美国总统大选头号威胁：勒索软件

[[350395]]

2020年11月3日，2020年美国总统大选投票正式启动，拜登与特朗普的“单挑”进入白热化阶段。由于政治角力与网络安全问题的白热化，这注定将是美国历史上最不同寻常的一次总统大选。

美国总统大选投票直播链接：https://www.youtube.com/watch?v=4rNJh6kxbDE

继上周特朗普竞选网站被黑后，美国总统大选的安全防御工作已警铃大作、风声鹤唳，而选举日的到来，则意味着这场网络战争已经全面启动，正如WhiteHat Security首席安全工程师Ray Kelly所言：

受新冠疫情影响，今年的总统大选需要处理更多的邮寄选票，统计工作耗费的时间很有可能大大超出往届选举，这也为各种网络攻击提供了更长的时间窗口。事实上，整个投票系统，从选民注册系统、选举网站、选民数据库到社交媒体，都暴露在包括勒索软件、社工攻击、社交媒体信息操纵和滥用、高级针对性攻击、邮件攻击、僵尸网络DDoS攻击、人工智能深度伪造等各路黑客的攻击火力之下。

在针对选举系统的攻击中，勒索软件是头号威胁。

虽然近期各方数据显示，2020年全球恶意软件数量近年来稳步下降，但是根据SonicWall的最新报告，2020年勒索软件是增长最为迅猛(40%)的网络威胁，其中美国的勒索软件攻击却达到了惊人的1.452亿次，同比增长了139%。

如果美国大选的选举系统遭遇勒索软件攻击导致局部瘫痪，区域选票数据泄露或锁定，甚至影响投票进程，那么这些进攻也不是选举日才发起的，而是数月前就已经潜伏在系统中。因为，根据Mandiant的FLARE高级实践团队的研究，2019年勒索软件的平均“驻留时间”约为72天12个小时。

此外，恶意软件即服务(MaaS)进一步增加了勒索软件攻击的复杂性，因为攻击者可以自由使用任何工具和组合方式。据VMware Carbon Black称，MaaS业务导致了近半数的定制化网络攻击。

勒索软件可以直接更改投票结果?

根据安全牛此前报道，知名安全博主Krebs曾在推特上警告说：“本周真正需要警惕的是针对竞选投票系统的攻击，而不是抹黑网站或者DDoS这类骚扰性攻击。”

CI Security的CISO迈克·汉密尔顿(Mike Hamilton)也认为本地选举基础设施面临风险。

汉密尔顿警告说：“最危险的日子是11月4日，各县都将受到勒索软件的威胁。因为到那时，面对面的投票已经完成，投票结果已经制成表格。”他说，“如果勒索软件袭击一个县(仅由县进行选举)，邮寄数量将受到质疑。因为众所周知共和党人会在选举日亲自投票，而民主党人则倾向于邮寄选票，所以这是一种危险。”

“勒索软件是否真的可以’更改投票记录’并不重要，因为如果攻击者有足够的网络访问权限来加密锁定数据，就一定有足够的权限来更改数据。”

原美国国土安全部网络和基础设施部副部长，Nozomi Networks顾问Suzanne Spaulding表示：“除了防范入侵2016年以来得到安全加固的选民登记数据库，我们还应该为选举日导致无法访问选民登记名单的网络攻击做好准备。”

她补充说：“这可能是通过勒索软件攻击来锁定数据，使民意调查人员无法访问。或者，网络攻击可能会直接破坏记录投票结果的表单或报告。此外，随着邮寄选票的大幅增长，还应当留意那些蓄意抹黑破坏邮寄投票方式的假消息传播。我们已经在俄罗斯的宣传网点看到了此类信息。”

“严打”与缓解

针对勒索软件这个头号威胁，美国网络安全业界在总统选举日之前已经提前展开大规模的“严打行动”。本月，安全牛曾报道“微软取得政府授权接管了Trickbot僵尸网络“，而Trickbot是勒索软件最重要的商业木马传播渠道，同时也是一种MaaS机器人。一家公司透露，到10月18日，微软及其合作伙伴已经“消除了Trickbot关键运营基础结构的94%”，其中包括该恶意软件的命令和控制服务器以及“Trickbot试图联机的新基础结构”。

