联邦调查局拿下蜂巢犯罪勒索软件组织

scientific 20230201

  • 网络安全
  • 勒索软件
  • 国际执法合作
勒索软件攻击中,黑客会加密计算机系统,然后勒索受害者付款,否则就面临无法访问数据的风险。这类攻击的受害者范围从个人到强大的机构,无一幸免。受害者包括大型企业,如肉类供应商JBS;关键基础设施,如科洛尼尔输油管道;甚至包括整个国家,如哥斯达黎加。上周,美国司法部宣布了一个罕见的利好消息:FBI渗透了一个名为Hive的主要勒索软件组织,并获取了其解密密钥。这些密钥使受害者可以在不支付勒索金的情况下恢复数据。FBI的工作帮助受影响的机构避免支付了1.3亿美元。此后,美国执法部门与国际合作伙伴合作,没收了Hive的服务器并关闭了其网站。根据司法部的官方公告,自2021年6月以来,Hive一直是勒索软件领域的重要参与者,已攻击了80多个国家的1500多个受害者,并勒索了超过1亿美元。“我认为,就影响的组织数量和勒索金额而言,Hive可说是目前我们掌握数据中规模最大的勒索软件组织之一。”塔夫茨大学网络安全政策副教授约瑟芬·沃尔夫说道。《科学美国人》杂志与沃尔夫探讨了FBI如何摧毁Hive以及这次执法行动对其他勒索软件犯罪者的震慑效果有多大。[以下是对此次采访的编辑后的文字稿。] FBI对Hive采取了哪些行动?这包括两个部分,两者都十分有趣。执法机构首先做的是,在过去几个月里渗透了Hive的内部通信系统——我们推测,根据司法部的说法,这一渗透始于去年夏天。由于执法机构进入了他们的计算机系统,能够看到他们感染了哪些系统,更重要的是知道了解密这些勒索软件的密钥,因此,司法部表示能够帮助大量受害者恢复被攻击的系统,实质上是从Hive的服务器上窃取了解密密钥,而Hive对此毫不知情。因此,在几个月里,执法部门以匿名身份潜入Hive服务器,获取解密密钥,并将其提供给受害者,使他们能恢复自己的计算机。第二个部分就是这次的捣毁行动。司法部实际上进入并没收了服务器,关闭了Hive的网站。对于这一部分,我认为很难评估其长期影响,因为服务器和网站是可替换的。所以这虽然是一次有效的干扰,但并不等同于“这些人永远无法再次分发勒索软件了”。我的猜测是——我在这里只是推测——这次捣毁行动之所以发生,是因为执法机构在Hive系统中的存在已被发现。否则,我认为执法机构会尽可能长时间地维持这种存在。FBI是否可能继续开展此类行动,即在数月内将人员嵌入到犯罪组织系统中?老实说,我希望能如此。我认为这在许多情况下是很难做到的,因为很多网络犯罪组织出于明显的理由,对谁能访问他们服务器非常谨慎。我认为,找到一个保护措施不够严密的组织,这在某种程度上是个特例。或许这也与Hive是一家“勒索软件即服务”组织有关:他们把自己的恶意软件租给其他许多坏人,因此被该领域中的许多不同实体广泛使用。这使得他们必须与许多非组织内部成员的客户打交道,而这些客户购买他们的服务。也许这让他们更容易在组织和系统中引入新成员。当然,我认为执法机构会继续尝试这样做。我希望他们能成功。Hive的瓦解是否会震慑其他勒索软件组织?我认为这取决于接下来的一些步骤——目前还没有人被捕。我认为这不会让网络犯罪分子感到恐惧而仓皇逃窜。我猜测,一些较大的组织可能会开始检查自己的系统,寻找任何类似存在迹象。我不认为这会让他们降低勒索攻击的频率,部分原因是我认为,对于在海外运营的网络犯罪分子,对这类行动的关注较少、恐惧也较少。但肯定会在一定程度上引起他们的担忧,担心自己的系统是否也会被类似方式入侵。这些组织最近都在忙些什么?勒索软件世界当前的情况如何?我们仍然看到对医疗机构、地方和国家政府以及私营机构造成显著影响的勒索软件攻击。总体而言,从保险公司的角度来看,我认为在过去的六到十二个月里,勒索软件攻击的频率有所下降——目前没有像2020年和2021年那样频繁和普遍,那时勒索软件造成了最大的破坏和最多的索赔。但当然,这并不意味着它已经消失。为什么会发生这种减速?对此有不同的看法。我认为许多保险公司会说,“我们已经变得更好,能够在投保人采取某些保护措施方面提出要求。”最直接的就是创建备份,并要求所有人在系统被加密后能够重新启动系统。他们认为,这在一定程度上帮助减少了勒索软件攻击的索赔数量和造成的损失。此外,乌克兰战争在一定程度上扰乱了勒索软件行业。有一组勒索软件组织和网络犯罪组织在乌克兰有人员,通常有在俄罗斯的领导者,他们开始互相泄露信息,破坏彼此的努力。另一个因素是美国和欧洲的执法行动变得更加积极:试图抓捕人员、捣毁组织,使勒索软件变得不再有利可图。其中一部分也涉及对加密货币行业的监管:试图制裁那些被犯罪分子用于处理这些付款的加密货币交易所。加密货币中间商能够大范围跨境处理货币支付,这对勒索软件成为盈利产业至关重要。美国政府也在积极寻求与国际合作伙伴的合作,这是另一个重要部分。大多数这些犯罪分子并不居住在美国或其它受害者的所在地国家。[捣毁他们]实际上需要与海外执法机构积极协作。网络犯罪分子是否正在改变战术,以应对执法部门更强大的回应?我们还没有太多谈到的一个方面是:当勒索软件操作者不仅加密受害者系统,还盗取所有数据的副本,并威胁说“如果你不付赎金,我会把你的数据全部公开”的情况。这在过去几年中变得越来越频繁。当你考虑我们曾见过的解决方案时,尤其是希望“如果我们提供解密密钥,人们就不会支付赎金”时,这种做法尤其成问题。如果黑客手中有被盗数据作为要挟,那么这种缓解措施的效果就大打折扣了。从摧毁Hive的行动中,我们还学到了什么?在司法部的公告中,他们表示,当他们进入Hive服务器时,可以看到正在被攻击的目标。但他们只收到了其中约20%受害者的报告。这为我们提供了一个数据点,即直接向FBI报告的勒索软件攻击占总数的比例,与FBI主动联系受害者并说“嘿,我们看到这个勒索软件组织可能影响了你,我们认为我们能提供帮助”的情况相比,只有20%的比例。从了解这一问题的规模来看,这是一个相当低的数字。

