Ryan+Francis

比特幣和勒索軟件好像聯(lián)手了，但專家解釋說，消滅網(wǎng)絡(luò)貨幣只會促使網(wǎng)絡(luò)犯罪分子找到其他匿名的方式去敲詐錢。

勒索軟件運行得非常猖獗。SonicWall GRID威脅網(wǎng)絡(luò)公司發(fā)現(xiàn)，勒索軟件攻擊從2015年的380萬次增加到2016年的6.38億次。據(jù)Radware報告，49%的企業(yè)在2016年遭到過勒索軟件攻擊。攻擊者通常提出要一些網(wǎng)絡(luò)貨幣——一般是比特幣，作為交換來提供解密密鑰。

這引發(fā)的一個問題是，如果比特幣不再存在，勒索軟件攻擊是否會減少呢？安全專家的回答是“絕對不會”。他們認為網(wǎng)絡(luò)犯罪分子會轉(zhuǎn)向使用其他匿名支付方法來繼續(xù)敲詐。

Absolute全球安全戰(zhàn)略專家Richard Henderson說：“除掉比特幣以阻止勒索軟件敲詐就像美國政府采用停止使用100美元鈔票的方法來試圖阻止毒販洗他們的臟錢。這不是正確的解決方法。這能讓那些從勒索軟件中掙了大錢的網(wǎng)絡(luò)攻擊者立刻停下來嗎？當然，但也只是短暫的一瞬?！?/p>

他補充說：“攻擊者只會轉(zhuǎn)向采用另外幾十種流行的虛擬貨幣，或者轉(zhuǎn)向其他容易洗錢的工具，例如預付信用卡。還記的嗎，不久之前GreenDot MoneyPak是網(wǎng)絡(luò)犯罪分子最喜歡用的。攻擊者只會去尋找其他獲利的方式?！?/p>

盡管支付贖金讓人灰心喪氣，而很多安全專家說，切實減少勒索軟件的唯一辦法是用戶教育。

Henderson說：“我們很難輕易地擺脫勒索軟件。只要人們還在努力讓他們的設(shè)備打好補丁以受到保護，只要有人打開不該打開的附件，或者點擊那些不該點擊的鏈接，攻擊者就能夠感染機器?！?/p>

他說，結(jié)束勒索軟件禍害最務(wù)實的解決方案是教給人們安全保護最基本的原則：不要訪問您懷疑可能是惡意或者冒名頂替的網(wǎng)站，一旦有更新就立即給您的機器打上補丁，不要打開您電子郵件中的附件。

他說：“如果您意外地收到您的兄弟或者阿姨的電子表格，那么不要打開它。打電話給他們，問問是不是他們發(fā)給您的。旅游公司不會出乎意料地向您發(fā)送電子郵件，告訴您有緊急路線更新。您的銀行或者PayPal不會通過電子郵件要求您‘確認您的信息。也許最重要的是，您必須對您最關(guān)鍵的文件和數(shù)據(jù)進行冷備份。在惡意軟件成為嚴重的問題很久之前，我們就一直在這些方面提醒人們?！?/p>

雖然除掉比特幣不會解決勒索軟件問題，但應(yīng)該弄清楚為什么比特幣在犯罪分子中如此受歡迎。犯罪分子把比特幣看成是“天降財神”。它支持匿名支付。您不能追蹤誰支付，或者支付給了誰。當然，它還是一個完全數(shù)字化的支付方式，任何人都可以得到一個帳戶——或者兩個、三個、甚至一百個，沒有人會知道。

Agari的安全研究員兼首席科學家Markus Jakobsson說，雖然除掉比特幣可以減慢勒索軟件的攻擊，但他認為這種目標不太現(xiàn)實?！笆褂盟娜颂嗔?，并且以合法的方式從中獲利。比特幣有自己的世界，有它的基本原理。如果它以某種方式被關(guān)閉，那很快就會出現(xiàn)衍生品?！?/p>

我們反而應(yīng)該更深入的了解網(wǎng)絡(luò)犯罪分子的心理。“通過了解攻擊的本性，可以想出其他對策。最佳的解決方案是阻止比特幣濫用，而不是試圖阻止比特幣本身?！?/p>

如果不是比特幣，那會是什么？

Radware的安全研究員Daniel Smith說，考慮到可用的替代貨幣（例如，Monero、Litecoin、Ether、Dogecoin），即使除掉了比特幣，還可以使用其他二十多種加密貨幣。他補充說，在加密貨幣之前就有勒索軟件了。早在1989年，它被稱為PC Cyborg或者AIDS Trojan。那時，犯罪分子使用傳統(tǒng)的轉(zhuǎn)賬方法或者禮品卡。

