2020年11月3日,2020年美国总统大选投票正式打响,拜登与特朗普的“单挑”进入白热化阶段。由于激烈的政治角力和网络安全问题,这注定是美国历史上最不寻常的总统选举。美国总统大选投票直播链接:https://www.youtube.com/watch?v=4rNJh6kxbDE继上周特朗普竞选网站遭到黑客攻击后,美国总统大选的安全防御工作已经敲响了警钟,大选的到来选举日的到来意味着网络战已经全面打响,正如WhiteHatSecurity首席安全工程师RayKelly所言:选举日不亚于安全行业网络攻防的“超级碗”较量。受新冠疫情影响,今年的总统大选需要处理更多的邮寄选票,统计工作所花费的时间很可能比以往的选举要长得多,这也为各种网络攻击提供了更长的时间窗口。事实上,整个投票系统,从选民登记系统、选举网站、选民数据库到社交媒体,都面临着勒索软件、社会工程攻击、社交媒体信息操纵和滥用、高级针对性攻击、电子邮件攻击、僵尸网络DDoS攻击等威胁、人工智能deepfakes等黑客的攻击火力下。勒索软件是攻击选举系统的头号威胁。虽然近期各方数据显示,2020年全球恶意软件数量近年来稳步下降,但根据SonicWall的最新报告,勒索软件是2020年增长最快(40%)的网络威胁,勒索软件攻击在美国州已达到惊人的1.452亿,同比增长139%。如果美国大选的选举系统遭遇勒索软件攻击导致地区选票数据部分瘫痪、泄露或锁定,甚至影响投票进程,那么这些攻击并不是在选举日发起的,而是一直潜伏在几个月前的系统。因为,根据Mandiant的FLARE高级实践团队的研究,2019年勒索软件的平均“停留时间”约为72天12小时。此外,恶意软件即服务(MaaS)进一步使勒索软件攻击复杂化,因为攻击者可以自由使用任何工具和组合。根据VMwareCarbonBlack的说法,MaaS企业应对近一半的定制化网络攻击负责。勒索软件能否直接改变投票结果?据安全牛此前报道,知名安全博主克雷布斯在推特上警告称:“本周你真正需要警惕的是针对选举投票系统的攻击,而不是网站抹黑或DDoS骚扰攻击。”“CISecurity的首席信息安全官MikeHamilton也认为地方选举基础设施存在风险。汉密尔顿警告说:“最危险的一天是11月4日,每个县都将受到勒索软件的威胁。因为到那时,现场投票已经完成,投票结果已经制成表格。”他说,“如果勒索软件袭击了一个县(只有县举行选举)并且邮寄号码将受到质疑。由于众所周知共和党人会在选举日亲自投票,而民主党人倾向于赞成邮寄选票,因此这是一个危险。”“勒索软件是否可以‘更改投票记录’并不重要,因为如果攻击者有足够的网络访问权限来加密和锁定数据,他必须有足够的权限才能更改它。”美国前国土安全部负责网络和基础设施的副部长、NozomiNetworks顾问SuzanneSpaulding表示:“除了防范入侵自2016年以来强化的选民登记数据库外,我们还应该为网络攻击做好准备在选举日无法访问选民登记名单。”勒索软件攻击可能会锁定数据并使其无法被民意测验者访问。或者,网络攻击可以简单地破坏记录投票结果的表格或报告。此外,随着邮寄选票的大量增长,人们也应该警惕那些故意涂抹和损坏邮寄选票的人。投票虚假信息传播。我们在俄罗斯的宣传媒体上看到过。”“严打”和缓解勒索病毒,头号行动”。本月,安全牛报道称,“微软获得政府授权接管Trickbot僵尸网??络”,而Trickbot是勒索病毒最重要的商业木马分发渠道,是也是MaaS机器人。到10月18日,微软及其合作伙伴已经“消除了94%的Trickbot关键操作基础设施”,包括恶意软件的命令和控制服务器和“Trickbot试图上线的新基础设施”,一家公司透露。但勒索病毒的可怕之处在于其高度的适应性和高速迭代能力。微软自己也承认Trickbot不会消亡,其背后的运营者很快就会想办法让它复活。而且,最活跃的头部勒索病毒已经开始有意识地减少对Trickbot、Emotet等MaaS渠道的依赖,转而使用可以绕过安全工具的非先试工具。2016年以来,美国政府和网络安全行业也在积极提升投票系统的勒索软件防御能力。最重要的举措之一是改进流程并增强人员安全意识。美国国土安全部CISA最重要的改进是《美国选举管理人员漏洞报告指南》(PDF)的编写和发布。这是重要的一步,因为许多选举官员不知道去哪里寻求帮助,甚至不知道他们是否需要帮助。此外,两家领先的投票机供应商ES&S(PDF)和Dominion各自宣布了漏洞披露政策和流程。图:美国勒索软件攻击现状下图为根据Cyber??securityDive统计,2019年1月至9月美国最活跃的前五名勒索软件团伙。可以看出,刚刚宣布“洗金”的Maze是美国最活跃的勒索软件,而占全球勒索软件攻击三分之一的Ryuk在美国仅排名第五。根据Cyber??securityDive的监控数据,虽然Maze和NetWalker已经对医疗行业的组织进行了大量的攻击,但在其他行业的攻击中也发现了Maze、NetWalker和REvil。此外,将近一半的勒索软件攻击未被公开。根据Emsisoft的报告,2020年第二季度最活跃的勒索软件是Djvu、Phobos、Dharma、REvil和Globeimposter。TOP5中除REvil外,其余四位与2019年榜单有所不同。医疗行业遭受勒索软件攻击最多根据Cyber??securityDive的监测数据,2020年1-9月遭受勒索软件攻击最多的行业是医疗行业,其次是公共部门和政府部门。“大多数勒索软件攻击都是从网络钓鱼开始的,这并不是什么新鲜事,”乔恩说。J.P。Perez是网络安全公司IronNet的安全研究工程师。今年的攻击利用更多漏洞进行初始访问。与去年不同,随着新压力的出现,危机变得更加复杂。Cyber??securityVentures估计,未来五年医疗保健行业的网络安全支出将达到1250亿美元。累积起来,该行业的安全功能已经过时,无法保护有价值的数据,这使得医疗保健行业组织更有可能支付赎金。勒索软件攻击的热点地区:德克萨斯州和加利福尼亚州根据Cyber??securityDive的数据,今年到目前为止,加利福尼亚州在已知勒索软件攻击的数量上仅次于德克萨斯州。根据CompTIA的2020年网络状况报告,加利福尼亚州是美国人口最多的州,经济规模相当于25个州的总和。得克萨斯州在人口方面落后于加利福尼亚州,但两个州在整体技术就业方面都处于领先地位。加利福尼亚州和德克萨斯州分别雇用了190万和100万技术工人,超过纽约,成为第三大科技雇主(679,000人)。去年,德克萨斯州有20多个城市遭到勒索软件攻击,迫使该州宣布进入紧急状态。只有50%的企业在被攻击后会通知客户数据来源:Cyber??securityDive除了加密数据,越来越多的勒索软件开始将数据泄露加入攻击组合,这也迫使更多企业选择支付赎金同时保持沉默。据Emsisoft称,在今年上半年收到的100,000个勒索软件ID提交中,有11,600个进行了数据窃取。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此阅读更多作者好文
