勒索软件这一网络犯罪形态的源头,可追溯至1989年一场“失控的恶作剧”。当时,进化生物学家约瑟夫·L·波普(Joseph L. Popp)在世界卫生组织兼职参与艾滋病疫情研究。因未获正式职位,他决定以“惩罚同行”的方式制造震动,将注意力引向另一种“感染”——计算机病毒。
波普编写了一份问卷,宣称可帮助降低感染艾滋病毒风险,并将其复制到2万个软盘中,寄往90个国家的研究人员。软盘内含特洛伊病毒:一旦插入电脑,定时触发后会导致计算机无法使用,除非用户向巴拿马一个邮政信箱支付189美元“许可证费”。这一被称为“艾滋病特洛伊木马”的程序很快被识别,波普因勒索被捕。报道指出,他最初意在表达观点而非牟利,但当得知部分受害者因恐慌抹掉硬盘数据、造成严重损失时感到震惊——一家意大利艾滋病组织因此丢失了十年的重要数据。随后波普精神崩溃,并被判定不适合受审。
在安雅·肖特兰德(Anya Shortland)的叙述中,真正将这一粗糙概念发展为全球性产业的,是此后更为职业化、组织化的犯罪团伙。勒索软件攻击通常通过恶意软件加密受害者数据,并以提供解密密钥为条件索要赎金。近年来,攻击者更常在加密之外窃取敏感信息,并威胁在暗网拍卖,形成所谓“双重勒索”。
肖特兰德援引数据称,黑客每年从勒索软件中获利约10亿美元,但预计到2025年将给受害者造成570亿美元损失。她将这种犯罪形态形容为“低效”,类似“毁掉整辆车只为偷一副太阳镜”。
书中同时强调,拒绝支付赎金可能带来不成比例的后果,形成集体行动困境,促使部分受害者选择妥协。她举例称,英国图书馆在2023年10月遭黑客攻击后,至今仍未恢复正常运行。肖特兰德认为,每一次赎金支付都会进一步刺激更多攻击,而受害者承受的心理压力同样沉重;一名几乎被黑客摧毁其计算机公司的男子将经历比作“窒息、溺水——或两者同时发生”。
从技术演进看,计算机科学家亚当·L·杨(Adam L. Young)与莫蒂·杨(Moti Yung)在1996年就描绘了勒索软件的潜力,并将其比作电影《异形》中的面部寄生者:病毒难以在不“杀死宿主”的情况下移除。但肖特兰德指出,早期受限于技术条件,尤其在盗卖数据方面回报有限;一名改过自新的网络罪犯曾形容,试图出售大量数据就像“在跳蚤市场出售一架747飞机”。
她认为,勒索软件成为可规模化盈利的产业,依赖三项关键突破:不可追踪的通信(TOR协议)、去中心化货币(比特币)以及非对称加密技术——后者可为每台被感染计算机生成唯一加密密钥。肖特兰德写道,到2013年,“大规模盈利性勒索软件活动的所有先决条件已具备”。
在肖特兰德的描述中,勒索软件团伙的运作已呈现“企业化”特征:黑客打造品牌,将顶级软件提供给负责实施勒索的合作伙伴;为在盗贼之间建立(尽管短暂的)信任,部分主要品牌拥有固定员工、服务台,甚至设立人力资源部门。她写道,“犯罪人力资源是一个快节奏、高风险的工作”。
不过,这一行业的“工作保障”并不稳定。无论是内部裂痕还是执法压力,都可能导致组织关闭并以新面貌重开。肖特兰德提到,2022年导致哥斯达黎加大部分经济瘫痪、造成5亿美元损失的网络攻击,很可能与当时濒临崩溃的Conti品牌有关,并被她视为一种“营销手段”,意在制造其比实际更健康的假象。
她还指出,医疗系统是勒索软件的热门攻击目标。在此类情形下,勒索软件不再只是经济犯罪,也可能演变为致命风险。
书中亦涉及具体团伙与人物。2023年曾向英国皇家邮政勒索8000万美元未果的LockBitSupp,被披露为俄罗斯公民德米特里·尤里耶维奇·霍罗舍夫(Dmitry Yuryevich Khoroshev)。肖特兰德将其描述为傲慢且带有种族主义色彩的人物,并称其言行甚至令其他罪犯反感。
在地缘政治层面,肖特兰德写道,自1990年代以来俄罗斯一直是网络犯罪温床。她提到,普京多年拒绝美国引渡请求;2022年1月俄罗斯曾同意突袭勒索软件品牌REvil,但随着乌克兰战争爆发,进一步合作破裂。她同时指出,朝鲜也在相关活动中活跃:2017年,WannaCry病毒感染了150个国家的数万台计算机,受影响机构包括西班牙电信、德国铁路、中国大学以及英国国家医疗服务体系。与俄罗斯的NotPetya事件一道,这些攻击促使西方政府将勒索软件上升为国家安全问题。
在书的结尾,肖特兰德提出对“人工智能驱动的网络战争”的担忧,认为未来破坏可能成为主要目标,包括从云服务器数据的大规模删除到对核电站的干预。她呼吁政府加强行动,包括以法律强制网络卫生、为受害者提供更多支持、加大起诉力度,并将勒索软件与新冠疫情类比,称现实目标或许不是彻底消灭,而是“就可接受的风险水平达成共识,学会与潜在威胁共存”。
该书为《我们知道你能支付一百万:黑客与勒索软件黑暗经济内幕》(We Know You Can Pay a Million: Hackers and the Dark Side of the Ransomware Industry),作者安雅·肖特兰德,由Profile出版社出版,定价22英镑。
