勒索病毒變異體今日再引爆發高峰:神秘黑客組織曝光

鈦媒體TMTPost.com

TMT｜創新｜創業

關注這個不一樣的微信號：鈦媒體（ID：taimeiti）

勒索病毒的背後，再背後。細思恐極的故事還有很多….

鈦媒體作者腦極體

鈦媒體註：勒索病毒並未中止，反而因變異體的出現呈愈演愈烈之勢，今日作為病毒爆發後的中國第一個工作日，也迎來最大規模考驗。

根據360威脅情報中心的統計，在短短一天多的時間，全球近百個國家的超過10萬家組織和機構被攻陷，其中包括1600家美國組織，11200家俄羅斯組織。包括西班牙電信巨頭Telefonica，電力公司Iberdrola，能源供應商GasNatural在內的西班牙公司的網絡系統也都癱瘓。葡萄牙電信、美國運輸巨頭FedEx、瑞典某當地政府、俄羅斯第二大移動通信運營商Megafon都已曝出相關的攻擊事件。

國內已經有29372家機構組織的數十萬臺機器感染WannaCrypt（永恆之藍），被感染的組織和機構已經覆蓋了幾乎所有地區，影響範圍遍布高校、火車站、自助終端、郵政、加油站、醫院、政府辦事終端等多個領域。目前被感染的電腦數字還在不斷增長中。

上海中山醫院電腦已被感染

5月13號，發現了詭異域名註冊即可中止病毒程序的安全工程師也坦白承認這是個美麗的巧合，同時提醒需要為電腦打上補丁，以免病毒變種，繞過這一域名，發動下一波攻擊。

果然就在昨天下午，國家網絡與信息安全信息通報中心發出就勒索病毒發布緊急通報。

通報稱，監測發現，在全球範圍內爆發的WannaCry勒索病毒出現了變種：WannaCry2.0，與之前版本的不同是，這個變種取消了KillSwitch，不能通過註冊某個域名來關閉變種勒索病毒的傳播，據了解變種後勒索病毒傳播速度可能會更快。請廣大網民儘快升級安裝Windows作業系統相關補丁，已感染病毒機器請立即斷網，避免進一步傳播感染。

幾乎與此同時，北京市委網信辦、北京市公安局、北京市經信委聯合發出《關於WannaCry勒索蠕蟲出現變種及處置工作建議的通知》。《通知》同樣指出，WannaCry勒索蠕蟲已經出現新變種，並給出了具體處理建議。

安天公司安全研究與應急處理中心主任李柏松判斷：「勒索軟體網絡攻擊大規模爆發於北京時間12日晚8點左右，當時國內有大量機構和企業的網絡節點已關機，因此15日開機將面臨安全考驗。」他還說，許多重要的計算機系統處於內網環境，無法訪問前述域名，並且也可能無法及時更新安全補丁，因此仍可能面臨較大風險。

網絡安全專家建議，用戶要斷網開機，即先拔掉網線再開機，這樣基本可以避免被勒索軟體感染。開機後應儘快想辦法打上安全補丁，或安裝各家網絡安全公司針對此事推出的防禦工具，才可以聯網。

對於此次病毒的罪魁禍首，則一直神秘莫測，鈦媒體作者對本次事件真正的成因和背後神秘黑客組織，做了更大膽的追蹤和分析，以下是全文：

今天（5月15日）將迎來勒索病毒爆發的高峰期，Windows用戶電腦一開機，可能所有的文件將被加密無法讀取。

雖然一方面各種應急手冊、緊急補丁、漏洞修復工具，以及讓家庭用戶安心的科普文章在大量刷存在感。但另一方面，我們看到該病毒的變異版「如約而至」，被攻擊範圍和受攻擊次數在不斷增加，已受攻擊網絡依舊沒有很好的處理方案。

在病毒襲擊爆發的48小時之內，我們身邊的學校、加油站、政府網絡已經相繼有受襲案例傳出，在國外更是直接產生了病毒影響醫院工作的惡性事件。

這樣肆虐全世界的病毒襲擊，已經很久沒有出現在人類世界的新聞當中了。而此次事件的多方矛頭，都指向一種名為「WanaCrypt0r2.0」的蠕蟲病毒。這種病毒被廣泛認定為是根據NSA（美國國家安全局）此前洩露的黑客滲透工具之一，永恆之藍（EternalBlue）升級而來。

