2017年6月27日,勒索软件卷土重来,全球再次陷入无望的困境。
白宫国土安全部的发言人更称,这款勒索软件已经造成美国近100亿美元的经济损失。
与之前出现的Petya不同,新型勒索软件Notpetya脱胎换骨,让丹麦航运巨头马士基、英国广告公司 WPP、俄罗斯石油公司Rosneft、美国医药公司默克等纷纷中枪,乌克兰更是成为了“重灾区”,其国家银行及电力公司等关乎国计民生的大型基建行业无一幸免。
NotPetya滥用了远程控制工具在电脑上执行恶意代码进行传染。一旦一台受感染的计算机拥有网络管理员权限,那么这个网络中的所有电脑都会以意想不到的速度被感染。
它摧毁了全球最大的航运巨头马士基的全球物联网络,只用了不到一个下午的时间!而造成像乌克兰这样一整个国家的沦陷,却是全球互联网历史上的头一遭!
NetPetya所为何物?
也许对于大多数人来说,NotPetya这个名字还是生平第一次听说。然而,对于那些深受其害的人而言,即便时隔一年,仍然谈其色变。
这不得不由一家小型乌克兰软件企业Linkos集团说起。
期初,其只是帮助会计软件MEDoc进行日常系统更新与修复,几乎所有在该国提交税收或经营业务的人都使用它。
直到2017年6月的某一天,黑客潜伏在这家公司的电脑系统中,并有目的的选择在2017年6月27日(即乌克兰宪法日前一天)给客户的软件更新程序中肆意传播NotPetya病毒。
这款无声的大规模杀伤性武器也在随后半天内,让乌克兰从电力系统到交运系统先后崩塌,直至整个国家陷入无尽的深渊。
值得注意的是,在有着高度专业化犯罪背景的Petya 勒索软件家族中,NotPetya是其新一代“衍生品”。其不仅包含着此前一代Petya拥有的“永恒之蓝”作为渗透工具,还包含着名为“MINIKATZ”的工具作为突破访问权限的快捷键。
这样的“混搭组合拳”帮助NotPetya实现了突然爆发与极速传播,即便对于包括 Windows 10 在内打过补丁的设备而言,在当时来看都是无济于事。
NotPetya只在暗网里出售,并明确指出会收取勒索收入的 15% 返还给软件原作者。正是这种“勒索软件即服务”(RAAS)的新型犯罪方式让众多心怀不轨的人有了可乘之机。
然而,对于当时受感染者而言,即便他们支付“赎金”试图换回自己的文件,都只是徒劳,因为这只是勒索软件套人上钩的伎俩。相对于先前的Petya已经妥妥沦为犯罪组织的赚钱工具,新款NotPetya更像是被设计成勒索软件的表象,践行着深度传播伤害的实质,试图在全球引起更大恐慌。
如此一来,如果没有对文件进行过任何备份的人,可能永远“见不到”那些文件了。
好在,NotPetya 的“免疫方式”已经被Positive Technologies 安全公司的研究人员成功解密。研究人员希望他们能够简化过多技术性操作的解决方案,以帮助用户恢复他们在NotPetya 中被加密锁死的文件。
从传统海陆空升级成现代“网络战”
一个很奇怪的现象是,NotPetya的目标非常单纯,一开始就是想置乌克兰于死地。
这不得不让人对其背后错综复杂的政治问题产生联想。
在过去四年半的时间里,乌克兰一直陷入与俄罗斯的一场激战中,这场战争造成1万多乌克兰人死亡,数百万人流离失所。似乎所有的行为背后都更具指向性。
而另一个值得关注的是,早在2015-2016年间,“惯犯”黑客就兵分两路,一路名为Fancy Bear的黑客忙着打入美国民主党全国委员会的服务器,另一路名为Sandworm的代理商全力攻击乌克兰政府组织和大企业。
终于,在2017年的春天,他们黑入乌克兰Linkos集团的服务器,并以此为据点,特意选在乌克兰宪法日的前一天,以Notpetya 的首度亮相和造成的毁灭性破坏结束了他们这场预谋已久的盛大狂欢。
位于乌克兰首都基辅的网络安全公司ISSP董事长Oleg Derevianko称:“在所有被感染企业中,并非所有的计算机都被感染。为什么要留下一部分呢?很可能是为了安装新的恶意软件,造成更大面积的网络破坏。”
美国前国土安全部顾问Tom BossertBossert和美国情报机构也在今年2月份证实了俄罗斯军方为此次针对乌克兰网络战攻击的主要嫌疑人。
今年5月,在袭击事件发生一年多之后,美国司法部和乌克兰安全部门宣布他们已经成功瓦解了俄罗斯的一项行动,称该行动已经感染了50万台互联网路由器。更重要的是,他们已经使用了一种全新的恶意破坏软件。
当然,他们的主要目标,依旧是乌克兰。
思科的克雷格威廉姆斯认为,俄罗斯完全清楚Notpetya将在国际上造成的毁灭性打击,并声称:“这是一个旨在发出政治信息的恶意软件,只要你在乌克兰做生意,那么坏事就会发生在你身上。”
夜幕下的乌克兰满目疮痍
在乌克兰宪法日的前一天,举国上下都沉浸在愉快的节日氛围中。按计划,很多人都已经怀着轻松的心情踏上了度假的旅途。而他们不知道的是,噩梦正悄然降临!
