信息化觀察網(wǎng)

2020年11月3日，2020年美國(guó)總統(tǒng)大選投票正式啟動(dòng)，拜登與特朗普的“單挑”進(jìn)入白熱化階段。由于政治角力與網(wǎng)絡(luò)安全問題的白熱化，這注定將是美國(guó)歷史上最不同尋常的一次總統(tǒng)大選。

美國(guó)總統(tǒng)大選投票直播鏈接：

https://www.youtube.com/watch?v=4rNJh6kxbDE

繼上周特朗普競(jìng)選網(wǎng)站被黑后，美國(guó)總統(tǒng)大選的安全防御工作已警鈴大作、風(fēng)聲鶴唳，而選舉日的到來，則意味著這場(chǎng)網(wǎng)絡(luò)戰(zhàn)爭(zhēng)已經(jīng)全面啟動(dòng)，正如WhiteHat Security首席安全工程師Ray Kelly所言：

選舉日對(duì)于安全行業(yè)來說，不亞于一場(chǎng)網(wǎng)絡(luò)攻防的“超級(jí)碗”大賽。

受新冠疫情影響，今年的總統(tǒng)大選需要處理更多的郵寄選票，統(tǒng)計(jì)工作耗費(fèi)的時(shí)間很有可能大大超出往屆選舉，這也為各種網(wǎng)絡(luò)攻擊提供了更長(zhǎng)的時(shí)間窗口。事實(shí)上，整個(gè)投票系統(tǒng)，從選民注冊(cè)系統(tǒng)、選舉網(wǎng)站、選民數(shù)據(jù)庫(kù)到社交媒體，都暴露在包括勒索軟件、社工攻擊、社交媒體信息操縱和濫用、高級(jí)針對(duì)性攻擊、郵件攻擊、僵尸網(wǎng)絡(luò)DDoS攻擊、人工智能深度偽造等各路黑客的攻擊火力之下。

在針對(duì)選舉系統(tǒng)的攻擊中，勒索軟件是頭號(hào)威脅。

雖然近期各方數(shù)據(jù)顯示，2020年全球惡意軟件數(shù)量近年來穩(wěn)步下降，但是根據(jù)SonicWall的最新報(bào)告，2020年勒索軟件是增長(zhǎng)最為迅猛（40%）的網(wǎng)絡(luò)威脅，其中美國(guó)的勒索軟件攻擊卻達(dá)到了驚人的1.452億次，同比增長(zhǎng)了139％。

如果美國(guó)大選的選舉系統(tǒng)遭遇勒索軟件攻擊導(dǎo)致局部癱瘓，區(qū)域選票數(shù)據(jù)泄露或鎖定，甚至影響投票進(jìn)程，那么這些進(jìn)攻也不是選舉日才發(fā)起的，而是數(shù)月前就已經(jīng)潛伏在系統(tǒng)中。因?yàn)?，根?jù)Mandiant的FLARE高級(jí)實(shí)踐團(tuán)隊(duì)的研究，2019年勒索軟件的平均“駐留時(shí)間”約為72天12個(gè)小時(shí)。

此外，惡意軟件即服務(wù)（MaaS）進(jìn)一步增加了勒索軟件攻擊的復(fù)雜性，因?yàn)楣粽呖梢宰杂墒褂萌魏喂ぞ吆徒M合方式。據(jù)VMware Carbon Black稱，MaaS業(yè)務(wù)導(dǎo)致了近半數(shù)的定制化網(wǎng)絡(luò)攻擊。

勒索軟件可以直接更改投票結(jié)果？

根據(jù)安全牛此前報(bào)道，知名安全博主Krebs曾在推特上警告說：“本周真正需要警惕的是針對(duì)競(jìng)選投票系統(tǒng)的攻擊，而不是抹黑網(wǎng)站或者DDoS這類騷擾性攻擊。”

CI Security的CISO邁克·漢密爾頓（Mike Hamilton）也認(rèn)為本地選舉基礎(chǔ)設(shè)施面臨風(fēng)險(xiǎn)。