Proofpoint網(wǎng)絡(luò)安全戰(zhàn)略高級副總裁Ryan Kalember說，比特幣是一種分散式的加密貨幣，因此，不可能除掉它。比特幣之所以能夠?qū)账鬈浖呐d起做出巨大貢獻是因為比特幣對消費者越來越友好，現(xiàn)在只需點擊幾下就可以變成任何外幣。

BluVector首席數(shù)據(jù)科學家Scott Miserendino說：“比特幣是一種方便勒索軟件工作的技術(shù)。如果除掉它，會有替代它的。這些勒索方法早在比特幣之前就存在了。雖然比特幣促進了它們的傳播，但我不認為簡單地除掉一種付款選擇就能夠阻止這種傳播——罪犯分子非常清楚勒索機制的有效性?！?/p>

Citrix的高級技術(shù)經(jīng)理Florin Lazurca說：“不幸的是，問題已經(jīng)不限于比特幣和勒索軟件，因為這只是眾多半匿名支付渠道中的一種。雖然它會減小攻擊的規(guī)模，避免自動的和無意的交易，但照樣會采用任何缺少‘知道您的客戶標準的其他付費方法。我們將不得不避免使用現(xiàn)金和WebMoney等其他數(shù)字貨幣?！?/p>

Flashpoint首席科學家Lance James說，雖然許多勒索軟件活動使用比特幣來進行交易，但這種情況下，相關(guān)并不意味著因果關(guān)系。在之后的公共活動中，它恰好是一個流行的方法，如果您回頭看一下2013至2014年的CryptoLocker（第一次沉重打擊勒索軟件），攻擊者估計在三個月里平均獲得了3000萬美元，使用MoneyPak卡進行的支付。

James說：“事實上，比特幣實際上可以阻止勒索軟件攻擊成功，因為大部分受害者可能不了解怎樣使用比特幣，也不知道怎樣把錢轉(zhuǎn)換成比特幣。勒索軟件攻擊者會在其攻擊中盡可能減少沖突，讓贖金盡可能少一些，以防止用戶尋求專業(yè)援助解鎖他們的數(shù)據(jù)——這種服務(wù)的成本會比贖金高。攻擊者在大量的攻擊中都會與受害者和好。”

James提到了最近出現(xiàn)的“犯罪軟件即服務(wù)”——技術(shù)智商較低的一些人簡單的在網(wǎng)上購買

KomodoSec首席執(zhí)行官兼聯(lián)合創(chuàng)始人Boaz Shunami說，除掉比特幣不會對勒索軟件的傳播產(chǎn)生任何影響。他說：“勒索軟件是暗網(wǎng)上的大生意。它是網(wǎng)絡(luò)犯罪武器庫中一個標準的戰(zhàn)術(shù)工具，也是最有利可圖的。您實際上可以購買勒索軟件即服務(wù)?！?

Glasswall的產(chǎn)品副總裁Simon Taylor說：“勒索者和惡意軟件參與者都非常精明，會竭盡全力尋找其他形式的匿名化數(shù)字貨幣，或者掩蓋其惡意活動的方法?？傊?，只要有保持匿名和安全轉(zhuǎn)移資金的方法，勒索軟件就會繼續(xù)發(fā)展?！?/p>

從頭拿下比特幣？

專家說，中本聰（Satoshi）甚至可能不是一個人，即使能夠跟蹤到他或者她，但近年來他們可能已經(jīng)遠離比特幣，即使找到他也不關(guān)不上潘多拉的盒子。

誰在真正傳播比特幣一直是個謎。據(jù)維基百科，實際的創(chuàng)作者，只知道這是一個假名——中本聰（Satoshi Nakamoto）。許多調(diào)查記者試圖追蹤誰在操縱網(wǎng)絡(luò)貨幣，但無濟于事。

Lazurca說：“從內(nèi)部除掉比特幣需要高度中心化并結(jié)合很強的‘挖礦能力，從根本上破壞對系統(tǒng)的信任和投資。從外部除掉比特幣則需要擺脫互聯(lián)網(wǎng)?！?/p>

中本聰自稱是一個住在日本，1975年左右出生的人。而關(guān)于中本聰?shù)恼鎸嵣矸荩聹y主要集中在生活在美國和歐洲的非日本血統(tǒng)的一些密碼學和計算機科學專家身上。據(jù)維基百科，有一個人——澳大利亞程序員Craig Steven Wright聲稱是中本聰，盡管他還沒有提供證據(jù)。

