“不给钱,我们就泄露数据。”
近期,蔚来部分用户数据泄露被网络黑客勒索1567万人民币的事,在网络上已经传得沸沸扬扬。
目前,尚不清楚黑客是通过何种方式窃取到蔚来数据的,官方也还没有给出相应的解释。
但有网络安全专家表示:“从黑客团伙的作案手段来看,蔚来极有可能遭遇到了勒索病毒攻击。”
勒索病毒,这个词在汽车行业还没有被熟知,但其实它已经成为了如今网络安全领域最重大的威胁之一。
来自全球知名网络安全威胁情报机构RiskIQ数据:
全球平均每分钟有6家机构或者公司遭受勒索病毒攻击,过去一年有超过300万公司或者机构成为受害者,造成的损失折合成人民币超过6万亿元。
在蔚来之前,丰田、日产、本田、通用、大众、起亚等汽车巨头都中过招。
最早的纪录出现在2017年,雷诺和日产因为受到勒索软件攻击,暂停了在法国和英国的生产工作。
同年,一种叫做“Wanna cry”的勒索病毒席卷150多个国家和地区,造成直接经济损失高达80亿美元。
甚至连我国的公安内网都因为遭受攻击而停止了出入境业务的办理,这确实让人很“想哭”。
这一役,堪称勒索病毒的“成名之战”。
此后几年,勒索病毒危害不断扩大,进化出了更高级的变种,甚至形成了产业链。
今年3月,丰田的零部件供应商日本电装丢失了有关丰田汽车 1.4TB 数据,包括采购订单、电子邮件和图纸,一位组织威胁要求赎金。
通用汽车也在今年遭遇黑客攻击,并被索要赎金。
值得注意的是,蔚来是目前所有受到过勒索的车企当中,唯一被窃取的用户信息的——本次蔚来被窃取的数据,是2021年8月之前的部分用户基本信息和车辆销售信息。
而此前勒索病毒对于丰田等车企的攻击都是在生产、供应链等环节。
为什么是蔚来?
众所周知,蔚来是有着业内独树一帜的用户运营体系,用户型企业的名头一直是蔚来引以为傲的基础。其齐全而完备的用户数据无疑是一笔重要的财富,在用户运营中发挥着核心作用。
而在此之前,传统车企对于用户信息其实没有系统管理的意识,用户资料更多的分散存储在终端经销商那里。
所以这一次,黑客真正抓到了蔚来的痛处和最有价值的数据,才敢狮子大开口。
可以肯定的是,随着智能电动化的深入,用户信息会被越来越多的车企重视,这部分数据也会成为勒索组织眼中的“肥肉”。
蔚来是第一个,但不会是最后一个。
勒索病毒怎么“玩”?
勒索病毒早在1989年就存在了,编写它的是一个叫“Joseph Popp”的美国黑客。
30多年来,勒索病毒不断与时俱进,但基本的入侵流程没有变。
首先当然是攻击。勒索软件和所有的电脑病毒一样,可以通过系统漏洞、恶意邮件、U盘、共享文件、钓鱼网站、广告弹窗、僵尸网络等五花八门的方式进行传播,让人防不胜防。
最主流的方式是利用系统漏洞。病毒会时时刻刻在网络中扫描存在系统漏洞的主机,只要没有安装补丁,那么即便受害者没有点击邮件或者访问恶意软件,也会被攻击。
和新冠病毒一样,勒索软件在感染某一台主机之后,往往会有一段潜伏期。
在潜伏期内病毒会尽可能在不同文件中自我复制,同时利用网络在系统中横向扩散,感染整个局域网,一旦爆发整个企业组织的电脑主机会同时中招。
在完成扩散之后,勒索病毒会篡改电脑中的文件格式进行加密,同时将被感染的文件上传到黑客的服务器。
成功窃取、加密文件时候,病毒会在桌面留下窗口,提示受害者只能交赎金才能获得密钥,解锁文件。
比如,开头提到的“Wanna cry”,在感染之后,会在屏幕上留下这样一个界面,这时候电脑上的所有文件都打不开了,只有通过比特币交赎金才能恢复。
当然,受害者可以选择鱼死网破,选择彻底格式化,当然这也意味着如果没有备份,自己的数据也彻底丢失。
对于企业组织来说,勒索者还会以泄露数据作为威胁,要求企业交赎金,就像这次蔚来的遭遇一样。
由于蔚来在被勒索之后,展现出了决不妥协的态度,黑客已经开始在网上公开出售相关数据。
黑客叫嚣:“整个数据包非常庞大,包含了总裁到一线员工的内部员工数据 22,800 条,从事新能源招聘和猎头工作的,可以关注,售价是 0.15 比特币。”
“另外,车主数据包,包含了车主用户身份证数据 399,000 条,从事黑灰产的可以关注,售价是 0.25 比特币。”
在蔚来之外,今年3月,我国台湾地区PC巨头宏碁也有类似的遭遇。
由于拒绝支付勒索病毒组织REvil提出的 5000 万美元赎金,宏碁的财务报表、流水账单、银行交易等机密资料在暗网被交易。
当然,为了避免被警方追查,勒索组织几乎只接受比特币交易,这种方式无法追踪买卖双方的身份及地址,施暴者很可能处在地球的另一端。
如果受害者不知道怎么使用比特币,黑客还会“贴心”留下一个教程,完整清晰地展示翻墙、登入暗网、购买比特币等一系列流程,包教包会。
