容易。該公司的管道是美國分配汽油、柴油、航空燃油最重要的管道，將墨西哥灣沿岸的煉油廠連接到亞特蘭大、紐約乃至其他地區的人口中心，其每天運送約250萬桶，超過整個德國的石油消耗量。 與吉娜·雷蒙多的說法相反，美國東海岸多地已出現燃油短缺現象，而且受此影響，美國平均汽油零售價格已升至2014年末以來的最高水平，幾乎觸及每加侖3美元。 對于該事件的影響，安恒信息工業互聯網安全事業部總經理葉鵬認為：“其一，整條輸油管線對應的各煉油廠勢必減產或停產，與煉油廠相關的上下游供應鏈也會受到不同程度的影響。其二，美國東海岸5000萬人的用油問題短時間內會遭遇一定的困難，未來是否會引起更大問題仍需關注。其三，美國汽油期貨周日漲逾3%至每加侖2.217美元，創2018年5月以來新高；美國取暖油期貨也跳升至2020年1月以來的高點；間接引發能源市場動蕩。其四，中斷美國軍方燃油供應，可能會影響美國國家安全。” RaaS已成商業模式 “簡單！低成本！一夜暴富！不需要花多年時間浸淫代碼編寫或軟件開發技藝。只需要下載我們簡單的勒索軟件工具包，就能讓您錢財源源而來——享受在家辦公的舒適與彈指坐聽比特幣落袋聲的雙重快樂。”一封勒索軟件領域宣傳資料如是描述。 這便是對勒索軟件即服務（RaaS：RansomwareasaService）模式的生動描述，而發動此次攻擊的Darkside，正是一個提供勒索軟件即服務的組織。 隨著互聯網技術的發展和應用軟件的成熟，近年來軟件即服務日趨流行。SaaS平臺供應商將應用軟件統一部署在自己的服務器上，客戶可以根據工作實際需求，通過互聯網向廠商定購所需的應用軟件服務。 SaaS平臺為中小企業提供了較為廉價的軟件服務，而RaaS則是為犯罪團伙提供了廉價的作案工具。RaaS這種商業模式的興起，使得從業者無需任何專業技術知識就可以毫不費力地發起網絡敲詐活動。近幾年，勒索軟件及服務（RaaS）呈爆發式增長，可謂網絡安全的新疫情。RaaS為黑客提供了勒索軟件的巨大使用便利，節省了他們的時間資源并簡化了流程，還有利于保護攻擊者的真實身份。 葉鵬認為：“不僅僅是勒索軟件，整個互聯網領域的攻擊行為都呈現出低門檻、低成本的趨勢。比如一個普通中學生，都能夠使用相關工具輕松攻擊機構網站。同時，網絡攻擊行為的泛濫，也對安恒信息這類互聯網安全企業提出了更高的要求。” 為何難以恢復業務？ 值得注意的是，在美國東部時間5月7日，科洛尼爾就已經主動中斷公司系統運行，從而脫離勒索軟件威脅，并開始嘗試修復。不過，截至5月12日，公司燃油運輸仍未恢復。 對此，葉鵬表示：“勒索病毒主要以郵件、程序木馬、網頁掛馬的形式進行傳播，利用各種非對稱加密算法對文件進行加密，被感染者一般無法解密，必須拿到解密的私鑰才有可能破解。” 隨后，葉鵬詳細描述了勒索病毒的工作原理：“勒索病毒文件一旦進入本地，就會自動運行。接下來，勒索病毒利用本地的互聯網訪問權限連接至黑客的C&C服務器，進而上傳本機信息并下載加密公鑰，利用加密公鑰對文件進行加密。除了擁有解密私鑰的攻擊者本人，其他人幾乎不可能解密。” “加密完成后，通常還會修改壁紙，在桌面等明顯位置生成勒索提示文件，指導用戶去繳納贖金。勒索病毒變種非常快，對常規的殺毒軟件都具有免疫性。攻擊的樣本以exe、js、wsf、vbe等類型為主，對常規依靠特征檢測的安全產品是一個極大的挑戰。”葉鵬補充道。 英方軟件品牌總監黃亮告訴《每日經濟新聞》記者：“針對勒索病毒無法快速恢復業務，說明該公司系統備份做得一般，按照我國等級保護和分級保護要求，針對關鍵基礎設施的系統備份，至少要在異地建立一套達到業務級災備要求的備份系統，當本地生產系統在極端情況下出現生產中斷且短時間內無法恢復時，異地備份系統能夠在監管要求的時間內快速啟動，繼續對外提供服務。” “如果從災備（備份和容災）和業務連續性角度看，該公司提升空間更大。很顯然，作為如此重要的能源基礎設施，ColonialPipeline沒有啟動災備系統讓業務快速恢復，說明在這兩方面的建設并不十分完善。”黃亮補充道。 他山之石：如何防御勒索攻擊 此次勒索攻擊對美國影響巨大，那么國內企業、個人應該如何防御勒索攻擊呢？葉鵬表示：“從攻擊者滲透進入內部網絡的某一臺主機到執行加密行為往往有一段時間，如果在這段時間能夠做出響應，完全可以避免勒索事件的發生。某臺主機在感染勒索病毒后，除了自身會被加密，勒索病毒往往還會利用這臺主機去攻擊同一局域網內的其他主機，所以當發現一臺主機已被感染，應盡快采取響應措施。” “具體措施包括隔離中毒主機、主機加固等。不過，基礎措施可以一定程度上響應勒索事件，但當病毒情況嚴重、感染主機較多或面對未知類型勒索變種，基礎措施的效果就十分有限。當有數百臺甚至更多主機的場景感染勒索病毒，是無法逐一去采取基礎響應措施，需要借助專業的安全產品進行監測、防護和專業的安全團隊的技術支持。高級響應措施方面，監測方面產品比如安恒APT攻擊預警平臺，查殺與防護領域有EDR主機安全及管理系統。” 據了解，安恒APT攻擊預警平臺能夠發現已知或未知威脅，平臺能實時監控、捕獲和分析惡意文件或程序的威脅性，并能夠對郵件投遞、漏洞利用、安裝植入、回連控制等各個階段關聯的木馬等惡意樣本進行強有力的監測。 網絡安全的復雜性和與時俱進的屬性，加上工業互聯網領域自身的復雜生態和廣泛連接屬性，使得這一問題的解決難度倍增，貫穿互聯網、集團專網、企業管理網和生產控制網、云平臺四大區域全場覆蓋的網絡安全產品應用和解決方案體系的建立，才能讓工業互聯網得到更好的防護和安全問題解決之道。 葉鵬坦言，這對專業的網絡安全企業提出了極高的要求，既要有大量的實際經驗，又需要完整的識別、防護、監測及響應恢復周期體系，以及強大的研發實力和持續的創新能力。 黃亮表示：“對于重要商業數據、個人資料、相片等信息，建議做好定期備份；對于業務要求實時性高的企業，要做好實時備份，比如通過真CDP技術實現數據實時備份，當勒索病毒加密生產數據時，可以通過備份數據快速恢復業務，數據丟失量能夠趨于零。總而言之，在數據時代，不管數據作為公司重要的生產資料，歷史的重要見證，還是個人的珍貴回憶，都要做好備份和容災，不要將雞蛋放在同一個籃子里。” 欲獲取更多互聯網安全信息及勒索病毒防護知識，請參考每日經濟新聞與安恒信息聯手推出的產品網絡信息安全月報第一期：《2021年3月網絡信息安全月報：勒索病毒來勢洶洶，宏碁、富士康中招保護數據安全需要反守為攻？》