2021年5月，美國最大成品油管道運(yùn)營公司遭勒索軟件攻擊停擺數(shù)日，黑客索要500萬美金；

2021年5月，美國最大保險(xiǎn)公司遭勒索軟件攻擊，黑客索要贖金 2.57 億元；

2021年5月，全球最大保險(xiǎn)公司遭勒索軟件攻擊，該勒索團(tuán)伙聲稱已經(jīng)獲得了該集團(tuán)亞洲業(yè)務(wù) 3TB 的數(shù)據(jù)；

2021年5月，愛爾蘭全國醫(yī)療系統(tǒng)遭勒索軟件攻擊，黑客索要1.29億元贖金。

自2017年WannaCry勒索病毒在全球范圍爆發(fā)，此后四年勒索病毒加速演進(jìn)，越發(fā)猖狂，根據(jù)Cybersecurity Ventures的預(yù)測，到2021年全球勒索軟件破壞成本將達(dá)到200億美元。如今，勒索病毒因危害性極強(qiáng)，已成為全球最大的網(wǎng)絡(luò)安全威脅之一，備受業(yè)內(nèi)關(guān)注。

在不斷“進(jìn)化”的過程中，勒索病毒有什么新的特點(diǎn)？

據(jù)深信服千里目安全實(shí)驗(yàn)室發(fā)布的《2020年網(wǎng)絡(luò)安全態(tài)勢洞察報(bào)告》（以下簡稱“報(bào)告”），勒索軟件犯罪團(tuán)伙逐漸專注大型機(jī)構(gòu)，采用數(shù)據(jù)泄露結(jié)合加密勒索的方式，進(jìn)行精確的攻擊行動(dòng)，持續(xù)潛伏、制造嚴(yán)重破壞，并索要大額贖金。

【特點(diǎn)1】攻擊目標(biāo)：逐步轉(zhuǎn)向?qū)φ髾C(jī)構(gòu)的精準(zhǔn)攻擊

近年來，勒索軟件犯罪組織意識(shí)到使用廣撒網(wǎng)式的戰(zhàn)術(shù)并不能為其帶來更多的投資回報(bào)，于是他們開始逐漸采用復(fù)雜性和針對(duì)性都比較強(qiáng)的交付技術(shù)和機(jī)制，并瞄準(zhǔn)高端市場及更大的公司針對(duì)性發(fā)起大型“狩獵”活動(dòng)，要求的贖金也大大增加。根據(jù)Coveware的數(shù)據(jù)顯示，與2019年相比，2020年第三季度的贖金要求同比增加約5倍。

勒索軟件犯罪組織的攻擊目標(biāo)從個(gè)人用戶轉(zhuǎn)向了大型企業(yè)用戶、政府單位、醫(yī)療行業(yè)以及公共機(jī)構(gòu)等，不是因?yàn)檫@些部門和機(jī)構(gòu)沒有安全防護(hù)，而是因?yàn)樗麄冊(cè)谌粘＿\(yùn)營中非常依賴于關(guān)鍵業(yè)務(wù)數(shù)據(jù)，一旦業(yè)務(wù)受到影響，造成的損失不可估量，由此增加了受害者支付贖金的概率。

【特點(diǎn)你2】運(yùn)作模式：逐漸形成規(guī)?；⒏叨葘I(yè)化的商業(yè)運(yùn)作模式

如今，勒索病毒攻擊已經(jīng)從個(gè)人行為演變至團(tuán)隊(duì)產(chǎn)業(yè)，從病毒制作，到入侵攻擊，再到解密溝通，都有不同的人負(fù)責(zé)運(yùn)營，即分布式團(tuán)伙作案，每個(gè)人各司其職，高效運(yùn)作，勒索病毒的產(chǎn)業(yè)運(yùn)作模式可概括如下：