漢密爾頓警告說：“最危險(xiǎn)的日子是11月4日，各縣都將受到勒索軟件的威脅。因?yàn)榈侥菚r(shí)，面對(duì)面的投票已經(jīng)完成，投票結(jié)果已經(jīng)制成表格。”他說，“如果勒索軟件襲擊一個(gè)縣（僅由縣進(jìn)行選舉），郵寄數(shù)量將受到質(zhì)疑。因?yàn)楸娝苤埠忘h人會(huì)在選舉日親自投票，而民主黨人則傾向于郵寄選票，所以這是一種危險(xiǎn)。”

“勒索軟件是否真的可以'更改投票記錄'并不重要，因?yàn)槿绻粽哂凶銐虻木W(wǎng)絡(luò)訪問權(quán)限來加密鎖定數(shù)據(jù)，就一定有足夠的權(quán)限來更改數(shù)據(jù)。”

原美國(guó)國(guó)土安全部網(wǎng)絡(luò)和基礎(chǔ)設(shè)施部副部長(zhǎng)，Nozomi Networks顧問Suzanne Spaulding表示：“除了防范入侵2016年以來得到安全加固的選民登記數(shù)據(jù)庫(kù)，我們還應(yīng)該為選舉日導(dǎo)致無法訪問選民登記名單的網(wǎng)絡(luò)攻擊做好準(zhǔn)備。”

她補(bǔ)充說：“這可能是通過勒索軟件攻擊來鎖定數(shù)據(jù)，使民意調(diào)查人員無法訪問?；蛘?，網(wǎng)絡(luò)攻擊可能會(huì)直接破壞記錄投票結(jié)果的表單或報(bào)告。此外，隨著郵寄選票的大幅增長(zhǎng)，還應(yīng)當(dāng)留意那些蓄意抹黑破壞郵寄投票方式的假消息傳播。我們已經(jīng)在俄羅斯的宣傳網(wǎng)點(diǎn)看到了此類信息。”

“嚴(yán)打”與緩解

針對(duì)勒索軟件這個(gè)頭號(hào)威脅，美國(guó)網(wǎng)絡(luò)安全業(yè)界在總統(tǒng)選舉日之前已經(jīng)提前展開大規(guī)模的“嚴(yán)打行動(dòng)”。本月，安全牛曾報(bào)道“微軟取得政府授權(quán)接管了Trickbot僵尸網(wǎng)絡(luò)“，而Trickbot是勒索軟件最重要的商業(yè)木馬傳播渠道，同時(shí)也是一種MaaS機(jī)器人。一家公司透露，到10月18日，微軟及其合作伙伴已經(jīng)“消除了Trickbot關(guān)鍵運(yùn)營(yíng)基礎(chǔ)結(jié)構(gòu)的94％”，其中包括該惡意軟件的命令和控制服務(wù)器以及“Trickbot試圖聯(lián)機(jī)的新基礎(chǔ)結(jié)構(gòu)”。

但是勒索軟件的可怕之處在于其高度適應(yīng)性和高速迭代能力，微軟自己也承認(rèn)，Trickbot不會(huì)就此消亡，其背后的運(yùn)營(yíng)商將很快找到復(fù)活的方法。而且最活躍的頭部勒索軟件已經(jīng)開始有意識(shí)地降低對(duì)Trickbot和Emotet等MaaS渠道的依賴，轉(zhuǎn)而使用可以繞過安全工具的非先嘗工具。

2016年以來，美國(guó)政府和網(wǎng)絡(luò)安全業(yè)界也在積極提升投票系統(tǒng)的勒索軟件防御能力。其中最重要的一項(xiàng)舉措，就是改進(jìn)流程和提升人員安全意識(shí)。美國(guó)國(guó)土安全部CISA實(shí)施的最重要的改進(jìn)是編制并發(fā)布《美國(guó)選舉管理人員漏洞報(bào)告指南》（PDF）。這是重要的一步，因?yàn)樵S多選舉官員都不知道該去哪里尋求幫助，甚至不知道自己是否需要幫助。

