默里县从应急储备金中支付 20 万美元勒索赎金

默里县从应急储备金中支付 20 万美元勒索赎金

佐治亚州默里县遭遇勒索软件攻击，纳税人为此付出了 20 万美元的代价，这笔款项直接从该县的应急储备基金中提取。唯一专员诺亚·毕晓普证实了这笔付款，并称这是解决此次入侵事件的唯一可行途径。这一事件尖锐地表明，勒索软件攻击中，地方政府网络安全防护的失守会如何直接转化为公共财政损失，而且往往伴随着极少的问责制和更低的透明度。

默里县勒索软件攻击事件经过

关于最初的入侵途径，相关细节尚未公开披露，这本身就是一个危险信号。已知的情况是，默里县的系统被入侵到了相当严重的程度，以至于官方认定，支付攻击者的赎金要求，比尝试自行恢复更为可取。

这笔 20 万美元的款项来自该县的储备金，这笔资金明确是为应对意外经济事件或紧急情况而设立的。动用这笔资金向犯罪组织付款，是大多数县居民在储备金积累起来时未曾预料到的结果。毕晓普专员将此次付款定性为一种解决方案，但勒索软件赎金的支付极少附带保证。攻击者提供的解密密钥可能只能部分奏效，他们无论是否收到付款都可能保留被盗数据的副本，或者一旦得知目标会付款，便再次回头攻击同一组织。

为何地方政府成为勒索软件的主要目标

默里县并非个例。全美各地的地方政府之所以持续成为勒索软件攻击的目标，正是因为他们汇集了攻击者所看重的几个特征：老化的 IT 基础设施、有限的网络安全预算、规模小或不存在的专职安全团队，以及对保持系统运行的高度运营依赖。

一个县级政府无法在接受调查取证、从备份中重建系统的同时，简单地将服务关闭数周。法院、紧急调度系统、财产记录和薪资系统都需要持续运转。这种时间压力给了攻击者极大的筹码，而他们对此心知肚明。

较小的县通常缺乏内部专业知识来及早发现入侵。等到勒索软件被部署、文件开始加密时，攻击者可能已经在网络内部潜伏了数天甚至数周，进行系统摸底和数据窃取。勒索赎金的要求只是整个漫长行动的最后一步。针对公共机构的勒索软件团伙已经相当完善地打磨了这套操作流程，正如ShinyHunters 团伙入侵 Baker Distributing 公司等案例所见，在那次有条不紊的入侵中，有 26 万条记录遭到泄露。

20 万美元赎金的支付理由，及其为何开了一个危险的先例

从短期的运营角度来看，支付赎金是可以理解的。没有解密密钥，恢复工作可能需要数月时间，需要昂贵的第三方取证，而且仍然可能导致永久性的数据丢失。对于一个 IT 人员有限、又没有签订事件响应服务合同的县来说，支付赎金确实可能是更快的选择。

但是，每一次公共机构的赎金支付都在向更广泛的犯罪生态系统传递一个信息：这类目标会付钱。这个信号会加剧一个持续的恶性循环。当机构支付赎金时，攻击者团体会将收益再投资于更精密的工具和更大规模的行动。这种不断升级的攻击性模式在整个威胁格局中都清晰可见，其中包括一些案例，攻击团伙从数据窃取转向主动破坏系统，正如关于 ShinyHunters 在赎金升级行动中篡改学校门户网站的报道所记录的那样。

这里还存在一个实际的责任缺口。由于这笔款项来自储备基金而非专门的预算项目，它绕过了本可能促使对县安全状况进行正式审查的那类监督。纳税人正在承受损失，但没有任何明确的机制能强制要求对最初导致漏洞的系统进行升级。

能够降低勒索软件风险的网络安全措施

默里县事件凸显了几个本可预防的失效点。希望在无需巨额预算的情况下减少勒索软件暴露风险的组织，有几个高影响力的方案可供选择。

网络分段可以说是最有效的结构性防御措施。如果县级系统进行了适当的分段，某个部门的一次入侵（例如，对行政工作站的一次网络钓鱼攻击）就不会自动为攻击者提供通往金融系统或备份等关键基础设施的路径。而在扁平化网络中，每台设备都可以与所有其他设备通信，这正是勒索软件团伙的理想环境。

VPN 强制访问控制增加了一个有意义的防护层，它要求对内部系统的远程访问必须通过经过认证的加密隧道。这一举措限制了管理界面和内部服务暴露在开放互联网上的机会，而攻击者经常通过这种方式在安全防护不足的政府网络中取得初步立足点。

离线或不可变备份是唯一最重要的恢复工具。如果一个县维护着勒索软件无法触及或加密的近期备份，那么攻击者手中的筹码就会急剧下降。此时，支付赎金就成为一种可选项，而非必然。

补丁管理和端点监控能够封堵漏洞，并提供在入侵升级前捕获它们所需的可视性。许多勒索软件事件涉及的都是那些漏洞利用发生前、补丁已发布了数月的已知漏洞。

这对您意味着什么

如果您居住在某个县或市镇，这件事与您直接相关。您的地方政府很可能持有包括财产记录、税务数据和法庭文件在内的敏感个人信息。对此类基础设施的勒索软件攻击，不仅会耗费储备基金中的资金，还可能暴露您的数据并中断您所依赖的服务。

对于在公共部门工作的 IT 和安全专业人员而言，默里县案例是一个具体的论据，说明应在事件迫使问题凸显之前，投资于基本的网络卫生。网络分段、访问控制以及一套完善的备份机制，其成本仅仅是 20 万美元赎金的一小部分，而且在此过程中不会资助犯罪活动。

了解勒索软件团伙如何运作以及他们如何选择目标是实际的出发点。用于攻击像 Baker Distributing 这样的组织的策略，与针对地方政府的策略遵循着相似的模式。审查这些案例可以帮助安全团队预见自身网络中暴露程度最高的地方，并相应地优先安排防御措施。

归根结底，结论很明确：默里县支付 20 万美元的赎金，是已知安全漏洞导致的一个可预见结果。同样的漏洞在全美各地的地方政府中都存在。主动解决这些问题的成本，远低于事后为此买单的代价。