我們都知道勒索軟體已經成為一個大問題——它攻擊商業和消費者,加密有價值的資料,並且要求交付鉅額的贖金才安全恢復資料。
但是,至少我們可以這樣想來安慰自己:威脅僅限於加密電腦或web伺服器上的資料,或者是鎖定使用者的系統,直到支付了贖金。
勒索軟體盯上IoT
近年來物聯網興起了,這意味著,將來我們所認為的電腦在不斷擴充套件。Critical Infrastructure Technology (ICIT)研究機構在一個報告中警告說,IoT裝置正在成為勒索軟體的攻擊目標!
這個報告中使用了非常警醒的標題即“對抗勒索軟體閃電戰”,文中討論了各種各樣的加密式的勒索軟體家族,強呼叫戶要從多個層面防護類似的攻擊。
文章中最吸引我目光的地方是,它描述了未來潛在的威脅:
IoT裝置為勒索軟體攻擊提供了潛在的持續增長的溫床,因為這些裝置被設計為可以連線網際網路,而且存在各種形式的安全問題。傳統的惡意軟體可能會因為太大而不能在IoT裝置上執行,但是勒索軟體,主要只包括幾條命令和一個加密演算法,非常輕巧。
你覺得人們會付多少錢來移除心臟起搏器上的勒索軟體?這個場景並不遙遠,而且非常有致命性。許多醫療裝置,比如心臟起搏器、胰島素泵、以及其它醫療系統,都開啟了網際網路或者藍芽功能。勒索軟體可以利用這個開放的連線來感染IoT裝置。
我覺得ICIT提出的這個問題並非是遙不可及的。
IoT裝置相當脆弱,也更加危險
我們從過去的經驗中知道大多數網路罪犯並不會因為威脅生命而不安,與傳統的電腦相比,IoT裝置安全性很弱,有硬編碼口令等漏洞,也許連簡單的更新機制都沒有,充斥著各種型別的漏洞。
我們已經發現,閉路電視攝像機和路由器等裝置,成為了殭屍網路的一部分,被用於發動DDoS攻擊。
所以,勒索軟體攻擊網際網路裝置並沒有什麼不同,駭客可以索取比特幣,作為恢復裝置正常操作的條件。比如,勒索軟體可以攻擊醫療裝置。
如果罪犯發現這很容易賺錢,他們當然會用勒索軟體攻擊IoT裝置了。
報告引用了來自Cylance的Jon Miller的話,可以看到另一種攻擊IoT裝置的形式,降低電池的壽命:
“在心臟起搏器上,即便一個加單的加密操作也可以減少電池的壽命,從幾十年降為幾年甚至是幾個月,因為在設計時並沒有考慮支援這樣的操作。加密操作越耗費資源,情況就越糟糕”
任何發起IoT勒索攻擊的人都需要考慮一個問題,如何通知裝置的擁有者交付他們要求的贖金。這在筆記本上很簡單,但是在心臟起搏器上就很有挑戰了,除非攻擊者設法獲取了,比如受害者的email地址。
將來,勒索軟體是否會像當前攻擊傳統的電腦系統一樣攻擊IoT裝置,拭目以待吧!