我們可以想象下這樣的場景:當(dāng)你有事前往法院時,卻看到門上貼著通告,上面寫著“系統(tǒng)故障”;警察現(xiàn)場辦案時,卻發(fā)現(xiàn)無法在他們的車內(nèi)訪問筆記本電腦上的信息;當(dāng)醫(yī)生準(zhǔn)備為患者手術(shù)時,醫(yī)療設(shè)備卻處于宕機(jī)狀態(tài),這些異常情況會產(chǎn)生什么樣的可怕后果?然而,這就是城市、警察局或醫(yī)院遭到勒索軟件攻擊時可能遇到的情況。
勒索軟件是可以加密或控制計算機(jī)系統(tǒng)的惡意軟件。發(fā)動這些攻擊的罪犯可以拒絕還回訪問權(quán)限,直到他們拿到贖金。在2019年之前,勒索軟件大多針對企業(yè)和個人。然而近年來,針對Travelex、Maersk等石油和天然氣公司以及工業(yè)控制系統(tǒng)的攻擊,已經(jīng)導(dǎo)致數(shù)億美元的巨額損失。
但越來越多的城市、供電設(shè)施以及面向公眾的機(jī)構(gòu)也成為攻擊目標(biāo)。隨著攻擊的日益增加,越來越多的安全專家正在使用人工智能(AI)來提高防御惡意軟件攻擊的效率。但也有人擔(dān)心,犯罪分子也將開始使用AI將勒索軟件武器化,并策劃更有效的襲擊。
易受攻擊的目標(biāo)
安全公司Emsisoft的分析發(fā)現(xiàn),僅在2019年,就大約有85所美國學(xué)校、100個美國地方和州政府,以及700多個醫(yī)療保健服務(wù)提供商遭受了勒索軟件攻擊。這還不包括最近德克薩斯學(xué)區(qū)遭受的襲擊事件(損失230萬美元),也不包括導(dǎo)致新奧爾良市宣布進(jìn)入緊急狀態(tài)的襲擊事件。新奧爾良市長拉托亞·坎特雷爾(LaToya Cantrell)表示,勒索軟件攻擊造成的損失超過了該市300萬美元的網(wǎng)絡(luò)保險單上限。
針對面向公眾機(jī)構(gòu)的勒索軟件攻擊尤其令人擔(dān)憂,因?yàn)榕c個人或企業(yè)不同,城市、學(xué)校和醫(yī)院為公眾提供著基本的公共安全和服務(wù)。Emsisoft的報告稱,2019年,勒索軟件中斷了911服務(wù),推遲了手術(shù)程序,并使應(yīng)急官員難以訪問醫(yī)療文件、掃描員工徽章和查看未完成的逮捕令。
即使沒有AI為勒索軟件帶來的升級,網(wǎng)絡(luò)犯罪分子也在造成大量破壞,攻擊頻率和造成的損失都在上升。巴爾的摩花費(fèi)了1800萬美元來解決2019年勒索軟件襲擊造成的損失。在此之前,亞特蘭大市的一次襲擊造成了約1700萬美元損失。根據(jù)Barracuda Networks的分析,小城市特別容易受到攻擊,因?yàn)?019年近半被攻擊城市的人口在5萬人以下。分析還發(fā)現(xiàn),2019年三分之二的勒索軟件攻擊針對的是政府組織。
回過頭來看,有時似乎對城市的勒索軟件攻擊甚至不知從何而來,但Malwarebytes Labs主任亞當(dāng)·庫賈瓦(Adam Kujawa)表示,這一趨勢可以追溯到2017年底,當(dāng)時WannaCry、Petya和NotPetya重新定義了惡意軟件。這些攻擊能夠加密數(shù)據(jù)并將它們傳播到全球各地的網(wǎng)絡(luò),這讓網(wǎng)絡(luò)罪犯看到了新的可能性。一個針對烏克蘭供電公司的蠕蟲像數(shù)字臟彈一樣在全球傳播,造成的損失高達(dá)100億美元。
然后在2018年末,Malwarebytes Labs發(fā)現(xiàn)了涉及EmoTet的攻擊,EmoTet會竊取憑證,通過垃圾郵件模塊傳播惡意軟件,然后使用TrickBot等惡意軟件橫向移動并感染網(wǎng)絡(luò)。庫賈瓦說:“從那時起,我們開始看到越來越多的特定攻擊方法,然后是對這種攻擊方法的各種改進(jìn),直到演變到現(xiàn)在的樣子。”
Barracuda Networks表示,電子郵件是攻擊者訪問城市系統(tǒng)的最常見方式,其次是PDF和微軟Office文檔。釣魚電子郵件和文檔有時被設(shè)計成適合城市通常收到的電子郵件和文檔的類型,比如發(fā)票或發(fā)貨通知。