此外，兩家領(lǐng)先的投票機(jī)供應(yīng)商ES＆S（PDF）和Dominion已各自宣布了漏洞披露政策和流程。

圖解：美國(guó)勒索軟件攻擊現(xiàn)狀

下圖是Cybersecurity Dive公司統(tǒng)計(jì)的2019年1月至9月在美國(guó)最活躍的五大勒索軟件黑幫家族。

可以看出，剛剛宣布“金盆洗手”的Maze是美國(guó)最為活躍的勒索軟件，而占全球勒索軟件攻擊三分之一的Ryuk在美國(guó)的活躍度僅排名第五。

根據(jù)Cybersecurity Dive的監(jiān)測(cè)數(shù)據(jù)，盡管Maze和NetWalker針對(duì)醫(yī)療行業(yè)組織實(shí)施了大量攻擊，但其他各行業(yè)的攻擊中也發(fā)現(xiàn)了包括Maze、NetWalker和REvil的身影。此外，將近半數(shù)的勒索軟件攻擊都未公開。

根據(jù)Emsisoft的報(bào)告，2020年二季度最活躍的勒索軟件是Djvu、Phobos、Dharma、REvil和Globeimposter，除了REvil外，TOP5中其他四個(gè)與2019年的榜單有所不同。

醫(yī)療行業(yè)遭受勒索軟件攻擊最多

根據(jù)Cybersecurity Dive的監(jiān)測(cè)數(shù)據(jù)，2020年1-9月遭受勒索軟件攻擊最多的行業(yè)是醫(yī)療，其次是公共和政府部門。網(wǎng)絡(luò)安全公司IronNet的安全研究工程師Jon.JP.Perez說：“大部分勒索軟件攻擊都始于網(wǎng)絡(luò)釣魚，這并不是什么新鮮事。”今年的攻擊利用了更多的漏洞進(jìn)行初始訪問。

與去年不同，隨著新的壓力的出現(xiàn)，危機(jī)變得更加復(fù)雜。

Cybersecurity Ventures估計(jì)，未來五年醫(yī)療行業(yè)的網(wǎng)絡(luò)安全支出將達(dá)到1250億美元。累計(jì)而言，該行業(yè)的安全能力已經(jīng)過時(shí)，無法保護(hù)寶貴的數(shù)據(jù)，這使得醫(yī)療行業(yè)組織更有可能支付贖金。

勒索軟件攻擊的重災(zāi)區(qū)：德克薩斯州和加利福尼亞州

根據(jù)Cybersecurity Dive的跟蹤監(jiān)測(cè)，今年迄今為止，加利福尼亞州已知的勒索軟件攻擊數(shù)量?jī)H次于德克薩斯州。根據(jù)CompTIA的2020年網(wǎng)絡(luò)狀態(tài)報(bào)告，加利福尼亞州是美國(guó)人口最多的州，經(jīng)濟(jì)總量相當(dāng)于25個(gè)州的總和。

得克薩斯州的人口數(shù)量落后于加利福尼亞州，但兩個(gè)州在整體技術(shù)就業(yè)方面處于領(lǐng)先地位。加州和得克薩斯州分別雇用190萬和100萬技術(shù)工人，超過了第三大技術(shù)雇主紐約（擁有679,000）。

去年，得克薩斯州有20多個(gè)市遭受了勒索軟件攻擊，迫使德克薩斯州宣布進(jìn)入緊急狀態(tài)。

僅有50%的企業(yè)遭受攻擊后會(huì)通知客戶

數(shù)據(jù)來源：Cybersecurity Dive

除了加密數(shù)據(jù)外，越來越多的勒索軟件開始將數(shù)據(jù)泄露加入攻擊組合，這也迫使更多企業(yè)選擇繳納贖金同時(shí)保持沉默。根據(jù)Emsisoft的統(tǒng)計(jì)，在今年上半年收到的10萬個(gè)勒索軟件ID提交中，有1.16萬個(gè)實(shí)施了數(shù)據(jù)竊取。