但越来越多的城市、供电设施以及面向公众的机构也成为攻击目标。随着攻击的日益增加,越来越多的安全专家正在使用人工智能(AI)来提高防御恶意软件攻击的效率。但也有人担心,犯罪分子也将开始使用AI将勒索软件武器化,并策划更有效的袭击。
易受攻击的目标
安全公司Emsisoft的分析发现,仅在2019年,就大约有85所美国学校、100个美国地方和州政府,以及700多个医疗保健服务提供商遭受了勒索软件攻击。这还不包括最近德克萨斯学区遭受的袭击事件(损失230万美元),也不包括导致新奥尔良市宣布进入紧急状态的袭击事件。新奥尔良市长拉托亚·坎特雷尔(LaToya Cantrell)表示,勒索软件攻击造成的损失超过了该市300万美元的网络保险单上限。
针对面向公众机构的勒索软件攻击尤其令人担忧,因为与个人或企业不同,城市、学校和医院为公众提供着基本的公共安全和服务。Emsisoft的报告称,2019年,勒索软件中断了911服务,推迟了手术程序,并使应急官员难以访问医疗文件、扫描员工徽章和查看未完成的逮捕令。
即使没有AI为勒索软件带来的升级,网络犯罪分子也在造成大量破坏,攻击频率和造成的损失都在上升。巴尔的摩花费了1800万美元来解决2019年勒索软件袭击造成的损失。在此之前,亚特兰大市的一次袭击造成了约1700万美元损失。根据Barracuda Networks的分析,小城市特别容易受到攻击,因为2019年近半被攻击城市的人口在5万人以下。分析还发现,2019年三分之二的勒索软件攻击针对的是政府组织。
回过头来看,有时似乎对城市的勒索软件攻击甚至不知从何而来,但Malwarebytes Labs主任亚当·库贾瓦(Adam Kujawa)表示,这一趋势可以追溯到2017年底,当时WannaCry、Petya和NotPetya重新定义了恶意软件。这些攻击能够加密数据并将它们传播到全球各地的网络,这让网络罪犯看到了新的可能性。一个针对乌克兰供电公司的蠕虫像数字脏弹一样在全球传播,造成的损失高达100亿美元。
然后在2018年末,Malwarebytes Labs发现了涉及EmoTet的攻击,EmoTet会窃取凭证,通过垃圾邮件模块传播恶意软件,然后使用TrickBot等恶意软件横向移动并感染网络。库贾瓦说:“从那时起,我们开始看到越来越多的特定攻击方法,然后是对这种攻击方法的各种改进,直到演变到现在的样子。”
Barracuda Networks表示,电子邮件是攻击者访问城市系统的最常见方式,其次是PDF和微软Office文档。钓鱼电子邮件和文档有时被设计成适合城市通常收到的电子邮件和文档的类型,比如发票或发货通知。
库贾瓦表示,这些工具的演变以及其他袭击带来的更高投资回报,使更多的犯罪活动转向了政府机构。他指出,城市服务和医院正成为更大的目标,因为它们包含如此多的个人身份信息(PII),需要始终发挥作用才能服务于社会。城市以采用新技术的速度低于平均水平而闻名,包括旨在修补最新漏洞的软件更新。他们的员工中也不太可能有网络安全专家,而且他们的文化可能没有认真对待网络安全。
犯罪手段似乎也在升级。攻击者不仅威胁要加密文件和限制访问,现在还威胁要在网上发布文件。库贾瓦指出:“开始威胁将内部文件和客户信息泄露到开放网络中,这很可能成为一种标准的操作程序,这将把勒索软件攻击变成全面的数据泄露事件。这将给受到攻击的组织带来更多的问题。”
罪犯索取的赎金(通常要求用比特币)也在上升。Malwarebytes Labs发现,2019年攻击者向政府和学校索要的赎金从最初的1000美元左右飙升至年底的4万美元以上。安全公司Coveware预计,2019年第四季度的平均赎金勒索金额超过8万美元。
另一个令人担忧的问题是,实施勒索软件攻击的组织开始销售勒索软件,允许技术知识较少的犯罪分子自己发动攻击,库贾瓦称这种模式为“勒索软件为服务”,这几乎已经形成了独立的经济模式。
支付赎金城市的失误
巴尔的摩在十几个月的时间里遭受了两次勒索软件攻击,这是情况可能变得如此糟糕的最引人注目、最昂贵和最持久的例子。第二起袭击发生在2019年5月,到结束时,这座城市已经损失了近1800万美元。
关于城市是否应该支付赎金的要求存在很大争议。库贾瓦说,巴尔的摩没有支付赎金是个错误,该市也没有制定总体政策。2019年夏天的袭击事件加强了双方在是否支付赎金问题上的分歧。去年6月,佛罗里达州的湖城和里维埃拉海滩分别支付了约50万美元和60万美元的赎金。相比之下,德克萨斯州近20多个城市在2019年8月的集体袭击中受到攻击,但没有任何城市支付赎金。
有些城市试图通过购买网络保险来采取积极措施,防止潜在的勒索软件损失。在新奥尔良发生攻击事件后,坎特雷尔表示,该市计划将其网络保险覆盖金额从300万美元提高到1000万美元,而巴尔的摩预算委员会在2019年10月批准了一项2000万美元的网络安全保单。