隨著勒索病毒攻擊發(fā)起者逐步向規(guī)模化、高度專業(yè)化轉(zhuǎn)變，在針對(duì)一些高價(jià)值目標(biāo)（大型企業(yè)用戶、政府單位、醫(yī)療行業(yè)以及公共機(jī)構(gòu)等）的攻擊中，攻擊者不再“淺嘗輒止”，在發(fā)起勒索攻擊之前，已經(jīng)控制目標(biāo)網(wǎng)絡(luò)相當(dāng)長一段時(shí)間，并通過橫向滲透不斷擴(kuò)展攻擊范圍和竊取更多數(shù)據(jù)，直到掌握足夠設(shè)備和數(shù)據(jù)之后，才會(huì)發(fā)起最后的攻擊，這也讓受害者的損失更加慘重。

從2020年的勒索軟件家族來看，活躍家族TOP5分別為Crysis、GlobeImposter、Sodinokibi、Phobos和Cerber，他們的大部分攻擊主要是利用RDP爆破、釣魚郵件作為攻擊入口。從2020年深信服處理的勒索應(yīng)急事件來看，將近70%的勒索軟件攻擊是由Crysis、GlobeImposter、Sodinokibi和Phobos這四種常見的勒索軟件變種進(jìn)行的。除此之外，還有幾種新的RaaS變體，例如VegaLocker、MedusaLocker等，這些新進(jìn)入者以較低的前期成本和技術(shù)知識(shí)門檻吸引了網(wǎng)絡(luò)犯罪初學(xué)者。

【特點(diǎn)3】攻擊手段：對(duì)數(shù)據(jù)進(jìn)行加密和竊取，“雙重勒索”模式成趨勢

根據(jù)《報(bào)告》顯示，為避免勒索失敗，勒索病毒團(tuán)伙還采取了新的勒索策略：對(duì)數(shù)據(jù)進(jìn)行加密和竊取雙重攻擊。在對(duì)受害者的數(shù)據(jù)庫進(jìn)行加密之前，攻擊者會(huì)提取大量敏感的商業(yè)信息，并威脅不支付贖金就發(fā)布這些信息，使得機(jī)構(gòu)不僅要面臨破壞性的數(shù)據(jù)泄露，還有相關(guān)的法規(guī)、財(cái)務(wù)和聲譽(yù)影響。面對(duì)這種以泄露數(shù)據(jù)為手段的勒索攻擊，就算機(jī)構(gòu)有數(shù)據(jù)備份，為了避免數(shù)據(jù)泄露帶來的負(fù)面影響，只能被迫選擇支付贖金。

比如在全球最大的保險(xiǎn)集團(tuán)設(shè)在泰國，馬來西亞、香港和菲律賓的分支機(jī)構(gòu)遭到了勒索軟件網(wǎng)絡(luò)攻擊的事件中，Avaddon 勒索軟件組織在其泄漏網(wǎng)站上聲稱，他們從安盛的亞洲業(yè)務(wù)中竊取了包括客戶醫(yī)療報(bào)告、身份證復(fù)印件、付款記錄等敏感信息在內(nèi)的3TB敏感數(shù)據(jù)。根據(jù)BleepingComputer報(bào)道，Avaddon于5月15日開始在其泄漏站點(diǎn)上公布了安盛一些被竊取的數(shù)據(jù)， 并威脅安盛，如果十天之內(nèi)安盛不予他們進(jìn)行溝通和合作，他們將泄露安盛的重要文件。

對(duì)數(shù)據(jù)進(jìn)行加密和竊取的雙重攻擊或?qū)⒊蔀槔账鞑《救蘸蟀l(fā)展的大趨勢，此外，根據(jù)Anchain.ai提供的數(shù)據(jù)，2020年三大勒索軟件組織的贖金賬戶平均資金駐留時(shí)間縮短了近十倍，同時(shí)隨著勒索軟件攻擊的復(fù)雜性不斷增長，勒索軟件的事件響應(yīng)和溯源難度急劇增加。

為何勒索病毒能越演越烈，如野草般肆虐全球？

據(jù)深信服千里目安全實(shí)驗(yàn)室發(fā)布的《2020年勒索病毒年度報(bào)告》，制作成本低、犯罪成本低以及攻擊方式簡單，是勒索病毒盛行的主要因素。

