Sign Up for Publications勒索软件:数据时代的勒索。2015年即将结束之时,安全分析师预测2016年会是“勒索软件的一年”。请参见http://www.infosecurity-magazine.com/opinions/will-2016-be-ransomware/#.VlMlHya8bTw.twitter。勒索软件不是一个新的概念。其早期版本出现在1989年,并2005年发生了第一次现代化勒索软件攻击。然而,直到2013年前,勒索软件的攻击仅占恶意侵入的极小部分,而在2013年勒索软件攻击增长了200%。从那时起,勒索软件攻击所占的比例越来越大。仅在2016年的第一季度,勒索软件攻击比2015年的第四季度增长了30%;一项2016年调查发现,在过去12个月内,参与调查的40%企业在前一年内发生了勒索软件的侵害,其中的20%需要在勒索软件被删除前暂停运营。
参见http://www.kaspersky.com/about/news/virus/2016/Ransom-Aware; 另见https://www.scribd.com/document/320027570/Malwarebytes。
所有勒索软件都使用相同的基本攻击模式,即感染目标电脑然后锁定用户的数据。一旦锁定完成,软件就会显示一条通知,内容为在用户给攻击者支付赎金之前,他都将无法接触到他的数据。通常,现代勒索软件要求利用比特币等加密货币来进行赎金付款,以使支付难以跟踪。在这种基本模式之下,勒索软件存在很多不同表现。有勒索软件为所有主要操作系统编写,包括Linux和苹果OS,也有针对移动设备、服务器、计算机,甚至物联网设备(即过去如灯泡和冰箱等没有网络功能的设备,但现在被加入到网络以启用远程服务的设备)的不同版本。按照有的设计,勒索软件仅影响一台机器,按照其他设计则可以从一台机器传染到一整个网络。一些勒索软件甚至可以追寻和清除联网的系统备份。虽然最常见的传染渠道是钓鱼式电子邮件,但勒索软件也可以用短信、公共网站上的广告及其他常见的恶意软件来源来进行感染。
相比之前更常见的数据泄露攻击,勒索软件攻击产生的成本不同。目前,数据泄露攻击的成本已经得到理解,即它包含通知用户、进行检测、进行处理和丧失生意机会等的成本。请参阅https://nhlearningsolutions.com/Portals/0/Documents/2015-Cost-of-Data-Breach-Study.PDF。然而,勒索软件攻击的成本仍较难理解,但额外包括无法接触数据和系统期间内的收入损失、可能支付的赎金,以及由服务中断而对第三方造成损失的潜在赔偿责任。此外,它也会产生实际的公共安全问题,已经发生过针对医院和警察等必要基本社会服务的成功攻击事件。对关键基础设施或关键系统(如航空公司系统)的攻击可能会产生广泛的严重后果。
如何防止勒索软件的专家建议与防止其他入侵的建议相类似:培训员工避开钓鱼式电子邮件;安装并定期更新信用良好的防毒软件;限制员工在其个人计算机上使用公司网络或虚拟专用网络;将员工对共享网络上的文件接触权限限缩为其真正需要接触的范围内,即使文件不包含敏感内容。在勒索软件攻击得逞的情况下,经常备份文件的公司可以从干净的备份中恢复其系统,其服务中断最短。请参见http://www.healthitoutcomes.com/doc/backup-recovery-system-control-ransomware-attack-0001。然而,无备份可用的公司对严重入侵的选择极少。在2015年,美国联邦调查局建议大多数受勒索软件攻击的公司将赎金支付给攻击者;尽管如此,其2016年的建议做出警告,即付款并不保证攻击者将恢复数据接触,同时也可能鼓励未来的攻击。见http://www.businessinsider.com/fbi-recommends-paying-ransom-for-infected-computer-2015-10;另见https://www.fbi.gov/news/stories/incidents-of-ransomware-on-the-rise。
一般而言,勒索软件的受害者不用为所支付的赎金承担责任。然而,在进行此类付款前,企业最好先与执法机构进行沟通和咨询。一些支持恐怖分子的团体的黑客能力相当强大。给这些团体的款项可能引起严肃的刑事调查,包括针对向恐怖分子提供物质支持的刑事责任。另外,恶意软件可能会演变出现结合传统数据泄漏功能与勒索功能的变式。因此,企业可能仍然会面临由服务中断或信息泄漏而对用户产生损害赔偿的责任。当服务提供商未能防止网络攻击时,法院逐渐倾向于接受原告的诉讼请求。在Patco Construction Co., Inc. v. People's United Bank, 684 F.3d 197(第一巡回法院,2012年)一案中,第一巡回上诉法院撤销了地区法院认定银行无需因黑客获得账户信息而对客户承担赔偿责任的判决。第一巡回法院认为,相关合同未涉及网络攻击的风险分配,银行也未采取几种现有的安全措施。虽然司法系统仍正在形成责任框架,但Patco暗示,企业将依据一般性的网络安全规则承担一定程度上的责任。同样,美国证券交易委员会在近期的几份执法和解协议中认定了泄漏客户个人身份信息相当于违反证券法。希望减少网络攻击责任的企业应在合同和服务协议里增加免责条款,并使用最新的网络安全措施。但这些措施可能仍然不够。拟定网络安全计划时,最为关键的是企业应尽快咨询内部或外部律师。