國內外最新研究數據顯示，近期針對企業(yè)和組織的勒索攻擊正在不斷上升。安全研究人員和安全廠商對勒索軟件的長期分析和研究、以及安全軟件/網關設備對勒索軟件攔截率的提升，導致無差別惡意勒索的利潤持續(xù)走低，也倒逼攻擊者進行了技戰(zhàn)法和攻擊思路的調整。包括弱化無差別的攻擊&勒索，轉向持續(xù)的、復雜的技術投入，挑選擁有重要數據和高支付能力的組織和企業(yè)進行攻擊，通過較高的支付成功率達成高額贖金的獲取。

[[421712]]

本篇旨在之前分析報告的基礎上，進一步結合2021年上半年勒索攻擊全球活動趨勢，以及攻擊手段輸出ATT&CK技術戰(zhàn)法分析，并統(tǒng)計上半年“針對性”勒索事件影響的行業(yè)變化趨勢。具體報告如下。

1. 2021上半年針對性勒索攻擊事件參考

2021年上半年，針對性勒索攻擊事件頻發(fā)，受害者中不乏一些全球知名的廠商和機構。上半年已公開的攻擊事件數量就達到1200起左右，僅半年就接近了2020全年約1400起公開勒索攻擊事件。勒索攻擊不僅會對受害者造成經濟上的損失和數據的破壞/泄露，還可能造成嚴重的社會負面影響，如：

• 2月，制作了知名游戲《巫師3》和《賽博朋克2077》的游戲廠商CD Projekt Red遭勒索攻擊未支付贖金后，攻擊者公然在暗網中拍賣源碼數據。
• 2月，韓國汽車廠商起亞和現代位于美國的公司被攻擊，該攻擊導致公司IT中斷，影響了汽車銷售，車主用來操作車輛的應用程序被迫離線無法使用，攻擊者索要2000萬美元的贖金。
• 3月20日，全球知名PC制造商宏碁遭受REvil勒索組織攻擊，勒索贖金高達5000萬美元。
• 4月27日，美國華盛頓大都會警局遭受Babuk勒索組織攻擊，泄露大量敏感的身份信息。
• 5月7日，美國 Colonial Pipeline 公司遭到DarkSide勒索組織攻擊，導致其業(yè)務受到嚴重影響，17個州進入緊急狀態(tài)。
• 5月中旬，全球最大的保險公司之一安盛(AXA)集團位于亞洲的分支機構遭到了勒索軟件攻擊，有3TB的敏感數據被竊取，并且攻擊者還對安盛的全球網站進行了DDoS攻擊，導致一段時間內無法訪問。
• 5月31日，全球最大肉類加工廠JBS遭受REvil勒索組織攻擊，支付贖金達到1100萬美元。
• 6月3日，馬薩諸塞州最大的渡輪服務公司遭受勒索軟件攻擊，導致售票和預訂系統(tǒng)中斷。
• 7月2日，Kaseya公司被REvil勒索組織攻擊，攻擊者利用0day漏洞入侵的服務器發(fā)動供應鏈攻擊，推送攜帶勒索軟件惡意更新，受影響的公司高達上千家，勒索贖金規(guī)模高達7000萬美元。

2. 2021上半年活躍勒索組織

為了對這些有著復雜網絡環(huán)境的企業(yè)和組織進行針對性的勒索攻擊活動，攻擊者在目標的選擇上必然更加精準，入侵技術和手段也必然更加復雜。為了提高高額贖金的支付成功率，向受害者采取的施壓手段也需要多樣化。這樣復雜的攻擊活動，個別攻擊者很難實施，所以大都是團伙作案。部分攻擊者在網上招募攻擊團隊，或是向其他攻擊者購買網絡訪問權限來實施攻擊。

勒索攻擊甚至衍生出了RaaS(Ransomeware as a Service，勒索軟件即服務)這樣的“商業(yè)模式”，他們將勒索軟件相關技術打包成服務進行銷售，讓沒有相關技術和知識的人，也能參與到這樣“大型”的犯罪活動中來。

針對性勒索攻擊發(fā)展迅速，模式也越發(fā)成熟，受勒索攻擊的企業(yè)和組織數量也持續(xù)上升。通過對2021年上半年約40個勒索組織關聯(lián)的1200起左右的公開攻擊事件進行統(tǒng)計，發(fā)現Conti、Avaddon、REvil和DarkSide勒索組織占據了超過幾乎一半的“市場份額”。

不過，Avaddon和DarkSide受到執(zhí)法機構的打擊等事件影響，目前已經停止了運營，REvil的基礎設施和網站在7月初也開始無法訪問。此外，上半年活躍的勒索攻擊組織中也不乏一些新晉組織的身影，如2021年初才出現的Babuk組織，僅僅半年時間就完成了從誕生到壯大的過程，在很短的時間內就攻擊了數十個目標。