WatchGuard技術(shù)公司的首席技術(shù)官Corey Nachreiner說：“最終，創(chuàng)始人是誰并不重要了。現(xiàn)在，比特幣是一種‘開源理念。它是分散的，我們都知道它是怎樣工作的，所以它的創(chuàng)造者真的不能控制整個系統(tǒng)。我們有一天可能會知道誰是創(chuàng)造者，但我不認為這能帶來太大的改變。加密貨幣會繼續(xù)發(fā)展，我們將看到其他人還會使用公共區(qū)塊鏈作為替代貨幣?！?/p>

安全官員認為，關(guān)注比特幣只是浪費精力。一個安全執(zhí)行官提到關(guān)注于比特幣基金會，而不是討論修改加密貨幣標準。

比特幣的前提是系統(tǒng)不依賴于一個中央權(quán)威。因此，事實上，它是一個獨立于任何人的對等銀行系統(tǒng)，很難想象，找到比特幣創(chuàng)始人或者讓他合作能夠終結(jié)比特幣。

AppRiver的安全研究經(jīng)理Troy Gill同意，在一項宏大的計劃中尋找一個人不會帶來什么好處。“我認為，執(zhí)法機構(gòu)最好能夠開發(fā)出某種形式的后門，使他們能夠輕松地將比特幣錢包與實際用戶聯(lián)系起來?！?/p>

Commvault解決方案營銷總監(jiān)David King說：“在與勒索軟件的斗爭中，關(guān)注比特幣就像唐吉歌德把風車當成敵人。我們真正面對的難題是企業(yè)不愿意實施整體數(shù)據(jù)管理策略來保護、管理和備份他們的所有數(shù)據(jù)。如果我們解決了這一難題，網(wǎng)絡(luò)罪犯分子從勒索軟件攻擊中獲利的能力會下降，因此，他們的攻擊也會相應(yīng)的減少。”

怎樣應(yīng)對勒索軟件

這些安全高管針對如何減少勒索軟件成功命中的次數(shù)而提出了幾個關(guān)鍵主題：用戶教育、有備份計劃和不付款。

Miserendino說，對于信息化企業(yè)而言，勒索軟件肯定是一種無處不在的瘟疫。檢測和預防仍然是最好的藥物，但勒索軟件也應(yīng)該像過去（以及現(xiàn)在）的黑社會/黑手黨勒索活動那樣在輿論上受到譴責。唯一被證明有效的方法是受害者不給罪犯分子付錢。

據(jù)身份竊取資源中心報道，2016年的勒索軟件攻擊事件大幅度增加。美國聯(lián)邦調(diào)查局也指出，勒索軟件受害者在2016年第一季度為找回他們的數(shù)據(jù)，贖金支付總額高達2.09億美元。

Nachreiner說：“首先也是最重要的，受到勒索軟件攻擊的公司和個人應(yīng)停止支付。我知道，如果您不是受害者，這說起來容易。當受害者‘還在醫(yī)院接受重癥護理時，要做出決定是非常困難的。盡管如此，是受害者屈服于勒索，使得勒索軟件成為網(wǎng)絡(luò)犯罪分子最有價值的商業(yè)模式。他們之所以專注于勒索軟件，是因為這能夠讓他們成功地掙到錢。如果砍掉這種收益，他們就不會這樣做了。”

災難恢復和業(yè)務(wù)連續(xù)性計劃應(yīng)支持從任何攻擊或者災難中快速恢復。

Taylor說，勒索軟件有許多方法去感染一個企業(yè)，但是繞過價值數(shù)十萬、甚至數(shù)百萬美元的安全投入最簡單的方法是去攻擊網(wǎng)絡(luò)防御鏈最薄弱的環(huán)節(jié)——人類。

他說：“我們總是能看到電子郵件附件是網(wǎng)絡(luò)罪犯的主要攻擊媒介，97%的惡意軟件是專門針對目標端點的，這讓基于簽名的技術(shù)毫無用處?！盙lasswall的研究表明，依賴于宏身份認證的企業(yè)可能會漏掉文檔中45%的其他惡意軟件，例如Excel和Word文檔，這足以使攻擊者勒索目標企業(yè)。

總是要回到用戶教育上。用戶并不像我們希望的那樣能夠很快接受。Ponemon研究所在上個月發(fā)布的一項研究中報告說，48%受害于勒索軟件的企業(yè)說他們已經(jīng)付過贖金了。

FireEye的高級情報分析師Jens Monrad說，很多受害者因為無法恢復被加密的數(shù)據(jù)而支付了贖金，因此，勒索軟件還在不斷發(fā)展。很多這類企業(yè)通常缺乏用于備份數(shù)據(jù)的內(nèi)部程序。

