勒索软件的新风险：供应链攻击和加密货币（英）

科学、技术和公共政策项目勒索软件的新风险供应链攻击和加密货币艾米·罗宾逊凯西·科科伦吉姆·沃尔多报告5 月 2 0 日 2 2 日 科学、技术和公共政策计划贝尔弗科学与国际事务中心哈佛肯尼迪学院肯尼迪街 79 号马萨诸塞州剑桥市 02138 www.belfercenter.org/stpp本报告中表达的陈述和观点仅代表作者的观点，并不暗示哈佛大学、哈佛肯尼迪学院或贝尔弗科学与国际事务中心的认可。版权所有 2022，哈佛大学校长和研究员 报告4 月 20 日 22 日勒索软件的新风险供应链攻击和加密货币艾米·罗宾逊凯西·科科伦吉姆·沃尔多科学、技术和公共政策项目 关于该计划：科学、技术和公共政策 (STPP) 计划利用科学技术、技术评估、政治学、经济学、管理学和法律方面的学术和应用工作的见解，研究和实践科学技术与公众的交叉点事务。其目标是帮助制定和促进推动科学技术应用以改善人类状况的公共政策。更多信息，请访问 belfercenter.org/STPP关于作者：艾米·罗宾逊是贝尔弗青年领袖学生研究员，也是哈佛肯尼迪学院和哈佛法学院的公共政策硕士和 2022 年法学博士联合候选人。她于 2015 年以优异的成绩从哈佛大学获得英语学士学位。在接下来的三年中，艾米在学校、健康和图书馆宽带 (SHLB) 联盟担任传播经理，该联盟是比尔和梅琳达·盖茨资助的倡导非营利组织基础。在加入 SHLB 联盟期间，艾米创立并领导了宣传委员会，并与全国各地的学校、图书馆和医疗服务提供者密切合作。这些互动激发了艾米对电信、数字包容和社区宽带的兴趣，以及她继续从事联邦公共服务事业的愿望。在校期间，艾米曾在商务部的国家电信和信息管理局以及联邦通信委员会专员杰弗里斯塔克斯的办公室实习。由于她的学术成就和公共服务，Amy 被公认为 Phi Beta Kappa 成员、约翰哈佛学者和 Carl & Lilly Pforzheimer 奖学金获得者。二网络犯罪治国之道 凯西科科伦是贝尔弗青年领袖学生研究员，也是哈佛法学院和哈佛肯尼迪学院的双学位法学博士和公共政策硕士候选人。在校期间，他曾在华盛顿特区的网络安全和基础设施局、司法部和 Mayer Brown 实习。他还曾担任哈佛国家安全杂志的主编。在读研究生之前，他是美国陆军上尉，并在波士顿学院获得了国际研究和英国文学学士学位。吉姆·沃尔多是哈佛大学工程与应用科学学院计算机科学实践的 Gordon McKay 教授，教授分布式系统和隐私方面的课程；工程与应用科学学院首席技术官；以及技术和政策主题的政策教授在哈佛肯尼迪学院。 Jim 在 VMware 设计了云；是 Sun Microsystems 实验室的杰出工程师，在那里他研究了下一代大型分布式系统；并在 Apollo Computer 开始研究分布式系统。在 Sun 期间，他是 Project Darkstar 的技术负责人，这是一个多线程、分布式大型多人在线游戏和虚拟世界的基础设施； Jini 的首席架构师，这是一个基于 Java 的分布式编程系统；和 Java 软件组织的早期成员。吉姆是作者Java: the Good Parts (O'Reilly) 并与人合着了 The Jini Specifications (Addison-Wesley)。他编辑了 C 的演变：思想市场中的语言设计（麻省理工学院出版社）。他共同主持了一项关于隐私的国家科学院研究，并共同编辑了“在数字时代参与隐私和信息技术”的报告。他是许多期刊和会议论文集的作者，并拥有五十多项专利。贝尔弗科学与国际事务中心|哈佛肯尼迪学院三 目录1.1.1.1.2.1.3.1.4.1.5.1.6.软件.................................................................................................................112.2.1.2.2.3.