美国参议院报告:美政府缺乏关于勒索软件的全面数据

根据美国参议院国土安全和政府事务委员会的一份新报告 ,美国政府缺乏关于勒索软件攻击的全面数据,包括支付损失的金额 。

该报告介绍了对日益增长的勒索软件威胁进行的为期 10 个月的调查结果。它引用 FBI 的数据显示,该机构已收到 3729 起勒索软件投诉,调整后的损失超过 4920 万美元。然而,即使是这些数字“也可能大大低估了受害者的攻击和赎金支付的实际数量以及相关损失。”

在对联邦执法和监管机构进行多次采访后,除了协助勒索软件受害者敲诈勒索要求的私营公司外,该报告得出的结论是,在政府层面缺乏关于这种激增的攻击媒介的数据。改变这一点至关重要,因为“需要更多数据来更好地理解和打击这些攻击。” 此外,它指出,这些信息将有助于调查和起诉勒索软件威胁行为者。该委员会还强调了勒索软件对美国国家安全构成的重大威胁,  去年的殖民管道事件就证明了这一点。

然而,根据委员会的报告,“关于勒索软件攻击和支付的数据报告和收集是分散且不完整的”。这部分是由于两个独立的联邦机构——网络安全和基础设施安全局 (CISA) 和 FBI——托管不同的网站,每个网站都声称托管政府的一站式报告勒索软件攻击的位置。虽然这些机构表示他们彼此共享数据,但“勒索软件事件响应公司质疑此类通信渠道对协助攻击受害者的影响的有效性。”

调查还强调了加密货币,尤其是比特币,在勒索软件攻击中的作用越来越大,“已成为一种近乎普遍的赎金支付形式”。作者指出,这些货币的去中心化性质使得执法部门难以识别和逮捕肇事者,尤其是外国团体。然而,FBI 追回了 Colonial Pipeline 支付的一半以上的赎金, 这表明“通过访问正确的信息,执法部门可以利用加密货币的独特功能以及其他调查技术来追踪网络犯罪分子并追回被盗资金。”

因此,委员会建议优先收集有关勒索软件攻击的数据,作为应对日益严重的国家安全威胁的重要手段。这包括迅速实施《 关键基础设施网络事件报告法案》,该法案今年由乔·拜登总统签署成为法律。

参议院国土安全和政府事务委员会主席、参议员加里·彼得斯在评论调查结果时说:“加密货币——它允许犯罪分子快速勒索巨额资金,可以匿名,并且没有始终如一地强制遵守法规,特别是对于外国攻击者——进一步使网络犯罪分子能够实施破坏性勒索软件攻击,威胁我们的国家和经济安全。

“我的报告显示,联邦政府缺乏必要的信息来阻止和防止这些攻击,并使外国对手和网络犯罪分子对实施这些攻击负责。我的法案最近签署成为法律,要求关键基础设施报告网络攻击和勒索软件付款,这将是确保我们的政府有更好的数据来了解这种威胁的范围、破坏虚拟货币为网络犯罪分子提供的激励的重要一步进行攻击,并帮助受害者在违规后迅速恢复。”

工作组敦促美国将勒索软件放在首位

根据安全与技术研究所勒索软件工作组的一份新论文,联邦政府在过去一年中在阻止勒索软件方面取得了长足进步,但仍有许多里程碑需要达到。

一年前,该组织是一个公私合作伙伴关系,汇集了政府、非营利组织和私营部门的 60 多家公司和组织,发布了一份全面的报告,就如何打击勒索软件提出了 48 条建议。

报告的紧迫性在 2021 年 4 月发布后几乎立即变得清晰起来,美国在随后的几周内遭受了一系列备受瞩目的勒索软件攻击,包括关闭燃料供应商 Colonial Pipeline的事件、针对肉类供应商 JBS的攻击和托管服务提供商Kaseya的渗透,导致全球近 1,500 个组织的服务中断。

在勒索软件工作组在其初步报告中提出的 48 项具体建议中,有 12 项在此后的一年中取得了切实进展。对 29 项建议采取了一些初步措施,而 7 项建议没有采取任何行动。

根据周五的更新,美国在解决 RTF 阻止勒索软件的建议方面取得了最大的进展。除了国土安全部发起招聘“冲刺”来打击网络犯罪外,司法部去年还成立了自己的勒索软件工作组。在周五的活动中,网络安全和基础设施安全局局长 Jen Easterly 表示,国土安全部部门正在创建另一个工作组,与 FBI 和其他打击网络犯罪的机构合作。

美国在国际合作方面也取得了进展,司法部周五宣布了更多措施。副总检察长 Lisa Monaco 表示,该部门正在针对非法加密货币交易发起一项联合国际行动,并正在建立一个新的网络行动联络员以与外国政府合作。

美国也是去年 10 月与其他 30 个国家发起的全球反勒索软件倡议的一部分,并且还与 G7 合作解决这个问题。

尽管在全球方面取得了进展,但 RTF 联合主席梅根·斯蒂菲尔表示,美国仍有工作要做。

她说:“我认为,未来的挑战之一是扩大关注这一问题的国家的范围,并希望改善他们的卫生状况,同时支持调查工作,以试图减少这种持续存在的祸害。”

新的 RTF 论文还指出,关于勒索软件攻击的全面数据持续缺乏。

“我们不知道如何对我们拥有的数据进行分类,因为我们拥有的数据非常不完整,”网络安全公司 Rapid7 社区和公共事务副总裁兼勒索软件工作组联合主席 Jen Ellis 说。“这意味着加班衡量进度将非常困难。”

美国在《关键基础设施网络事件报告法案》方面取得了立法进展,该法案要求关键基础设施运营商报告勒索软件攻击。但是,由于实施的时间框架为两年,该法律还需要一段时间才能取得成果。

根据 RTF 的新论文,中小型企业的支持也滞后。去年 1.2 万亿美元的基础设施法包括 10 亿美元用于新的州和地方网络安全拨款计划,以帮助政府应对勒索软件威胁,但国土安全部仍在为该计划起草指导。许多小公司仍在努力确保他们的系统安全。

“勒索软件普遍存在且多产,这是一个可怕的问题,而且不会消失,”埃利斯说。“即使我们认为冲突将发生巨大转变,但现实情况是网络犯罪仍在继续。但我确实对未来抱有希望,因为我们看到了前所未有的协调与协作水平,而这正是我们所需要的。”

参考链接:

https://www.infosecurity-magazine.com/news/us-government-data-ransomware/

前一篇周刊 | 网安大事回顾(2022.5.30—2022.6.5)
后一篇黑客利用商业电话系统漏洞发起DDoS攻击