【原因1】制作成本持續(xù)降低，代碼在暗網(wǎng)公開售賣

隨著勒索病毒技術(shù)細(xì)節(jié)的公開，部分勒索軟件代碼被放在暗網(wǎng)上售賣，勒索病毒的制作成本持續(xù)降低。2012年，國外安全廠商確認(rèn)了大約16種不同的勒索軟件家族，這些家族在被不同的犯罪團(tuán)伙使用。但是所有勒索病毒程序都可以追溯到同一個(gè)人，該人顯然是全職的勒索病毒程序創(chuàng)造者，根據(jù)要求為犯罪團(tuán)伙編寫勒索軟件。

【原因2】犯罪成本低，不易被追蹤

作為一種犯罪活動(dòng)，傳播勒索病毒是低風(fēng)險(xiǎn)的。勒索病毒運(yùn)營團(tuán)伙利用了本已繁榮的比特幣轉(zhuǎn)移服務(wù)和惡意軟件即服務(wù)運(yùn)營商的市場，借助數(shù)字貨幣和暗網(wǎng)的特性，可以讓攻擊者直接獲得付款而不被警方追蹤，有時(shí)犯罪分子甚至居住在一些不與國際社會(huì)合作的國家和地區(qū)。

【原因3】攻擊方式簡單，技術(shù)能力要求較低

勒索病毒的感染方式具有多樣性，可通過暴力破解、魚叉郵件、漏洞利用、僵尸網(wǎng)絡(luò)等方式進(jìn)行攻擊。其中應(yīng)用最為廣泛的是RDP暴力破解，攻擊者登錄成功后利用黑客工具卸載安全軟件，內(nèi)網(wǎng)橫向擴(kuò)散，然后投放運(yùn)行勒索病毒進(jìn)行加密，每個(gè)步驟都有專業(yè)的黑客工具輔助完成，對(duì)技術(shù)能力要求較低。

面對(duì)勒索病毒的威脅，用戶又將如何預(yù)防？

從2017年WannaCry勒索病毒在全球范圍爆發(fā)至今，勒索病毒的攻擊形式隨著技術(shù)發(fā)展不斷變化，為了獲取高額贖金，勒索病毒犯罪團(tuán)伙將攻擊目標(biāo)從個(gè)人用戶轉(zhuǎn)向了大型企業(yè)用戶、政府單位、醫(yī)療行業(yè)以及公共機(jī)構(gòu)等，在對(duì)數(shù)據(jù)進(jìn)行加密和竊取的“雙重勒索”模式下，受害者被推向不得不向罪犯低頭的處境。

由于目前大部分勒索病毒加密后的文件都無法解密，因此，勒索病毒以防為主，用戶可通過以下措施進(jìn)行日常防范：

1、及時(shí)給系統(tǒng)和應(yīng)用打補(bǔ)丁，修復(fù)常見高危漏洞；

2、對(duì)重要的數(shù)據(jù)文件定期進(jìn)行非本地備份；

3、不要點(diǎn)擊來源不明的郵件附件，不從不明網(wǎng)站下載軟件；

4、盡量關(guān)閉不必要的文件共享權(quán)限；

5、更改主機(jī)賬戶和數(shù)據(jù)庫密碼，設(shè)置強(qiáng)密碼，避免使用統(tǒng)一的密碼，因?yàn)榻y(tǒng)一的密碼會(huì)導(dǎo)致一臺(tái)被攻破，多臺(tái)遭殃；

6、如果業(yè)務(wù)上無需使用RDP的，建議關(guān)閉RDP功能，并盡量不要對(duì)外網(wǎng)映射RDP端口和數(shù)據(jù)庫端口。

此外，深信服基于近1000個(gè)用戶的最佳實(shí)踐總結(jié)出勒索病毒的防護(hù)思路：在云網(wǎng)端的多層架構(gòu)下，針對(duì)勒索病毒在突破邊界、病毒投放、加密勒索、橫向傳播等各個(gè)環(huán)節(jié)，實(shí)現(xiàn)實(shí)時(shí)攔截、快速查殺、多重監(jiān)測和有效處置，為客戶提供全方位的勒索防護(hù)能力。

完整報(bào)告可前往深信服官網(wǎng)首頁下載