贝尔弗科学与国际事务中心|哈佛肯尼迪学校v FBI 监督特别探员 J. Keith Mularski 在国家网络取证和培训联盟上展示了 Darkcode 的屏幕截图，Darkcode 是一个英语“网络犯罪分子市场”，是世界上最大的“英语恶意软件论坛”。匹兹堡，2015 年 7 月 14 日，星期二。（美联社照片/Gene J. Puskar） 1贝尔弗科学与国际事务中心|哈佛肯尼迪学院执行摘要第一次攻击可以追溯到 1989 年，勒索软件远不是一个新现象。然而，最近，勒索软件攻击已经本质上发生了显着变化，变得更大、更复杂、更频繁。勒索软件曾经是一种罕见且轻微的犯罪，但现在随着加密货币的出现而激增并迅速发展成为一项有利可图的业务，这些加密货币促进了大规模、无法追踪的交易。现在，有组织且通常由国家支持的黑客组织不仅持续开展复杂的、有针对性的活动，而且还特许经营此类活动所需的基础设施，并将其作为勒索软件即服务 (RaaS) 在暗网上出售。与勒索软件速度加快一样令人担忧的是，出现了一种新的恶意软件交付机制，该机制已被用于一些最臭名昭著的勒索软件攻击。随着黑客组织变得越来越复杂，现代软件越来越容易受到攻击。复杂的软件必须包含来自各种来源的大量预先编写的代码组件，包括开源代码。然后，黑客团体可以针对安全性较低的软件组件，称为供应链攻击，以勒索大量公司或客户。如果供应链攻击通过更新程序包建立控制线程，例如 SolarWinds 攻击，那么它们会为黑客提供对机器资源的最高访问权限。本文旨在概述当前的勒索软件格局，例如 RaaS 的兴起和供应的增加链式攻击，同时也指向潜在的新兴解决方案。虽然不是一个详尽的列表，但有希望的解决方案可以解决依赖外部代码组件的复杂软件的漏洞，例如软件材料清单 (SBOM) 和漏洞披露数据库，或者解决支出问题，例如更严格的加密货币法规。 2网络犯罪治国之道1.不断变化的格局和新出现的威胁1.1勒索软件攻击频率增加勒索软件事件的数量最近飙升，每年都打破新记录。勒索软件攻击在 2020 年比上一年增加了 150%。1FBI 在 2021 年 1 月至 7 月 31 日期间报告了 2,084 起勒索软件投诉，其中表示从 2020 年 1 月到 7 月的事件增加了 62%。2毫不奇怪，赎金支付也急剧增加。 2020 年，勒索软件受害者支付的公司金额增加了 300% 以上。3正如 Blackfog 最近对今年迄今为止的分析所示（见图 1），勒索软件攻击增加的趋势在 2021 年继续增长。4图1。按月划分的勒索软件攻击（来源：Blackfog，2021 年勒索软件状况)1Brenda R. Sheraton，“勒索软件攻击激增。贵公司准备好了吗？”,哈佛商业评论（2021 年 5 月 20 日），https://hbr.org/2021/05/ransomware-attacks-are-spiking-is-your-company-prepared。2警报 (AA21-243A)，节假日和周末的勒索软件意识，CISA（2021 年 8 月 31 日），https://www.cisa.gov/uscert/ncas/alerts/aa21-243a。3喜来登，同上注1。42021 年的勒索软件状况，Blackfog（2022 年 1 月 4 日）https://www.blackfog.com/the-state-of-ransomware-in-2021/。 3贝尔弗科学与国际事务中心|哈佛肯尼迪学院勒索软件攻击几乎影响每个部门。当它影响到关键服务（如公用事业公司或医疗保健组织）时，这种情况尤其可怕。 2020 年，超过 600 家医院、诊所和其他医疗机构遭到 92 次勒索软件攻击，损失超过 200 亿美元。5这相当于攻击次数增加了 60%，受影响的患者数量和记录比前一年增加了 470%。 