它先是用45秒搞垮了该国第二大银行Oschadbank的处理系统,致使数千台计算机中约有90%被锁定,并显示出NotPetya的“修复磁盘”消息和赎金屏幕。
随后在全国范围内,NotPetya用令人惊悚的速度吞噬了乌克兰几乎所有可用的电脑。而致使其一个重要交通枢纽陷入瘫痪,只用了16秒!
仅在基辅就有至少4家医院,6家电力公司,2家机场,超过22家乌克兰银行的网络系统被勒索和摧毁,零售商、ATM等支付系统以及近乎所有的联邦机构也在一瞬间彻底奔溃。
“政府已经死了。”乌克兰基建部长Volodymyr Omelyan总结道。那一刻,乌克兰人民甚至在思考自己有没有钱买明天的面包。
而据ISSP称,至少有300家公司受到重创。一位乌克兰政府高级官员保守估计,该国所有计算机中约有10%的数据已经被彻底清除。是的,他们引爆了按照TB体量计算的数据炸弹!
在NotPetya爆发一周后,乌克兰警方全副武装,冲进了黑客的网络潜伏地,位于基辅的Linkos集团总部大楼,找到了那个制造这场噩梦的根源——NotPetya服务器机架。
到此,上帝终于在乌克兰的这场梦魇开关上,按下了暂停键。
肉疼!这是数以百亿计的经济损失啊
令人惊叹的是,在首次亮相后的几个小时内, NotPetya病毒就势如破竹地穿过了乌克兰,吞噬了世界各地无数的计算机,似乎,任何人,任何公司,都无法遁藏。
丹麦航运业巨头马士基,制药巨头默克,联邦快递欧洲子公司TNT Express,法国建筑公司Saint-Gobain,食品生产商Mondelēz,无一幸免,通通躺枪。甚至于,NotPetya病毒对上述每个公司造成的经济损失,都超过9位数。
根据Tom Bossert证实的白宫对此次网络灾难的评估显示,其造成的总损失超过100亿美元。“尽管没有生命损失,但它相当于使用核弹来取得小型战术胜利”,Bossert如是说。
尤其是灾难发生的早上,马士基航运公司在整个美国新泽西州码头终端运营点的网络指挥系统瞬间失灵,3000辆满载远洋货物的卡车像是被瞬间施了冻结法术进退无能,原本井然有序的车队渐渐在一顿嘈杂的鸣笛声中炸开了锅。没有了电子数据交换文件,马士基公司连一个指令都无法发出。
这个拥有支撑全球经济循环系统的世界上最复杂最紧密关联的分布式机器就这样在顷刻间倒塌了。
即便在不到2周的时间里,马士基公司就宣布基本完成了“灾后重建”工作,但无法忽视的是,该公司在NotPetya停运期间的总运输量减少了20%。根据马士基主席Snable称,NotPetya大概让公司花费了 2.5亿美元到3亿美元被迫“买”了这条带血的教训。
此外,默克公司分身乏术,被迫暂停了制造某些药物的计划,因为恶意软件的攻击致使它一下失去了8.7亿美元。联邦快递的欧洲子公司TNT Express在NotPetya攻击下直接瘫痪,并称需要数月才能收回部分数据,其遭受的损失高达4亿美元。法国建筑巨头Saint-Gobain的损失大致相同。而英国杜蕾斯安全套制造商Reckitt Benckiser也为此付出了1.29亿美元的惨痛代价。
距离并不是坚不可摧的防御!也许,这就是NotPetya要深刻提醒我们的。
很显然,野蛮人已经走到了门口。
在过去25年的互联网发展历程中,可以看到,某个人在某一个电脑背后动动手指敲击键盘,整个世界就会陷入无望深渊,这,可能就只在一瞬间而已。