​头号威胁：勒索软件上演“开挂”模式

勒索软件（ransomware）是一种恶意软件，通过骚扰、恐吓甚至采用绑架用户文件等方式，使用户数据资产或计算资源无法正常使用，并以此为条件向用户勒索钱财。 新冠疫情的发生加速了数字化时代的到来，使企业、机构等各种业务运营模式发生了重大改变，同时也带来了更多的安全风险，这也无疑成为导致勒索软件攻击显著增加的重要因素。

勒索软件成“头号”威胁

据 IBMX-Force 报告显示，近三年来，勒索软件一直占据主要攻击类型的榜首， 2021 年也不例外，在X-Force 事件响应团队修复的攻击中有 21% 是勒索软件攻击。 2021 年，亚洲首次成为攻击的重灾区，在 X-Force 所观察到的攻击总量中占到了 26%。欧洲和北美紧随其后，分别占攻击总量的 24% 和 23%，而中东和非洲与拉丁美洲所占比重则分别为 14% 和 13%，勒索软件成为全球面临的最主要的攻击类型，而制造、金融和保险等行业成为近年来勒索软件的的重点攻击对象。 另外，由美国、澳大利亚及英国网络安全当局撰写的联合网络安全咨询报告显示，全球范围内以关键基础设施相关组织为目标的高复杂度、高影响力勒索软件攻击正在持续增加。 据美国联邦调查局（FBI）、网络安全与基础设施安全局（CISA）与国家安全局（NSA）观察显示，全美16个关键基础设施部门中有14个曾经遭遇勒索软件事件，涵盖国防工业基地、紧急服务、食品与农业、政府设施与信息技术等多个部门。 澳大利亚网络安全中心（ACSC）也观察到，勒索软件正持续将矛头指向澳大利亚的医疗保健、金融服务与市场、高等教育与研究、能源部门等各关键基础设施实体。 英国国家网络安全中心（NCSC）也将勒索软件视为英国面临的最大网络威胁，并表示地方各级政府及卫生部门内各企业、教育领域、慈善机构、法律界乃至公共服务机构都成为勒索软件攻击者的目标。

勒索软件攻击策略持续升级

相比于传统的线下勒索，勒索软件攻击更具隐蔽性和便捷性，攻击者更容易逃避制裁，而受害者却苦不堪言。攻击者为了索取赎金一般会采用加密数据勒索、锁定系统勒索、威胁恐吓勒索、数据泄漏勒索等手段。 从普通勒索到“双重勒索”，勒索软件一直在不断地寻求更具创新性的商业模式，变得愈加猖獗。2021年，勒索软件攻击已经随着运营模式升级到了“三重勒索”，受影响的范围也越来越大。在“三重勒索”的攻击中，攻击者不仅加密并窃取数据，还威胁会对受影响的组织发起分布式拒绝服务 (DDoS) 攻击。这种攻击会使受害者的网络同时被两种恶意攻击所劫持，而数据失窃会进一步加重其受害程度。 与此同时，随着全球数字化进程的不断推进，数据价值的越发凸显，对数据强行加密的勒索手段成为最常用且有效的攻击方式。 据赛迪研究院网络安全研究所研究分析显示，全球数据勒索攻击呈现了一些新特点：攻击目的由单纯经济牟利转向实施数据破坏、窃取战略机密、谋取政治诉求等多重企图，勒索意图愈加复杂化；攻击对象由无差别的个人设备转向政府及公共部门、大型企业等具有关键信息基础设施属性的定向机构，且勒索策略日趋精准化；攻击主体由个人或单个黑客团伙攻击转向层级分明、分工明确的黑色产业活动，勒索行为日益专业化；攻击模式由单一加密勒索转向多重勒索获利，勒索手段趋于多样化。

勒索软件攻击事件回顾

近几年勒索软件的猖獗已是有目共睹，尤其在2021年达到爆发高峰。据《2021年度勒索病毒态势报告》显示，2021年全网勒索攻击总次数超过2234万次，影响面从企业业务到关键基础设施，从业务数据安全到国家安全与社会稳定。 接下来回顾一下2021年和2022上半年的重要勒索软件攻击事件：