庫賈瓦表示,這些工具的演變以及其他襲擊帶來的更高投資回報,使更多的犯罪活動轉(zhuǎn)向了政府機(jī)構(gòu)。他指出,城市服務(wù)和醫(yī)院正成為更大的目標(biāo),因?yàn)樗鼈儼绱硕嗟膫€人身份信息(PII),需要始終發(fā)揮作用才能服務(wù)于社會。城市以采用新技術(shù)的速度低于平均水平而聞名,包括旨在修補(bǔ)最新漏洞的軟件更新。他們的員工中也不太可能有網(wǎng)絡(luò)安全專家,而且他們的文化可能沒有認(rèn)真對待網(wǎng)絡(luò)安全。
犯罪手段似乎也在升級。攻擊者不僅威脅要加密文件和限制訪問,現(xiàn)在還威脅要在網(wǎng)上發(fā)布文件。庫賈瓦指出:“開始威脅將內(nèi)部文件和客戶信息泄露到開放網(wǎng)絡(luò)中,這很可能成為一種標(biāo)準(zhǔn)的操作程序,這將把勒索軟件攻擊變成全面的數(shù)據(jù)泄露事件。這將給受到攻擊的組織帶來更多的問題。”
罪犯索取的贖金(通常要求用比特幣)也在上升。Malwarebytes Labs發(fā)現(xiàn),2019年攻擊者向政府和學(xué)校索要的贖金從最初的1000美元左右飆升至年底的4萬美元以上。安全公司Coveware預(yù)計,2019年第四季度的平均贖金勒索金額超過8萬美元。
另一個令人擔(dān)憂的問題是,實(shí)施勒索軟件攻擊的組織開始銷售勒索軟件,允許技術(shù)知識較少的犯罪分子自己發(fā)動攻擊,庫賈瓦稱這種模式為“勒索軟件為服務(wù)”,這幾乎已經(jīng)形成了獨(dú)立的經(jīng)濟(jì)模式。
支付贖金城市的失誤
巴爾的摩在十幾個月的時間里遭受了兩次勒索軟件攻擊,這是情況可能變得如此糟糕的最引人注目、最昂貴和最持久的例子。第二起襲擊發(fā)生在2019年5月,到結(jié)束時,這座城市已經(jīng)損失了近1800萬美元。
關(guān)于城市是否應(yīng)該支付贖金的要求存在很大爭議。庫賈瓦說,巴爾的摩沒有支付贖金是個錯誤,該市也沒有制定總體政策。2019年夏天的襲擊事件加強(qiáng)了雙方在是否支付贖金問題上的分歧。去年6月,佛羅里達(dá)州的湖城和里維埃拉海灘分別支付了約50萬美元和60萬美元的贖金。相比之下,德克薩斯州近20多個城市在2019年8月的集體襲擊中受到攻擊,但沒有任何城市支付贖金。
有些城市試圖通過購買網(wǎng)絡(luò)保險來采取積極措施,防止?jié)撛诘睦账鬈浖p失。在新奧爾良發(fā)生攻擊事件后,坎特雷爾表示,該市計劃將其網(wǎng)絡(luò)保險覆蓋金額從300萬美元提高到1000萬美元,而巴爾的摩預(yù)算委員會在2019年10月批準(zhǔn)了一項(xiàng)2000萬美元的網(wǎng)絡(luò)安全保單。
庫賈瓦說,網(wǎng)絡(luò)保險將問題從從未遇到過勒索軟件的人手中拿出來,并將其移交給始終在處理這個問題的人。他稱:“很明顯,外面有很多騙子,我絕對認(rèn)為網(wǎng)絡(luò)安全保險在我們今天的社會中非常重要,而且未來會更有價值,只要它不只是為了抬高補(bǔ)救成本而存在。“
無論如何,城市宣布他們有網(wǎng)絡(luò)保險是不明智的,巴爾的摩就犯了這樣的錯誤。這只會招致罪犯勒索數(shù)額更大的贖金,并在某種程度上喂飽了這頭“野獸”。幾乎沒有襲擊面向公眾機(jī)構(gòu)的肇事者被繩之以法,這一事實(shí)可能會加劇勒索軟件的流行趨勢。
AI如何防范勒索軟件攻擊
為了防止勒索軟件的傳播,安全軟件使用AI來檢測、隔離和刪除受感染的文件。安全軟件可以使用無監(jiān)督機(jī)器學(xué)習(xí)來創(chuàng)建AI模型,這些模型由數(shù)據(jù)集訓(xùn)練,以識別干凈文件和惡意文件之間的差異。自然語言處理(NLP)和計算機(jī)視覺有助于檢測電子郵件或文檔中的異常行為。微軟正在使用運(yùn)行在傳統(tǒng)分類模型之上的單調(diào)模型,可以捕獲95%的惡意軟件。這項(xiàng)技術(shù)是由加州大學(xué)伯克利分校的AI研究人員開發(fā)的。
網(wǎng)絡(luò)安全公司Capgeini在報告中發(fā)現(xiàn),AI正在幫助該行業(yè)更快地發(fā)展,并專注于解決最大的問題。接受調(diào)查的安全專業(yè)人士中有四分之三表示,AI減少了檢測惡意軟件的時間。三分之二的人表示,AI降低了應(yīng)對入侵的成本。反病毒和安全公司越來越多地采用AI。在2019年之前,大約五分之一的安全組織使用AI,三分之二的組織計劃在2020年采用這項(xiàng)技術(shù)。
AI如何助長勒索軟件攻擊