假如這次事件明確指向NSA的滲透武器洩露事件，那麼此次大規模病毒肆虐恐怕很難被定義為孤立事件。

反而更有可能是，此次事件與之前著名的黑客組織「影子經紀人（ShadowBrokers）」攻破NSA黑客武器庫，導致大量基於Windows系統漏洞的黑客工具流失事件有關。這次流散出的工具絕不僅僅是「永恆之藍」一種或一個類型。其中隱含的未知風險，也許比目前大眾判斷中更加驚人。

如果看過生化危機，那這集劇情你可能眼熟

恰好在一個月前的4月15日，已經屢次出手「教訓」NSA的神秘組織「影子經紀人」發布了一份關於NSA的洩密文檔。

這份300M的轉存文檔中，是NSA旗下黑客組織「方程式」的入侵工具，主要針對微軟的Windows系統和裝載SWIFT系統的銀行。

這些惡意攻擊工具中，包括惡意軟體、私有的攻擊框架及其它攻擊工具。根據已知資料，其中至少有設計微軟23個系統漏洞的12種攻擊工具，而這次完成「變身出擊」的永恆之藍，不過12種的其中之一而已。

影子經濟人所上傳洩露工具

永恆之藍所針對的是Windows中的SMB網絡文件共享協議所存在漏洞。其他針對RDP遠程顯示協議、Kerberos伺服器認證協議的尊重審查（EsteemAudit）、愛斯基摩卷(EskimoRoll)等等，說不定還在暗中蠢蠢欲動。

更加令人在意的，是洩露出的攻擊工具中另一個主要構成部分，是針對銀行、政府系統所使用的SWIFT系統的漏洞攻擊工具。影子經紀人說，這些武器的主要目的是NSA用來攻擊中東地區銀行。而如果這些工具為別有用心的犯罪者掌握，那事件更加不堪設想。

拋開技術工具不說，我們來回顧一下這次劇情：神秘的黑客組織「影子經紀人」宣布攻破了據說為NSA開發網絡武器的美國黑客組織「方程式」（EquationGroup）的系統，並下載了他們的攻擊工具對外傳播，藉以證明NSA組織並實施了大量針對他國的非法黑客攻擊。

簡單來說，就是一個神秘高手為了揭開另一個「大內高手」的真面目，把他發明的武林至毒給偷出來並散布到了江湖上。然後，江湖上的阿貓阿狗得到了這份神秘武器，一場腥風血雨就此展開…..

等等….如果你看過生化危機的話，後面的劇情可能你都該猜著了。

影子經紀人：以怒懟為樂趣，以搞事情為己任

這裡不妨簡單回顧一下這個「小李飛刀，例不虛發」的神秘組織――影子經紀人。

2016年8月，這個組織首次亮相在人類面前。這個神秘黑客組織宣布自己攻破了NSA的防火牆，並且公布了思科ASA系列防火牆，思科PIX防火牆的漏洞。

隨後他們還公開拍賣得到的黑客工具包，宣布如果收到超過100萬比特幣，就會釋放他們已經擁有的大量黑客工具。但顯然世界人民還是不太買黑客的面子，這次拍賣最終獲得了2比特幣的尷尬結果。

賺錢心情強烈的黑客組織，又在2016年10月開啟了眾籌活動，宣布當他們收到10000比特幣後將提供給每一位參與眾籌者黑客工具包。12月，眾籌活動又尷尬的失敗了。

雖然這個有點傻萌氣質的傲嬌黑客組織在賺錢的路上屢屢掉坑，但他們偷來的東西卻不斷被證明貨真價實。先是思科和Fortinet發出了安全警告，隨後著名的洩密者愛德華斯諾登，以及NSA多名前僱員都證明了這份工具包的真實性。

有意思的是，影子經紀人還發布了證據，表明中國的大學和網絡信息供應商是NSA入侵最頻繁的領域。

作為全世界僱傭最多計算機專家的單位，NSA的內部機密被真實網絡黑客入侵絕對是首次。而造成的影響恐怕也比想像中嚴重很多。

今年4月，搞事情絕不嫌事大，並且永遠抓住NSA怒懟的影子經紀人再次出手。直接放出了這份長久沒有賣出去的工具包。隨後其中一個工具，就在今天的世界襲擊中被找到了身影。無論正邪善惡，這個團隊和被他們竊取了的NSA，恐怕都難以撇清責任。

劃重點：「工具工程化水準」才是最要命的

眾多網絡安全項目團隊和從業者都表示，影子機器人在4月的這一次攻擊工具洩露是一場網絡安全界的核爆。

這個說法事實上一點都不誇張。在很長時間裡，網絡安全襲擊一般有兩個模式：一是襲擊者自行根據所發現漏洞編訂襲擊方式，也就是一般意義上的黑客襲擊；二是襲擊者製造病毒類程序引發範圍襲擊。