属实很“贴心”了。
成熟的勒索产业链
“几乎没有受害者可以善终,除非黑客水平太差,或者被警方破获,但这都是小概率事件。”网络安全专家王梓说道。
总而言之,一旦被勒索病毒感染,要么破财要么丢数据。
一般来说,勒索病毒在加密用户文件时,通常采用的是RSA公钥加密算法,密钥长度极长,最高可达2048位,强行破解几乎不可能。
虽然现在网上有很多声称能够提供勒索病毒解密服务的专业团队。
但王梓认为几乎没有靠谱的。“所谓专业团队,只不过是采用一些已经被公开的解密工具,用户自己在网上也能下载到。”
更离奇的是,有些所谓专业团队会打着恢复数据服务的口号去和黑客“讲价”,自己从中牟利。
甚至有的团队本身就是勒索组织,唱着红白脸玩钓鱼执法。
此前,南通警方破获了一起勒索病毒敲诈案。一个超市的收银系统被勒索病毒攻击,。超市老板联系了一家“解密公司”,成功解开了系统。
结果警方查到,所谓“解密公司”不过是率先通过邮件联系黑客,以更低的价格拿到了密钥,然后赚个差价。
而且发现这个解密公司是惯犯,从2017年-2020年累计向21家公司恶意植入勒索病毒,非法获利60余万元。
这个略显滑稽的案例,展现了勒索攻击的一个发展趋势,那就是产业化。围绕着病毒制作、传播、获利形成了一条完整产业链。
勒索病毒的制作者和使用者正在分离。勒索病毒的作者往往不亲自实施勒索,而是只在暗网上出售勒索病毒代码。
勒索组织可以一次性付费买断代码,也可以选择和获利之后和作者分成。这种模式被称作勒索即服务(RaaS)。
这甚至意味着勒索者,并不需要是专业的黑客,甚至都不需要懂电脑,只要有想法又有资本,就可以从事勒索攻击。这让病毒的危害性和传播范围被指数级放大。
黑客变成了“产品部门”负责把病毒变得更加难缠,勒索组织就成了“营销部门”,负责后续病毒的传播和勒索,后面还跟着网络黑产帮着“洗钱”。
完美诠释了什么叫让专业的人做专业的事。
乖乖交赎金,非明智之举
勒索攻击得以进化到如此专业的程度,离不开背后巨大的利润驱动。
为了更好地达到变现目标,勒索组织往往会挑选数据价值高的企业组织下手。
而中国的智能电动汽车行业正在飞速成长,数据已经成为了推动行业增长的重要生产要素,被产业链上下游给予了空前的重视。
所以在这条大赛道上领先的企业,无疑是完美契合了勒索组织的狩猎目标,毕竟树大招风,古来如此。
就以蔚来为例,被窃取的2021年8月之前的部分用户基本信息和车辆销售信息,应该是蔚来最核心的内部资料的一部分。
不得不说,黑客的眼光真的很毒。
蔚来这边表现得足够重视,董事长李斌亲自下场道歉,并表示会承担用户损失。
即便如此,蔚来自始至终都没有打算向勒索者妥协,这也被一些人解读为不尊重用户。黑客甚至还亲自下场带节奏。
但话说回来,即便蔚来真的选择妥协,交了赎金,数据就真的能拿回来?恐怕也不一定。
“在支付赎金的公司中,最多只有一半顺利拿回了数据,很多受害者甚至遭遇了重复勒索。”王梓说道。
况且,频繁得手还会进一步助长勒索分子的嚣张气焰,长远看并非好事。
从马后炮的角度来说,虽然目前一旦被勒索病毒命中,基本上就是“人为刀俎、我为鱼肉”的局面,没有很好的应对方式。
但就和新冠病毒一样,虽然无法消灭它们,但却可以做到有效预防。
王梓表示:“千里之堤,溃于蚁穴。威胁往往都是从组织内部的个体开始的。”
对于个体而言,安装防护软件、定期更漏洞和病毒库、及时备份重要数据、减少不安全网络操作都是必要的。
插播一下,现在有个公共救助网站,中了勒索病毒之后,可以在网站上传勒索界面截图,如果是已被破解的病毒,可以直接下载免费的解密工具。
为避免广告,需要的朋友私信索取。
对企业而言,防护要复杂数倍,现在很多专业的网络安全公司,比如腾讯安全、奇安信、360等都推出了专业的勒索病毒防护方案。
但这不足以一劳永逸,对企业而言,重视员工的网络安全教育,对数据严格实行定期的加密和备份处理等,都可以有效降低被攻击的风险。
写在最后
汽车本身,包括整个汽车产业链,都在更加彻底地融入产业互联网。理论上,只要联网,车辆乃至企业数据就有被病毒入侵和控制的可能。
相比数据泄露,还有更多的用户大概更担心电影中黑客远程控制汽车的桥段会不会成为现实。
事实上,在实验室里,为了验证汽车的安全性,这样的事情经常发生。
但目前,这样的场景还没有出现在现实里。“对黑客来说,直接攻击汽车还没有成熟的变现手段,但我们必须时刻提防,不断加强防御。”王梓说道。
在某种意义上,网络安全的本质就是攻防双方的能力较量,是一场没有终局的长跑。
对于车企乃至整个产业而言,这是智能汽车发展衍生的全新挑战。