但是勒索软件的可怕之处在于其高度适应性和高速迭代能力，微软自己也承认，Trickbot不会就此消亡，其背后的运营商将很快找到复活的方法。而且最活跃的头部勒索软件已经开始有意识地降低对Trickbot和Emotet等MaaS渠道的依赖，转而使用可以绕过安全工具的非先尝工具。

2016年以来，美国政府和网络安全业界也在积极提升投票系统的勒索软件防御能力。其中最重要的一项举措，就是改进流程和提升人员安全意识。美国国土安全部CISA实施的最重要的改进是编制并发布《美国选举管理人员漏洞报告指南》(PDF)。这是重要的一步，因为许多选举官员都不知道该去哪里寻求帮助，甚至不知道自己是否需要帮助。

此外，两家领先的投票机供应商ES&S(PDF)和Dominion已各自宣布了漏洞披露政策和流程。

图解：美国勒索软件攻击现状

下图是Cybersecurity Dive公司统计的2019年1月至9月在美国最活跃的五大勒索软件黑帮家族。

可以看出，刚刚宣布“金盆洗手”的Maze是美国最为活跃的勒索软件，而占全球勒索软件攻击三分之一的Ryuk在美国的活跃度仅排名第五。

根据Cybersecurity Dive的监测数据，尽管Maze和NetWalker针对医疗行业组织实施了大量攻击，但其他各行业的攻击中也发现了包括Maze、NetWalker和REvil的身影。此外，将近半数的勒索软件攻击都未公开。

根据Emsisoft的报告，2020年二季度最活跃的勒索软件是Djvu、Phobos、Dharma、REvil和Globeimposter，除了REvil外，TOP5中其他四个与2019年的榜单有所不同。

医疗行业遭受勒索软件攻击最多

根据Cybersecurity Dive的监测数据，2020年1-9月遭受勒索软件攻击最多的行业是医疗，其次是公共和政府部门。网络安全公司IronNet的安全研究工程师Jon.JP.Perez说：“大部分勒索软件攻击都始于网络钓鱼，这并不是什么新鲜事。”今年的攻击利用了更多的漏洞进行初始访问。

与去年不同，随着新的压力的出现，危机变得更加复杂。

Cybersecurity Ventures估计，未来五年医疗行业的网络安全支出将达到1250亿美元。累计而言，该行业的安全能力已经过时，无法保护宝贵的数据，这使得医疗行业组织更有可能支付赎金。

勒索软件攻击的重灾区：德克萨斯州和加利福尼亚州

根据Cybersecurity Dive的跟踪监测，今年迄今为止，加利福尼亚州已知的勒索软件攻击数量仅次于德克萨斯州。根据CompTIA的2020年网络状态报告，加利福尼亚州是美国人口最多的州，经济总量相当于25个州的总和。

得克萨斯州的人口数量落后于加利福尼亚州，但两个州在整体技术就业方面处于领先地位。加州和得克萨斯州分别雇用190万和100万技术工人，超过了第三大技术雇主纽约(拥有679,000)。

去年，得克萨斯州有20多个市遭受了勒索软件攻击，迫使德克萨斯州宣布进入紧急状态。

仅有50%的企业遭受攻击后会通知客户

数据来源：Cybersecurity Dive

除了加密数据外，越来越多的勒索软件开始将数据泄露加入攻击组合，这也迫使更多企业选择缴纳赎金同时保持沉默。根据Emsisoft的统计，在今年上半年收到的10万个勒索软件ID提交中，有1.16万个实施了数据窃取。

【本文是IDC.NET专栏作者“安全牛”的原创文章，转载请通过安全牛（微信公众号id:gooann-sectv）获取授权】

戳这里，看该作者更多好文