查看全文

点赞

scientific

作者最近更新

  • 我们进化的历史可以教会我们人工智能的未来
    scientific
    2023-11-11
  • “ChatGPT检测器”以前所未有的准确率识别人工智能生成的论文
    scientific
    2023-11-11
  • 人工智能需要规则,但谁将拥有制定规则的权力?
    scientific
    2023-11-07

期刊订阅

相关推荐

  • 物联网产品开发有哪些秘密?

    2020-02-28

  • 智慧城市因何成为黑客的诱人目标?

    2020-03-03

  • 影响2020年楼宇自动化产业的五大趋势为何?

    2020-03-05

  • 微软破获全球最大的僵尸网络

    2020-03-12

评论0条评论

×
私信给scientific

点击打开传感搜小程序 - 速览海量产品,精准对接供需

  • 收藏

  • 评论

  • 点赞

  • 分享

收藏文章×

已选择0个收藏夹

新建收藏夹
完成
创建收藏夹 ×
取消 保存

1.点击右上角

2.分享到“朋友圈”或“发送给好友”

×

微信扫一扫,分享到朋友圈

推荐使用浏览器内置分享功能

×

关注微信订阅号

关注微信订阅号,了解更多传感器动态

  • #{faceHtml}

    #{user_name}#{created_at}

    #{content}

    展开

    #{like_count} #{dislike_count} 查看评论 回复

    共#{comment_count}条评论

    加载更多

  • #{ahtml}#{created_at}

    #{content}

    展开

    #{like_count} #{dislike_count} #{reback} 回复

  • #{ahtml}#{created_at}

    #{content}

    展开

    #{like_count} #{dislike_count} 回复

  • 关闭
      广告