在勒索软件攻击中,黑客加密计算机系统,然后勒索受害者付款,否则将面临失去对其数据的访问权限的风险。受害者包括大型公司,如肉类供应商 JBS,主要基础设施,如 Colonial Pipeline 输油管道,以及整个国家,如哥斯达黎加。美国司法部最近宣布了一些关于这个犯罪行业的罕见好消息:FBI 渗透了一个名为 Hive 的主要勒索软件团伙,并获得了其解密密钥。这些密钥让勒索软件受害者无需支付要求的费用即可恢复其数据。FBI 的工作帮助受影响方避免支付 1.3 亿美元。之后,美国执法部门与国际合作伙伴合作,查封了 Hive 的服务器并关闭了其网站。
根据美国司法部的数据,自 2021 年 6 月以来,Hive 一直是勒索软件领域的主要参与者,攻击了 80 多个国家的 1500 多名受害者,并从他们那里勒索了超过 1 亿美元。“我认为这与我们掌握数据的最大勒索软件团伙不相上下,无论是在受影响的组织数量还是在支付的金额方面,”塔夫茨大学网络安全政策副教授约瑟芬·沃尔夫说。大众科学与沃尔夫谈论了 FBI 如何捣毁 Hive,以及这次执法行动将对其他勒索软件罪犯产生多大的影响。
[以下是采访的编辑文字记录。]
关于支持科学新闻报道
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道 订阅。通过购买订阅,您正在帮助确保未来能够继续刊登关于塑造我们当今世界的发现和想法的具有影响力的报道。
FBI 对 Hive 采取了什么行动?
这其中有两个部分,两者都非常有趣。执法部门做的第一件事是实际渗透到他们的内部通信中几个月的时间——我们认为可以追溯到去年夏天,根据司法部的说法。由于执法部门在他们的计算机内部,能够看到他们感染了谁,更重要的是,能够看到撤销勒索软件的解密密钥是什么,司法部表示,它能够帮助许多被攻击的受害者,并通过基本上从 Hive 服务器窃取这些解密密钥,在 Hive 不知情的情况下解密他们的系统。因此,几个月来,执法部门在这些服务器中秘密存在,获取解密密钥并将其提供给受害者,以便他们可以恢复他们的计算机。
第二部分,也就是刚刚发生的,是查封行动。这是司法部实际介入并查封服务器并移除 Hive 网站的地方。对于这一部分,很难知道长期的影响是什么,因为服务器和网站是可以替换的。因此,这是一个很好的干扰,但这不一定等同于说,“这些人将永远无法再次散布勒索软件。” 我的猜测是,查封行动发生的原因是执法部门在 Hive 系统中的存在已被发现。因为否则我认为你会尽可能长时间地维持这种存在。
FBI 是否有可能继续组织像这样涉及将特工植入犯罪组织系统中数月的行动?
老实说,我希望如此。这是一件棘手的事情,因为许多网络犯罪组织出于显而易见的原因,对谁有权访问其服务器相当谨慎。我的猜测是,这是一个有点异常的现象,即找到一个保护不够严密的组织。也许这也与 Hive 是一个“勒索软件即服务”组织有关:你看到他们将恶意软件出租给一大堆其他不良行为者。因此,它被该领域的许多不同实体广泛使用,他们与非内部、已知的组织成员而是购买其服务的客户有大量交易。也许这使得更容易将新人引入组织和系统。当然,这是执法部门将继续尝试做的事情。我希望它会成功。
Hive 的垮台会阻止其他勒索软件团伙吗?
这在一定程度上取决于接下来的一些步骤。我认为这不一定是一个会让网络罪犯闻风丧胆的故事。我的猜测是,一些较大的组织将会清扫他们自己的系统,并寻找任何他们应该注意的类似存在的迹象。我不认为这会让任何人收敛他们的勒索软件行动,部分原因是我认为对于在海外运营的网络罪犯来说,人们对勒索软件的关注较少,恐惧也较少。但这肯定会让人们对自己的系统以这种方式被渗透的可能性感到不安。
这些团伙最近还在做什么?勒索软件世界的现状如何?
我们继续看到这些相当重大、影响深远的勒索软件攻击发生在医疗机构、地方和国家政府层面以及私营机构。我从保险公司那里得到的印象是,在过去的半年到一年里,勒索软件的发生率有所放缓——它不像 2020 年、2021 年那样频繁或普遍,那时它造成的破坏最大,造成的索赔也最多。但这并不是说它已经消失了。
为什么会发生这种放缓?
关于这一点有不同的看法。许多保险公司会说,“我们在要求投保人采取某些措施来保护自己方面做得更好了”——其中最直接的就是创建备份,要求每个人在所有东西都被加密的情况下都能够重启他们的系统。他们认为这至少有助于减少索赔数量和勒索软件攻击造成的损害。在某种程度上,乌克兰战争使勒索软件行业陷入某种程度的混乱。有一系列勒索软件团伙和网络犯罪组织在乌克兰有人,领导人通常在俄罗斯,他们开始泄露关于彼此的信息,并从内部破坏彼此的努力。
另一方面是美国以及欧洲积极的执法行动:试图抓捕人员,进行查封,使勒索软件成为一种不太有利可图的犯罪。其中一些行动也集中在加密货币行业的监管上:试图制裁某些犯罪分子用来处理这些付款的加密货币交易所。加密货币中介机构促进大规模和跨国界的货币支付,这对于使其成为一项盈利业务至关重要。美国政府肯定在追求的另一件事是国际合作。这些犯罪分子大多不在美国或其他受害者所在国家。要捣毁他们,需要与海外执法部门进行非常积极的合作。
网络罪犯是否正在改变他们的策略以应对来自执法部门的更强有力的回应?
我们尚未大量触及的一个方面是,当勒索软件运营者不仅加密受害者的系统,还窃取其所有数据的副本,然后威胁说:“如果你不支付赎金,我就要在线泄露你的所有数据”时,会发生什么。在过去的几年里,这种情况发生的频率越来越高。当您想到我们已经看到的解决方案时,这尤其成问题,这些解决方案的希望是“如果我们提供解密密钥,那么人们就不会支付赎金。” 如果有一个被盗副本悬在受害者的头上,那将是一种效果较差的缓解措施。
我们还能从 Hive 的查封行动中学到什么?
在美国司法部的公告中,他们说当他们在 Hive 服务器内部时,他们可以看到谁是目标。但他们只收到大约 20% 的受害者的报告。这为我们提供了一个数据点,说明实际直接向 FBI 报告的勒索软件攻击占多大比例,而 FBI 不得不主动联系并说“看起来这个勒索软件团伙可能已经影响了您。我们认为我们可以提供帮助”的攻击又占多大比例。就试图了解这个问题的规模而言,20% 是一个相当低的数字,它远低于人们自愿报告的规模。