2021 年，FBI、网络安全和基础设施安全局 (CISA) 和国家安全局 (NSA) 在美国 16 个关键行业中的 14 个记录了勒索软件攻击。6关键行业部门包括通信、能源、医疗保健和紧急服务等部门。7但勒索软件不断变化的格局不仅仅是攻击次数的增加。随着简化部署和有针对性的活动，勒索软件攻击也变得越来越复杂。1.2勒索软件即服务 (RaaS) 的复杂性和兴起随着时间的推移，勒索软件的攻击者已经发展了他们的定位方法，从近乎随机的大规模攻击转变为高度针对性的活动。早期，勒索软件运营商经常采用“喷洒和祈祷”策略8 他们盲目地向数百万用户发送网络钓鱼电子邮件，随机加密用户的设备。9 然后，这些参与者将收取相对较低的金额来解密设备。10 最近，这种模式让位于“大型游戏狩猎”，其中勒索软件攻击者针对特定的大型实体。勒索软件需要此目标5保罗·比肖夫2020 年，针对美国医疗机构的勒索软件攻击损失了 208 亿美元，Comparitech（2021 年 3 月 10 日），https://www.comparitech.com/blog/information-security/ransomware-attacks-hospitals-data/。6警报 (AA22-040A)，2021 年趋势显示勒索软件的全球化威胁增加，CISA（2022 年 2 月 9 日），https://www.cisa.gov/uscert/ncas/alerts/aa22-040a。 [以下为警报 AA22-040A]7“关键基础设施部门”，CISA（上次访问时间为 2022 年 3 月 30 日），https://www.cisa.gov/critical- Infrastructure-sectors。8“勒索软件的历史”，CrowdStrike（2021 年 6 月 21 日），https://www.crowdstrike.com/cybersecurity-101/ransomware/history-of-ransomware/。9Jonathan Fischbein，“勒索软件的演变：阻止复杂的第 5 代攻击”，福布斯（2021 年 10 月 7 日），https://www.forbes.com/sites/forbestechcouncil/2021/10/07/the-evolution-of-ransomware-blocking-sophisticated-5th-generation-attacks/?sh=6049ca2a38af .10群众罢工，同上注 8。 4网络犯罪治国之道演员的观点，因为它允许他们从财力雄厚的组织那里勒索更多的钱，如果他们这样做，他们将失去更多未支付。11大型猎物狩猎在 2021 年初达到顶峰对 Colonial Pipeline、JDS Foods 和 Kaseya Limited 的高调攻击。12 然而，自 2021 年年中以来，人们开始远离大型猎物狩猎，13因为勒索软件攻击者发现攻击大型组织引起了执法部门的过多关注。14 因此，最近的勒索软件操作维持了大型游戏狩猎的针对性方法，但将攻击瞄准了中型实体，以优化货币回报和减少审查之间的平衡。15与此同时，勒索软件越来越成为一种专业化的商业模式。16 最值得注意的是，勒索软件现在作为服务 (RaaS) 提供，勒索软件开发人员可以在其中创建勒索软件变体以及执行攻击所需的任何基础设施，例如支付门户或网站，攻击者可以在其中发布受害者的敏感信息以勒索付款。然后他们将这些产品打包到 RaaS 套件中，然后在暗网上向附属公司出售该套件的订阅。17这些附属公司是选择目标、与受害者交互并管理解密密钥的人。18 这种商业模式允许通常缺乏专业知识或资源的分支机构开发勒索软件变体来进行攻击。它还增加了勒索软件开发人员的盈利能力，他们现在可以从比他们自己进行的更多攻击中获得收入。RaaS 的趋势导致所使用的勒索软件变体类型的整合。 2021 年上半年，检测到的所有勒索软件变种中有近一半来自四家勒