勒索病毒全球爆发 网络安全领域攻防较量上演
北京时间5月12日晚,新型“蠕虫”式勒索软件“WannaCry”感染事件全球爆发,波及医院、教育、能源、通信、制造业以及政府部门在内的多个领域,我国部分行业和政府部门的计算机也遭受影响。
事件发生后,公安、工信、教育、银行、网信等有关部门立即部署,对防范工作提出要求;奇虎360、腾讯、百度、安天、金山安全、亚信安全、绿盟科技等相关企业迅速开展研究,主动提供安全服务和防范工具,一场网络安全领域的攻防较量上演。
病毒软件传播速度已经明显放缓
这种勒索软件通过利用一种Windows漏洞感染受害者。微软公司已在公告MS17-010中修复了这一漏洞,这种名为“永恒之蓝”的漏洞于4月14日在Shadowsbroker黑客组织的信息中被披露。
截至14日10时30分,国家互联网应急中心已监测到约242.3万个IP地址遭受漏洞攻击;被该勒索软件感染的IP地址数量近3.5万个,其中中国境内IP约1.8万个。卡巴斯基实验室大中华区总经理郑启良介绍:“一旦入侵系统,攻击者会加密受害者数据,并在桌面显示勒索窗口,要求支付一定数额的比特币。”
中央网信办网络安全协调局负责人15日表示,该勒索软件目前还在传播,但传播速度已经明显放缓。这几天应对该勒索软件的实践表明,广大用户最有效的措施是安装安全防护软件,及时升级安全补丁,即使是与互联网不直接相连的内网计算机也应考虑安装和升级安全补丁;单位的系统管理技术人员,可以采取关闭该勒索软件使用的端口和网络服务等措施。
在这次事件中,国内多所高校教学系统成了遭受攻击的重灾区。“高校通常接入的网络是为教育、科研和国际学术交流服务的教育科研网,多出于学术目的,基本没有对445端口做防范处理。”腾讯安全联合实验室反病毒实验室负责人马劲松说。
奇虎360首席安全工程师郑文彬还提到,国内之前多次出现利用445端口传播的“蠕虫”病毒,部分运营商对个人用户封掉445端口,但教育网并无此限制,存在大量暴露445端口的机器。这也是导致高校受严重攻击的重要原因。
匿名支付、网络赎金交易导致犯罪高隐藏性
勒索软件最早可追溯到1989年,当时出现了“PCCyborg”恶意代码,对电脑的文件夹进行加密或隐藏,用户必须支付赎金才能解密。后来,从加密技术到支付方式,攻击者一直在不断开发更为复杂的勒索软件。
近年来,这些攻击者开始使用比特币等数字货币索取赎金。业内人士分析,这样可以利用比特币难以追溯的特性,逃避执法部门的追踪,且比特币方便支付,也便于受害者快速支付赎金。
此外,这些加密勒索软件的攻击对象也在不断变化,从原来的以个人为攻击目标逐渐转向企业。一旦企业的重要数据被加密成功,迫于自身业务运营压力,通常会更为快速地支付赎金,且金额更大。
目前,勒索软件已经成为发展速度快、影响恶劣的一类电脑病毒,仅在去年下半年就出现了数以千计的勒索软件变种。业界专家推测,在未来一段时间内,勒索软件攻击事件还可能持续增长。因为研发勒索软件的技术水平相对较低,可以让攻击者在短时间内获得丰厚利润;攻击者通过匿名支付和匿名网络实现赎金的交易,导致犯罪隐藏性强,这些都可能吸引更多不法分子加入黑色产业链条之中。
损失背后暗示内网安全“欠账”
此次勒索软件大范围传播事件再次敲响了网络安全的警钟。
“损失的背后暗示着内网安全的‘欠账’。长期在简单的边界防护、物理隔离基础上,传统IT网络陷入了一种假想的‘平静’。”中国网络空间安全协会副理事长、安天首席技术架构师肖新光坦言,以窃密、预制为目的的高级持续性威胁攻击由于高度隐蔽性和定向性展开,导致内网安全未得到有效的投入和重视,致使形成现在的大规模安全问题。
“这次病毒成功渗透至各生产场站网络,并在内网急速传播,如果配合特定的工业控制系统脆弱性,针对关键信息基础设施进行攻击,后果将不堪设想。”绿盟科技安全专家认为,未来工业控制系统安全刻不容缓,绝对的生产网与管理信息网之间物理隔离安全并不存在,要做到防患于未然。
防护的有效性最终要在与攻击者的对抗中进行检验。“虽然这次带来了惨痛的损失,但是这种后果可见的灾难依然是一种相对浅层次风险。”肖新光认为,我们需要警醒的是,相对更为深度、隐蔽的针对关键信息基础设施的攻击,长期来看,有效完善网络安全纵深防御体系和能力势在必行,这样才能逐渐实现全天候、全方位感知的网络安全态势。
(光明网记者 李政葳)