犯罪团伙利用ChatGPT进行程序优化 新兴技术助力勒索病毒发展？丨科技观察

封面新闻记者 马晓玉 张峥

勒索病毒是与广大网民和企业日常生产生活密切相关的黑客类犯罪手法之一。通俗来讲，勒索病毒就好比自己存放重要资料的抽屉被他人上了锁，锁上贴着字条——“交赎金拿钥匙”。自2017年5月WannaCry勒索软件在全球范围大爆发后，勒索攻击就成为了企业面临的重大网络安全风险之一。

去年11月，中国工商银行在美全资子公司被勒索病毒攻击而导致系统中断，LockBit组织代表公开对攻击负责。12月，养乐多公司称遭到了来自DragonForce黑客团队的入侵，导致养乐多在澳大利亚和新西兰地区分公司的IT系统遭到瘫痪，泄露内部的95.19GB数据。

勒索攻击者通过电子邮件、即时通讯工具等途径传播勒索病毒。为了更好地保障自身利益，往往还会采取加密加泄密相结合的“双重勒索”模式。一旦勒索不成功，便可以通过在黑市售卖敏感数据谋取利益，大大增加了攻击者勒索的成功率。

此外，张小松表示，攻击者在选择目标时会倾向于大型企业、上市公司等具有高价值目标的组织，采用如零日漏洞和高级持久威胁（APT）技术等更加复杂和隐蔽的入侵手法。与此同时，勒索病毒的开发、售卖到利用的产业链不断完善，攻击者想要实施一次攻击的成本不断降低。

目前主要的勒索团伙包括LockBit、Clop、Royal等。其中，LockBit绝对是所有勒索团伙中当之无愧的“老大”，包括波音、泰国气象局、法国司法部、工商银行在美全资子公司、曼谷航空公司以及多家政府机构，都成为了LockBit的受害者。

LockBit号称是全世界加密速度最快的勒索病毒，能在4分半完成100G数据加密。一般来说，针对中大型企业的常规攻击路径如下：初始访问、内网渗透横移、拿下关键节点、大范围控制设备、窃取数据与投毒。

LockBit攻击事件。图源360数字安全报告

据360数字安全报告分析，常见的初始访问目标包括：Web服务器，ExChange服务器，VPN网关，远程桌面、虚拟桌面网关，失去维护但没有及时废弃的老设施，保护不当的员工电脑。在初始访问探测中，一般攻击者会选择探测企业暴露在公网的各类资产，寻找防护薄弱点（如没有打补丁的设备），发起攻击。攻击一旦成功，攻击者会尝试在这个节点部署后门程序、后门账户、代理程序，为下一步攻击做准备。

在拿到初始访问节点后，攻击者将开始探测内网，寻找同样存在弱点的主机，实施攻击，攻击者会格外关注文件共享服务器，内网网站数据库等高价值资源，并重点寻找关键设施实施攻击，如管理员计算机，域控服务器，管理平台，安全产品控制台等权限较高的控制端。

攻击者在控制一定数量的信息系统设备后，通常会选择无人值守的凌晨发起攻击。针对中大型企业，一般会选择先窃取数据，再发动勒索。

犯罪团伙在过程中借助ChatGPT进行程序优化，那么包括ChatGPT在内的AI技术究竟是如何辅助勒索病毒的？据张小松介绍，ChatGPT能够学习包含互联网上能公开获得的一切信息，其软件代码处理能力非常出色，能在逻辑设计、调用处理和编译调试等方面辅助优化勒索病毒代码，绕过安全厂商的杀毒软件的检测。

“很多历史病毒代码被上传在网络中成为ChatGPT的训练语料。但是需要说明的是，勒索病毒本身是精心精密设计的软件，必须由高水平的专业人员开发测试，ChatGPT本身只是提供了一定的辅助便利。”

值得注意的是，在此次案件中，该团伙4人均有网络安防相关资质，且有供职大型网络科技公司的经历。张小松认为，具有网络安防相关资质的人员投身于犯罪活动时，不仅会对组织造成内部威胁，还可能引发对网络科技公司和整个网络安全行业的合规性和监管方面的担忧。

目前除了ChatGPT等人工智能大模型，还有另外两种新兴技术的应用可能会引起勒索病毒制造者的关注和利用，一是区块链技术，二是物联网技术。

张小松介绍，区块链技术由于其匿名和去中心化的特性，勒索病毒制造者可能会利用加密货币和智能合约等区块链功能来进行匿名支付和勒索活动。另一方面，随着物联网（IoT）设备的不断普及，勒索病毒制造者可能会利用其中不安全的IoT设备，构建僵尸网络（Botnet）来实施勒索攻击，甚至直接攻击医疗物联网设备，通过威胁人员生命健康进行勒索攻击。

据奇安信《2023年中国企业勒索病毒攻击态势分析报告》显示，医疗卫生行业是勒索病毒攻击的重灾区，报案数量占到勒索病毒攻击事件报案总数的21.4%；制造业排名第二，占比为17.5%。

勒索病毒针对中大型企业常规攻击路径。图源360数字安全报告

勒索病毒发展多年已经成为有组织的系统工程，其代码复杂度有的甚至不弱于微信、支付宝等商业化软件。针对ChatGPT优化后的勒索病毒，我们应如何加强防范？张小松表示，任何单一的技术手段都很难有效防范勒索病毒的攻击，较为理想的方法一定是技术和非技术多种手段的结合。

从技术层面来看，包括安装杀毒软件以及专业勒索防护软件；定期备份关键数据；及时更新操作系统、应用程序和安全软件，以修补已知漏洞；部署网络隔离措施，将敏感系统和数据隔离在独立的网络区域，以限制横向扩散的可能性；监测网络流量，注意异常活动和不寻常的数据传输等。

若想从根源上“拦截”勒索病毒，张小松认为预防还是大于查杀，“更多的是要提高安全上网意识，警惕不明链接、附件和信息请求。培养员工识别潜在威胁的能力，以减少社交工程和钓鱼攻击的成功率。”