庫賈瓦表示,魚叉式網(wǎng)絡(luò)釣魚仍然是傳遞惡意軟件的主要方法,這一事實(shí)表明,人們?nèi)匀缓苋菀资艿接袝r會出現(xiàn)在他們電子郵件收件箱中的那種欺詐的影響。
這也反映了這樣一個事實(shí),即今天的勒索軟件襲擊似乎不需要AI的幫助。Malwarebytes Labs和Barracuda Networks尚未在實(shí)驗(yàn)室外看到AI在勒索軟件中的應(yīng)用。Malwarebytes Labs對惡意軟件潛在武器化的分析預(yù)測,帶有AI的勒索軟件在未來一到三年內(nèi)都不會流行起來。
庫賈瓦稱,他當(dāng)前最關(guān)心的是AI加入進(jìn)來的想法,這種想法可以描述組織中最適合瞄準(zhǔn)的人。AI還可以發(fā)現(xiàn)將惡意軟件傳播到世界各地大量機(jī)器的路徑,并成為AI軍備競賽中的“彈藥”。這樣的方法可以利用特定安全供應(yīng)商檢測或訓(xùn)練模型的漏洞類型,來檢測攻擊的軟區(qū)域。
庫賈瓦解釋稱:“有些研究人員已經(jīng)做了實(shí)驗(yàn)室測試,并創(chuàng)造了內(nèi)部的AI惡意軟件。這當(dāng)然是可能的事情,但我們在實(shí)際中如何看到它出現(xiàn),看到其出現(xiàn)的頻率,這才是我最擔(dān)心的。我確實(shí)看到AI和機(jī)器學(xué)習(xí)被用來從泄密、社交媒體或其他任何地方抓取數(shù)據(jù),以創(chuàng)建特定用戶的個人資料或理想受害者的個人資料。你可以利用所有這些信息來創(chuàng)建更高效的魚叉式網(wǎng)絡(luò)釣魚攻擊,來對付企業(yè)或任何你想要對付的人。”
未來發(fā)展趨勢預(yù)測
安全公司Barracuda Networks首席技術(shù)官弗萊明·施(Fleming Shi)說:“希望2018年和2019年吸取的經(jīng)驗(yàn)教訓(xùn)將在2020年為這些組織帶來更高的安全保障,但我們知道這可能不是所有組織都能做到的,襲擊會變得更糟。“
弗萊明·施預(yù)測,2020年,美國大選“搖擺州”的小城鎮(zhèn)可能會看到民族國家行為者發(fā)動更多襲擊,以此作為在11月美國總統(tǒng)大選之前發(fā)現(xiàn)漏洞的方式。他說:“那些在選舉決定中起重要作用的人有時會成為攻擊目標(biāo)。我的觀點(diǎn)是,我覺得我們還沒有為大選年做好準(zhǔn)備,沒有適當(dāng)?shù)姆烙胧?rdquo;
但庫賈瓦認(rèn)為,我們不太可能在搖擺州的小城市看到這種類型的攻擊,因?yàn)橛懈⒚畹姆椒▉頊y試系統(tǒng)。然而,他和弗萊明·施一樣擔(dān)心,城市和面向公眾的機(jī)構(gòu)未來可能會看到民族國家行為者實(shí)施的勒索軟件攻擊增加,因?yàn)樗麄兊膭訖C(jī)不僅僅是金融敲詐勒索。
WannaCry在全球造成的損失估計在40億至80億美元之間,它是由Shadow Brokers傳播的,這些人被認(rèn)為與俄羅斯政府有關(guān)聯(lián)。從美國國家安全局黑客組織竊取的漏洞EternalBlue,暴露了黑客在WannaCry、Petya和NotPetya攻擊中使用的Windows操作系統(tǒng)的漏洞。
特朗普政府稱NotPetya是“史上破壞性最大、代價最高的網(wǎng)絡(luò)攻擊”,導(dǎo)致美國財政部在2018年對俄羅斯政府實(shí)施制裁。美國財政部公布了對NotPetya的制裁,以及對干預(yù)2016年總統(tǒng)選舉行為的制裁措施。
庫賈瓦看到安全專家現(xiàn)在對犯罪集團(tuán)的能力和勒索軟件的流行有了更多的認(rèn)識,這讓他感到鼓舞。越來越多的城市開始實(shí)施最佳實(shí)踐,將PII置于另一層保護(hù)技術(shù)之后,并在發(fā)生攻擊時立即做出反應(yīng)。他補(bǔ)充說,Barracuda Networks和MalwareBytes等安全公司正在使用AI更好地檢測SamSam、Ryuk、RobbinHood和LockerGoga等勒索軟件。
庫賈瓦表示:“我們正朝著更好的方向發(fā)展,安全領(lǐng)域的許多行業(yè)也在朝這個方向發(fā)展。這必須是AI與AI之間的較量。如果網(wǎng)絡(luò)罪犯真的開始利用這些東西,我們需要能夠在他們襲擊之前阻止威脅,我們必須能夠在甚至不知道威脅存在的情況下阻止威脅出現(xiàn)。”