這兩個模式中，病毒也可以完成先傳遞――引發襲擊的過程。但病毒製造者傳遞給襲擊實施者的往往是病毒原本，很容易被安全工具撲滅。

但這次流傳出的襲擊工具則不同，引用專業網絡安全企業的評價，這次洩露出的黑客工具「在漏洞的危險程度、漏洞利用程序的技術水平、以及工具工程化水平，都屬於世界頂級水平」。其中漏洞利用方面，我們可能已經對新病毒的殺傷力見慣不慣，但在工具工程化水平上，網際網路世界中尚是首次集中出現如此高水平的襲擊工具。

影子經紀人爆出NSA侵入世界多家銀行

所謂工具工程化，是指攻擊工具可被反覆利用、改寫，以達到適應襲擊目標與針對性潛伏和釋放作用的能力。普遍認為，NSA流出的這部分黑客襲擊工具，更多是針對國家網絡、軍用網絡和銀行網絡釋放，並且有意識的提高了底層工具化能力，以提升網路戰中的標準化應用程度。

這種高度工具化網絡襲擊工具的外洩，無疑是把軍用大規模殺傷性武器隨手拋到了民間。這給未來世界網絡安全埋下的禍患，絕不只是一次襲擊可以消抵的。

抱歉，這才剛開始：關於網絡安全戰的未來

在熊貓燒香肆虐之後十年，我們又迎來了一次大規模的網絡病毒襲擊。而這次中國與世界的同步、襲擊工具的特殊背景，以及襲擊方式的獨特，都讓我們感到了對網絡安全世界的更深恐懼。

尤其在AI技術不斷發展的今天，AI投入產品化應用已經不再話下，而AI、物聯網、雲計算等新技術帶來的負面利用也在快速提升。在近兩年的世界網絡安全事件中，我們已經可以看到以下幾種襲擊方式開始主導網絡安全問題。

一、工業網絡勒索：以這次比特幣勒索病毒為例，通過工具化蠕蟲病毒的有目的放置，然後集中時間有計劃引發，可以說是一種全新的病毒襲擊方式。

這種模式的問題在於，它可以有效威脅工業網絡、醫療網絡、銀行網絡等大型非民用網絡，從而達到數額巨大的勒索獲益目的。並且隨著比特幣支付技術帶來的便利，始作俑者往往更難被繩之以法。在這次世界範圍襲擊之後，這種襲擊方式恐怕還將持續增加。

二、信任攻擊：AI威脅人類恐怕還很遠，但AI被壞人利用恐怕今天就在發生。通過AI技術模擬聲音源、語氣、筆記、修辭習慣等等，已經是很容易達成的技術效果。於是用AI生成熟人的聲音和郵件，從而進行網絡詐騙的方式在快速增加。

目前英國一年已經可以發現超過10萬起的「技術型網絡詐騙」，在網絡安全的領域中這被稱為「信任攻擊」。

三、物聯網攻擊：2016年1月，烏克蘭電網系統遭黑客攻擊，導致了數百戶家庭供電被迫中斷。這是人類歷史上第一次導致停電的網絡攻擊。

隨著物聯網技術的進步以及能源生產部門的徹底網絡化，針對物聯網的黑客襲擊也逐漸開始增多。這次的勒索病毒也大範圍進入了物聯網領域。而這個領域的網絡襲擊，往往也是危險度更強、更加難以防範的一種。

四：關鍵數據更改：大數據運算正在成為新的能源和生產力提供者，但有數據就有虛假數據。如果在關鍵數據上動手腳，有時候可以造成不留任何痕跡的網絡襲擊。通過更改關鍵數據的襲擊模式也在近兩年悄然增多。而以AI算法進行數據攻擊，生成合情合理的「假數據鏈」，則更加是一種毀滅性打擊。

事實上，新技術加持和大量洩漏事件帶給不法黑客的武器升級，遠比安全部門快上很多。這次經歷的全球性襲擊，恐怕還是眾多事件的開始而已。未來的全球網絡安全，恐怕會是一場「大逃殺」模式的無盡戰爭。

出路何在，今天應該還沒人知道。

微信推送太少，下個鈦媒體App更及時

了解這個新奇世界

做你的專業助手，鈦媒體Pro（專業版）來了，更豐富的專業信息服務體系，點擊「閱讀原文」，註冊成為鈦媒體專業用戶。