信息化觀察網

2020年11月3日，2020年美國總統(tǒng)大選投票正式啟動，拜登與特朗普的“單挑”進入白熱化階段。由于政治角力與網絡安全問題的白熱化，這注定將是美國歷史上最不同尋常的一次總統(tǒng)大選。

美國總統(tǒng)大選投票直播鏈接：

https://www.youtube.com/watch?v=4rNJh6kxbDE

繼上周特朗普競選網站被黑后，美國總統(tǒng)大選的安全防御工作已警鈴大作、風聲鶴唳，而選舉日的到來，則意味著這場網絡戰(zhàn)爭已經全面啟動，正如WhiteHat Security首席安全工程師Ray Kelly所言：

選舉日對于安全行業(yè)來說，不亞于一場網絡攻防的“超級碗”大賽。

受新冠疫情影響，今年的總統(tǒng)大選需要處理更多的郵寄選票，統(tǒng)計工作耗費的時間很有可能大大超出往屆選舉，這也為各種網絡攻擊提供了更長的時間窗口。事實上，整個投票系統(tǒng)，從選民注冊系統(tǒng)、選舉網站、選民數據庫到社交媒體，都暴露在包括勒索軟件、社工攻擊、社交媒體信息操縱和濫用、高級針對性攻擊、郵件攻擊、僵尸網絡DDoS攻擊、人工智能深度偽造等各路黑客的攻擊火力之下。

在針對選舉系統(tǒng)的攻擊中，勒索軟件是頭號威脅。

雖然近期各方數據顯示，2020年全球惡意軟件數量近年來穩(wěn)步下降，但是根據SonicWall的最新報告，2020年勒索軟件是增長最為迅猛（40%）的網絡威脅，其中美國的勒索軟件攻擊卻達到了驚人的1.452億次，同比增長了139％。

如果美國大選的選舉系統(tǒng)遭遇勒索軟件攻擊導致局部癱瘓，區(qū)域選票數據泄露或鎖定，甚至影響投票進程，那么這些進攻也不是選舉日才發(fā)起的，而是數月前就已經潛伏在系統(tǒng)中。因為，根據Mandiant的FLARE高級實踐團隊的研究，2019年勒索軟件的平均“駐留時間”約為72天12個小時。

此外，惡意軟件即服務（MaaS）進一步增加了勒索軟件攻擊的復雜性，因為攻擊者可以自由使用任何工具和組合方式。據VMware Carbon Black稱，MaaS業(yè)務導致了近半數的定制化網絡攻擊。

勒索軟件可以直接更改投票結果？

根據安全牛此前報道，知名安全博主Krebs曾在推特上警告說：“本周真正需要警惕的是針對競選投票系統(tǒng)的攻擊，而不是抹黑網站或者DDoS這類騷擾性攻擊。”

CI Security的CISO邁克·漢密爾頓（Mike Hamilton）也認為本地選舉基礎設施面臨風險。

漢密爾頓警告說：“最危險的日子是11月4日，各縣都將受到勒索軟件的威脅。因為到那時，面對面的投票已經完成，投票結果已經制成表格。”他說，“如果勒索軟件襲擊一個縣（僅由縣進行選舉），郵寄數量將受到質疑。因為眾所周知共和黨人會在選舉日親自投票，而民主黨人則傾向于郵寄選票，所以這是一種危險。”

“勒索軟件是否真的可以'更改投票記錄'并不重要，因為如果攻擊者有足夠的網絡訪問權限來加密鎖定數據，就一定有足夠的權限來更改數據。”

原美國國土安全部網絡和基礎設施部副部長，Nozomi Networks顧問Suzanne Spaulding表示：“除了防范入侵2016年以來得到安全加固的選民登記數據庫，我們還應該為選舉日導致無法訪問選民登記名單的網絡攻擊做好準備。”

她補充說：“這可能是通過勒索軟件攻擊來鎖定數據，使民意調查人員無法訪問?；蛘?，網絡攻擊可能會直接破壞記錄投票結果的表單或報告。此外，隨著郵寄選票的大幅增長，還應當留意那些蓄意抹黑破壞郵寄投票方式的假消息傳播。我們已經在俄羅斯的宣傳網點看到了此類信息。”