库贾瓦说,网络保险将问题从从未遇到过勒索软件的人手中拿出来,并将其移交给始终在处理这个问题的人。他称:“很明显,外面有很多骗子,我绝对认为网络安全保险在我们今天的社会中非常重要,而且未来会更有价值,只要它不只是为了抬高补救成本而存在。“
无论如何,城市宣布他们有网络保险是不明智的,巴尔的摩就犯了这样的错误。这只会招致罪犯勒索数额更大的赎金,并在某种程度上喂饱了这头“野兽”。几乎没有袭击面向公众机构的肇事者被绳之以法,这一事实可能会加剧勒索软件的流行趋势。
AI如何防范勒索软件攻击
为了防止勒索软件的传播,安全软件使用AI来检测、隔离和删除受感染的文件。安全软件可以使用无监督机器学习来创建AI模型,这些模型由数据集训练,以识别干净文件和恶意文件之间的差异。自然语言处理(NLP)和计算机视觉有助于检测电子邮件或文档中的异常行为。微软正在使用运行在传统分类模型之上的单调模型,可以捕获95%的恶意软件。这项技术是由加州大学伯克利分校的AI研究人员开发的。
网络安全公司Capgeini在报告中发现,AI正在帮助该行业更快地发展,并专注于解决最大的问题。接受调查的安全专业人士中有四分之三表示,AI减少了检测恶意软件的时间。三分之二的人表示,AI降低了应对入侵的成本。反病毒和安全公司越来越多地采用AI。在2019年之前,大约五分之一的安全组织使用AI,三分之二的组织计划在2020年采用这项技术。
AI如何助长勒索软件攻击
库贾瓦表示,鱼叉式网络钓鱼仍然是传递恶意软件的主要方法,这一事实表明,人们仍然很容易受到有时会出现在他们电子邮件收件箱中的那种欺诈的影响。
这也反映了这样一个事实,即今天的勒索软件袭击似乎不需要AI的帮助。Malwarebytes Labs和Barracuda Networks尚未在实验室外看到AI在勒索软件中的应用。Malwarebytes Labs对恶意软件潜在武器化的分析预测,带有AI的勒索软件在未来一到三年内都不会流行起来。
库贾瓦称,他当前最关心的是AI加入进来的想法,这种想法可以描述组织中最适合瞄准的人。AI还可以发现将恶意软件传播到世界各地大量机器的路径,并成为AI军备竞赛中的“弹药”。这样的方法可以利用特定安全供应商检测或训练模型的漏洞类型,来检测攻击的软区域。
库贾瓦解释称:“有些研究人员已经做了实验室测试,并创造了内部的AI恶意软件。这当然是可能的事情,但我们在实际中如何看到它出现,看到其出现的频率,这才是我最担心的。我确实看到AI和机器学习被用来从泄密、社交媒体或其他任何地方抓取数据,以创建特定用户的个人资料或理想受害者的个人资料。你可以利用所有这些信息来创建更高效的鱼叉式网络钓鱼攻击,来对付企业或任何你想要对付的人。”
未来发展趋势预测
安全公司Barracuda Networks首席技术官弗莱明·施(Fleming Shi)说:“希望2018年和2019年吸取的经验教训将在2020年为这些组织带来更高的安全保障,但我们知道这可能不是所有组织都能做到的,袭击会变得更糟。“
弗莱明·施预测,2020年,美国大选“摇摆州”的小城镇可能会看到民族国家行为者发动更多袭击,以此作为在11月美国总统大选之前发现漏洞的方式。他说:“那些在选举决定中起重要作用的人有时会成为攻击目标。我的观点是,我觉得我们还没有为大选年做好准备,没有适当的防御措施。”
但库贾瓦认为,我们不太可能在摇摆州的小城市看到这种类型的攻击,因为有更微妙的方法来测试系统。然而,他和弗莱明·施一样担心,城市和面向公众的机构未来可能会看到民族国家行为者实施的勒索软件攻击增加,因为他们的动机不仅仅是金融敲诈勒索。
WannaCry在全球造成的损失估计在40亿至80亿美元之间,它是由Shadow Brokers传播的,这些人被认为与俄罗斯政府有关联。从美国国家安全局黑客组织窃取的漏洞EternalBlue,暴露了黑客在WannaCry、Petya和NotPetya攻击中使用的Windows操作系统的漏洞。
特朗普政府称NotPetya是“史上破坏性最大、代价最高的网络攻击”,导致美国财政部在2018年对俄罗斯政府实施制裁。美国财政部公布了对NotPetya的制裁,以及对干预2016年总统选举行为的制裁措施。
库贾瓦看到安全专家现在对犯罪集团的能力和勒索软件的流行有了更多的认识,这让他感到鼓舞。越来越多的城市开始实施最佳实践,将PII置于另一层保护技术之后,并在发生攻击时立即做出反应。他补充说,Barracuda Networks和MalwareBytes等安全公司正在使用AI更好地检测SamSam、Ryuk、RobbinHood和LockerGoga等勒索软件。
库贾瓦表示:“我们正朝着更好的方向发展,安全领域的许多行业也在朝这个方向发展。这必须是AI与AI之间的较量。如果网络罪犯真的开始利用这些东西,我们需要能够在他们袭击之前阻止威胁,我们必须能够在甚至不知道威胁存在的情况下阻止威胁出现。”
广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。