SonicWall總裁兼首席執(zhí)行官Bill Conner說：“不要低估加強‘員工防火墻的重要性，要通過不斷培訓員工來識別和避免常見的威脅。2016年最常見的勒索軟件變體是Locky，它一般以供應(yīng)商提供發(fā)票為名向毫不知情的員工發(fā)送電子郵件。如果針對這種惡意手段對員工進行過教育，他們知道不要打開這些附件，那么，勒索軟件攻擊在過去一年就不會那么成功?！?/p>

James說，公眾意識的提高促進了對定期備份系統(tǒng)的重視，并將數(shù)據(jù)遠程安全地存儲在多個地方。SonicWall的Conner說：“由于現(xiàn)在大家已經(jīng)熟知要主動保護數(shù)據(jù)，因此最終只有門外漢會成為受害者，可能從現(xiàn)在開始的一到兩年內(nèi)無法恢復的情況會越來越少。

確保您用于備份數(shù)據(jù)的系統(tǒng)需要身份認證，或者不要總是在線。否則，如果您被勒索軟件擊中，您可能會發(fā)現(xiàn)自己恢復的是被加了密的備份。”

Nachreiner說，現(xiàn)代防御機制能夠把大多數(shù)勒索軟件擋在企業(yè)外面。在目前的威脅環(huán)境中，基本防火墻和防病毒系統(tǒng)是不夠的。而現(xiàn)代安全控制包括了高級威脅防御等解決方案，使用行為分析功能發(fā)現(xiàn)新的勒索軟件，甚至還提供威脅檢測和響應(yīng)工具，當惡意軟件在您的主機上運行時，能夠識別出惡意軟件，在很多情況下能夠阻止它加密文件。

Bugcrowd的可信和安全負責人Jason Haddix說，預防和減少影響是關(guān)鍵。網(wǎng)絡(luò)周界和端點上強大的安全基礎(chǔ)設(shè)施是很好的防御措施。網(wǎng)絡(luò)保險也有助于降低風險。

Kalember指出，一些勒索軟件現(xiàn)在嘗試首先加密備份的數(shù)據(jù)，因此對于備份基礎(chǔ)設(shè)施本身而言，正確的安全配置至關(guān)重要。

OneLogin首席信息安全官Alvaro Hoyos也提到了要加強最終用戶的教育?！癛ansomware只是尾隨在社交工程攻擊中——只要有電子郵件它就會存在。技術(shù)保障措施可以幫助減少收件箱中出現(xiàn)的勒索軟件攻擊，但真正要依靠的是最終用戶，依靠他們這些攻擊才不會成功。因此，如果您的安全預算中沒有用于安全意識培訓和工具的項目，那么您做的還不夠。”

Dome9的聯(lián)合創(chuàng)始人兼首席執(zhí)行官Zohar Alon說，弱安全措施和用戶過錯是勒索軟件和數(shù)據(jù)劫持攻擊越來越多的關(guān)鍵所在。為了擺脫勒索軟件的威脅，企業(yè)應(yīng)該從強大的多層防御著手。例如，在云環(huán)境中，這意味著投資基礎(chǔ)技術(shù)，例如用于配置和漏洞管理、網(wǎng)絡(luò)分段和流量可見性的工具，以及防病毒和漏洞屏蔽等技術(shù)。

Splunk安全研究主管Monzy Merza說，有效的勒索軟件防御機制應(yīng)同時包括了準備、分析和響應(yīng)。其中每一方面都有人、流程和技術(shù)因素在內(nèi)。對付勒索軟件并沒有什么高招。

Merza說：“防御勒索軟件與防御可能影響您業(yè)務(wù)的其他威脅沒有太大的區(qū)別。標準的網(wǎng)絡(luò)防護環(huán)境最佳實踐在這里都很重要，例如識別關(guān)鍵資產(chǎn)、制定能夠減少損失的計劃、審核用戶權(quán)限、良好的補丁管理以及維護良好的備份等，因為這適用于任何威脅活動?！?/p>

Henderson說：“硬件故障總有可能會出現(xiàn)，但對于大多數(shù)人來說，只要他們養(yǎng)成了備份數(shù)據(jù)的良好習慣，其影響就不會太大?，F(xiàn)在的存儲以GB為單位，幾乎是免費的，因此，沒有任何借口不插上一個小巧的大容量USB硬盤，以備份您關(guān)鍵的和不可替代的文件，然后放在您的辦公桌上。如果您有保險政策（這是您可以買到的最便宜的保險），即使您粗心的時候，也不用支付贖金。受害者將不再支付贖金了嗎？攻擊者會找到新方法來賺取現(xiàn)金。”