2021年1月14日，泛亚大型零售连锁运营商牛奶集团（Dairy Farm Group）受到REvil勒索软件攻击，被勒索高达3000万美元的赎金。 2021年1月15日，苏格兰环境保护局（SEPA）披露，该机构在平安夜受到勒索软件Conti攻击，造成严重网络中断，勒索团伙还窃取了1.2GB的数据。 2021年1月，据路透社报道，美国知名IT公司SolarWinds旗下的Orion网络监控软件更新服务器遭黑客入侵并植入恶意代码，本次供应链攻击事件，波及范围极广，包括政府部门，关键基础设施以及多家全球500强企业。 2021年2月13日，UL LLC遭受了勒索软件攻击，该攻击对其服务器进行了加密，并导致服务器在恢复时关闭了系统。 2021年3月20日，电脑巨头宏碁(acer)遭遇REvil勒索软件攻击，攻击者向其索要5000万美元的赎金，折合人民币3.25亿元。 2021年3月20日，加拿大的物联网（IoT）解决方案供应商Sierra Wireless的内部IT系统遭到勒索软件攻击，不仅造成内部运行受损，官网曾一度呈停摆状态，也暂时关闭了该公司所有的生产基地。 2021年3月21日，美国最大的保险公司之一CNA 金融公司（CNA Financial Corporation）遭到了一起复杂的网络安全攻击，导致网络中断，并影响了CNA的某些系统，被黑客勒索了4000万美元。 2021年3月30日，Applus Technologies的车辆排放测试平台遭受了恶意软件攻击，导致IT系统被断开。 2021年4月，苹果笔记本代工厂广达遭勒索软件REvil攻击，黑客索要5000万美元天价赎金，并警告称，如果广达电脑不支付赎金，“所有Apple设备的图纸以及其员工和客户的所有个人数据将被发布”。 2021年5月7日，美国最大的成品油管道运营商Colonial Pipeline受到勒索软件攻击，黑客通过非法软件控制其电脑系统或数据，Colonial Pipeline被迫关闭其位于美国东部沿海各州供油的关键燃油网络。 2021年5月31日，全球最大的肉类供应商JBS向外界表示，公司服务器遭到黑客有组织的攻击，受影响的系统包括美国分部和澳大利亚分部，部分工厂暂停作业，JBS最终妥协向黑客支付了1100万美金。 2021年6月，REvil 勒索软件团伙攻击了基于 Kaseya 云的 MSP platfor 软件供应商 Kaseya，并宣称约 60家 Kaseya 客户和 1500 家企业受到了勒索软件攻击的影响。 2021年8月，西经济部发表声明称，其国库内部网络在8月13日遭遇勒索软件攻击，巴西国库秘书处已立即采取遏制措施，并召集联邦警察协助调查。 2021年7月2日，Kaseya遭受了勒索软件组织REvil的供应链攻击。Kaseya表示，它“知道受攻击影响的客户不足60家”，但影响范围涉及“1500家下游企业”。 2021年8月，全球咨询公司埃森哲遭受了勒索软件攻击，部分客户系统遭到破坏，部分私密的公司数据被窃取和泄露。 2021年10月，辛克莱广播集团遭受了勒索软件攻击和数据泄露，这次攻击对“某些办公室和运营网络”造成了破坏，辛克莱的一些广播网络业务中断。 2021年11月，加密货币交易平台BTC-Alpha受到勒索软件攻击，关闭了BTC-Alpha的网站及其应用程序，该应用程序在11月20日之前一直处于停用状态。 2021年11月7日至11月8日期间，电子零售巨头MediaMarkt遭到勒索软件攻击，其服务器及工作站等设备数据被加密，最终公司只能关闭IT系统以阻止事态蔓延，此次攻击影响了整个欧洲的众多零售店。 2022年1月5日，新墨西哥州最大的县发现自己已沦为勒索软件攻击的受害者，多个公共事业部门和政府办公室系统下线。 2022年2月至3月期间，三家丰田供应商遭到黑客攻击。当丰田供应商Kojima Industries遭到网络攻击时，这家巨头不得不停止其14家日本工厂的运营，据悉此次黑客攻击导致该公司每月的生产能力下降了5%。 2022年2月底，全球知名的半导体芯片公司英伟达被爆遭到勒索软件攻击，攻击者在线泄露了员工凭据和私密信息，勒索软件组织Lapsus$声称对此次攻击负责，并表示他们可以访问1TB的企业数据。 2022年4月中旬起，Conti组织对哥斯达黎加进行了两波重大的勒索软件攻击，使该国多项基本服务陷入瘫痪，政府陷入混乱，无法做出有效响应。

推进勒索软件攻击治理

针对数据的勒索攻击已成为全球网络攻击的主角，给多国造成了机密数据泄露、社会系统瘫痪等重大危害，严重威胁了国家安全。据赛迪研究院网络安全研究所研究显示，各国已纷纷从立法层面推进勒索攻击治理，并重点关注以下四个方面的制度建设：一是建立强制性勒索攻击事件报告机制；二是规范勒索赎金支付，防止缴纳大额勒索赎金引发的重复攻击；三是赋予执法人员“数据中断”权利，以帮助勒索攻击受害者在不支付赎金的情况下防止潜在的数据泄露风险；四是对勒索攻击者实施更严厉的惩罚，增强勒索犯罪活动威慑力。 美国网络安全和基础设施安全局（CISA）发布的《保护敏感信息和个人信息免受勒索软件导致的数据泄露》指出，为防止成为勒索软件攻击的受害者，企业应采取如下步骤：解决面向互联网的漏洞和错误配置，减少攻击者利用这一攻击面的可能性；制定、维护和行使基本的网络事件响应计划、弹性战略和相关的通信计划；保持数据的离线、加密副本，并定期验证备份；减少收到网络钓鱼邮件的可能性；坚持正确的网络健康准则。 另外，我国国家互联网应急中心（CNCERT）于2021年7月发布的《勒索软件防范指南》提出，防范勒索软件要做到“九要”和“四不要”。 “九要”： 1.要做好资产梳理与分级分类管理； 2.要备份重要数据和系统； 3.要设置复杂密码并保密； 4.要定期安全风险评估； 5.要常杀毒、关端口； 6.要做好身份验证和权限管理； 7.要严格访问控制策略； 8.要提高人员安全意识； 9.要制定应急响应预案。 “四不要”： 1.不要点击来源不明邮件； 2.不要打开来源不可靠网站； 3.不要安装来源不明软件； 4.不要插拔来历不明的存储介质。 《指南》还强调，当机器感染勒索软件后，不要惊慌，可立即开展隔离网络、分类处置、及时报告、排查加固、专业恢复等应急工作，降低勒索软件产生的危害。 随着技术的发展以及未来的不可预见性，安全守护者与勒索软件的较量终究是一场持久战…​