美国政府机构为何总是被勒索攻击？

最近，“国内某公司被勒索攻击支付197万赎金”成为热点，而在美国类似的事件已经司空见惯。就在上周，美国新奥尔良市遭大规模勒索软件攻击，全市进入紧急状态。

2019年，针对美国政府机构和公共部门的勒索攻击快速上升：

全美勒索攻击地图

勒索攻击成为美国2020年大选头号网络威胁

2019年9月，美国国土安全部（DHS）和国家安全局（NSA）将勒索攻击列为2020年大选的头号网络威胁。

勒索攻击让美国许多市民无法使用市政服务，让警察不得不手写罚单……现在，美国政府明显担心，若有城市的选举系统在明年大选时被勒索攻击，造成该地区选民无法正常投票，这样的后果是难以承受的。

所以美国对勒索攻击高度重视，采取了很多应对举措，包括：

但针对政府机构和公共部门的勒索攻击事件愈演愈烈，过去的1个半月内又发生了15起，背后的“漏洞”值得思考。

机制“漏洞”让各州政府遭遇勒索时愿意支付赎金

从网络产业发展、技术创新、防护能力到战略、政策和法律，美国无疑是领先的，但美国的国家体制为各州政府频繁遭受勒索攻击埋下了“漏洞”。

美国是联邦制国家，联邦（即中央政府）是在州的基础上组成的，州政府不是联邦政府的下属，所以州的权利很大，除外交和军事外，州就是一个独立的“小国”：有自己的法律、税收、财政预算、警察甚至选举制度。这也意味着各州需要自己“出钱”来解决自己的问题。

“集中管理和分散管理之间权衡难是美国网络安全的系统性挑战。”国防部前负责网络政策的代理副助理国防部长凯瑟琳·查莱特在《理解美国联邦网络安全》报告中总结。

这种“权衡难”在勒索攻击中体现得淋漓尽致。比如上面提到的国土安全部发布的“勒索软件爆发”警告，只能呼吁和敦促州、城镇采取措施，而被勒索攻击的城市几乎都没有执行。FBI也只能协助调查取证，没有追责和处罚机制。

钱是许多美国中小城市政府的首要权衡因素。这些城市资金紧张，他们认为，重建系统的成本比支付赎金更高，因此支付赎金就成了理想选项。比如，巴尔的摩市拒绝向黑客支付价值7.6万美元比特币赎金，选择重建系统，花费超过530万美元；盐湖城评估后，选择直接向黑客支付46万美元比特币，解决了问题。

有的城市直接让保险公司“付钱”。比如，佛罗里达州的莱克城购买了网络安全险，由保险公司支付大部分赎金。FireEye的安全专家称，证据表明，有一些勒索攻击开始特别针对有保险的城市和机构。

FedScoop和StateScoop针对联邦和州政府IT官员的一份调查显示，很多被攻击机构不顾联邦调查局和国土安全部的警告，选择支付赎金恢复数据。

人性“漏洞”是勒索攻击的主要驱动力

此前，业内研究人员和美国政府普遍认为，针对美国政府机构的勒索攻击多为海外黑客团体，因为美国有大量高科技公司能容纳高水平技术人员，黑产对他们的吸引力并不大，但事实可能并非如此。

人性逐利。

一个没有黑客技术的犯罪分子，只要花几百美元购买攻击工具，就可以向一个城市勒索几十万甚至上百万美元。一些最新的勒索软件使用SaaS（软件即服务）模式，犯罪分子向黑客付费就能发动攻击。

在美国的许多黑客论坛上可以看到类似的服务宣传，比如攻击德克萨斯州多个城市的Sodinokibi勒索软件是黑客论坛上热销的勒索软件，它的创建者声称通过SaaS模式，在15个月内赚了20亿美元。

大多数以美国中小城市为目标的攻击都是为了钱，仅有两个城市在遭受攻击后没有被要求支付赎金。

网络安全公司Barracuda Networks八月底发布的报告显示，2019年美国发生的大多数勒索软件攻击都是针对州和地方政府的。45％遭受勒索攻击的城市不到5万居民，另外24％的受攻击城市居民不到15000人。

这些城市因为资金紧张，各种设备和软件陈旧，没有足够的财政预算和人员来保护城市的网络安全，也缺乏有效的安全事件响应机制；还是因为资金紧张，他们不愿重建系统，而选择支付赎金，间接地纵容了黑客。

小编手记

勒索攻击在美国已经开始规模化和产业化。在我国，从2017年遭遇“永恒之蓝”后，勒索攻击事件没有像美国一样出现猛烈增长。这充分体现了“举国之力”的优势，网络安全法、等保以及网信、公安等部门“全国一盘棋”的常态化监管、检查机制无疑发挥了巨大作用。

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。

锻造国家级网盾！美国政府成功举办第九次网络风暴演习