“嚴打”與緩解

針對勒索軟件這個頭號威脅，美國網絡安全業(yè)界在總統(tǒng)選舉日之前已經提前展開大規(guī)模的“嚴打行動”。本月，安全牛曾報道“微軟取得政府授權接管了Trickbot僵尸網絡“，而Trickbot是勒索軟件最重要的商業(yè)木馬傳播渠道，同時也是一種MaaS機器人。一家公司透露，到10月18日，微軟及其合作伙伴已經“消除了Trickbot關鍵運營基礎結構的94％”，其中包括該惡意軟件的命令和控制服務器以及“Trickbot試圖聯機的新基礎結構”。

但是勒索軟件的可怕之處在于其高度適應性和高速迭代能力，微軟自己也承認，Trickbot不會就此消亡，其背后的運營商將很快找到復活的方法。而且最活躍的頭部勒索軟件已經開始有意識地降低對Trickbot和Emotet等MaaS渠道的依賴，轉而使用可以繞過安全工具的非先嘗工具。

2016年以來，美國政府和網絡安全業(yè)界也在積極提升投票系統(tǒng)的勒索軟件防御能力。其中最重要的一項舉措，就是改進流程和提升人員安全意識。美國國土安全部CISA實施的最重要的改進是編制并發(fā)布《美國選舉管理人員漏洞報告指南》（PDF）。這是重要的一步，因為許多選舉官員都不知道該去哪里尋求幫助，甚至不知道自己是否需要幫助。

此外，兩家領先的投票機供應商ES＆S（PDF）和Dominion已各自宣布了漏洞披露政策和流程。

圖解：美國勒索軟件攻擊現狀

下圖是Cybersecurity Dive公司統(tǒng)計的2019年1月至9月在美國最活躍的五大勒索軟件黑幫家族。

可以看出，剛剛宣布“金盆洗手”的Maze是美國最為活躍的勒索軟件，而占全球勒索軟件攻擊三分之一的Ryuk在美國的活躍度僅排名第五。

根據Cybersecurity Dive的監(jiān)測數據，盡管Maze和NetWalker針對醫(yī)療行業(yè)組織實施了大量攻擊，但其他各行業(yè)的攻擊中也發(fā)現了包括Maze、NetWalker和REvil的身影。此外，將近半數的勒索軟件攻擊都未公開。

根據Emsisoft的報告，2020年二季度最活躍的勒索軟件是Djvu、Phobos、Dharma、REvil和Globeimposter，除了REvil外，TOP5中其他四個與2019年的榜單有所不同。

醫(yī)療行業(yè)遭受勒索軟件攻擊最多

根據Cybersecurity Dive的監(jiān)測數據，2020年1-9月遭受勒索軟件攻擊最多的行業(yè)是醫(yī)療，其次是公共和政府部門。網絡安全公司IronNet的安全研究工程師Jon.JP.Perez說：“大部分勒索軟件攻擊都始于網絡釣魚，這并不是什么新鮮事。”今年的攻擊利用了更多的漏洞進行初始訪問。

與去年不同，隨著新的壓力的出現，危機變得更加復雜。

Cybersecurity Ventures估計，未來五年醫(yī)療行業(yè)的網絡安全支出將達到1250億美元。累計而言，該行業(yè)的安全能力已經過時，無法保護寶貴的數據，這使得醫(yī)療行業(yè)組織更有可能支付贖金。

勒索軟件攻擊的重災區(qū)：德克薩斯州和加利福尼亞州

根據Cybersecurity Dive的跟蹤監(jiān)測，今年迄今為止，加利福尼亞州已知的勒索軟件攻擊數量僅次于德克薩斯州。根據CompTIA的2020年網絡狀態(tài)報告，加利福尼亞州是美國人口最多的州，經濟總量相當于25個州的總和。

得克薩斯州的人口數量落后于加利福尼亞州，但兩個州在整體技術就業(yè)方面處于領先地位。加州和得克薩斯州分別雇用190萬和100萬技術工人，超過了第三大技術雇主紐約（擁有679,000）。

去年，得克薩斯州有20多個市遭受了勒索軟件攻擊，迫使德克薩斯州宣布進入緊急狀態(tài)。

僅有50%的企業(yè)遭受攻擊后會通知客戶

數據來源：Cybersecurity Dive

除了加密數據外，越來越多的勒索軟件開始將數據泄露加入攻擊組合，這也迫使更多企業(yè)選擇繳納贖金同時保持沉默。根據Emsisoft的統(tǒng)計，在今年上半年收到的10萬個勒索軟件ID提交中，有1.16萬個實施了數據竊取。