其中在2021年上半年較為活躍的勒索組織情況如下：

(1) Clop

Clop使用的勒索軟件大約在2019年的2月份首次被觀測到，屬于 CryptoMix 勒索軟件的新變種，并使用clop相關后綴加密文件來勒索目標。

Clop勒索軟件背后的攻擊者宣稱，他們的目標是企業(yè)而不是終端用戶。 2020年3月，Clop勒索軟件團伙首次在暗網中啟用了一個泄露站點，用于發(fā)布受害者信息以便實施雙重勒索攻擊。站點發(fā)布一年多來，勒索團伙一直活躍，泄露站點當中的受害者數量不斷增加。

2020年，該團伙入侵了德國第二大技術公司Software AG，勒索逾 2000 萬美元，創(chuàng)造了2020年前最高贖金記錄，進而被廣泛關注;除此之外，2020年內，該組織長期潛伏，竊取了韓國E-Land Retail公司服務器上存儲的200萬用戶信用卡數據，造成了嚴重的數據泄露。

進入2021年后，Clop勒索組織變得愈加活躍起來，一舉成為最活躍的勒索組織之一。今年2月開始，與Clop相關的威脅組織利用Accellion FTA(File Transfer Appliance，文件傳輸應用)漏洞(CVE-2021-27101等)展開攻擊，成功入侵目標用戶后竊取了數據并勒索受害目標，涵蓋了許多重要行業(yè)。

(2) DarkSide

DarkSide出現于2020年8月，其前身可能是"REvil"。該組織初期采用傳統(tǒng)的勒索模式，后續(xù)逐漸發(fā)展為RaaS模式。

該組織在攻擊前會精心挑選目標，選擇有能力支付贖金的目標下手，針對性制定攻擊載荷，其官網聲明了不攻擊醫(yī)院、臨終安養(yǎng)院、葬禮服務公司、學校、非營利組織和政府機構等。勒索軟件執(zhí)行時會避開獨聯(lián)體國家。該組織的入侵方式有：漏洞利用、購買RDP憑證、電子郵件和網站釣魚攻擊。

DarkSide組織試圖將自身打造為一個專業(yè)公司形象：在官網發(fā)布聲明、接受記者采訪、公開更新內容以吸引更多的合作伙伴等。在2021年4月推出的2.0功能更新中聲明加密速度快，加解密流程自動化程度更高，還會提供DDoS功能，這無疑為自己在勒索領域爭取了更多的“市場份額”。

截至2021年5月，僅僅9個月的時間，DarkSide通過勒索已經獲取超過9000萬美元的比特幣，在其多重手段的威脅下，約47%的受害者支付了贖金。

(3) REvil/Sodinokibi

REvil(又稱Sodinokibi)勒索組織首次出現于2019年4月，一直活躍至今，是犯案數量最多的勒索組織之一。其被認為是曾經最臭名昭著的勒索組織GandCrab的“接班人”，而GandCrab于2019年6月解散。

REvil采用成熟的RaaS運營模式，積極招募合作伙伴來分發(fā)勒索軟件，其要求合作伙伴母語必須為俄語，且有一定的網絡入侵經驗。該組織常見的入侵手段有漏洞利用、釣魚攻擊、RDP暴力破解，供應鏈攻擊等。REvil通常以全球范圍內大中型企業(yè)作為勒索目標，避開獨聯(lián)體國家，基于目標年收入來制定贖金。曾宣稱其2020年勒索收入超1億美元。

2020年1月，REvil開始采用雙重勒索策略，將竊取的數據公開在其名為“The Happy Blog”的暗網數據泄露站點上。2021年3月，REvil為其附屬機構提供了一項新服務：發(fā)動DDoS攻擊，向新聞媒體和受害者的商業(yè)伙伴透露相關消息，借此向受害者施壓。

(4) Babuk

Babuk是一個2021年1月初才被首次發(fā)現的新興組織，該組織會為每一個受害者更新勒索軟件、定制勒索信和提供用于談判的Tor鏈接。

在活動初期，該組織無論是在惡意軟件的編碼上，還是勒索贖金的行為上都顯得不夠專業(yè)。有安全人員指出在最初的勒索軟件中存在一定的缺陷，勒索軟件作者注意到了這篇分析文章，并根據建議對編碼進行了修改。Babuk勒索贖金初始為6到8萬美金，遠遠低于勒索軟件在同期勒索贖金的平均水平。這些情況表明Babuk很可能是初入勒索攻擊領域，而不是其他“消失”的勒索組織的繼任者。

針對最初幾個未交付贖金的受害者，Babuk僅通過論壇泄露數據，不過他們很快構建了自己的數據泄露站點。4月底，Babuk宣布他們將放棄加密勒索業(yè)務，轉而完全投向數據竊取的勒索模式， 數據泄露站點內Babuk也重組更名為Payload Bin，不過目前來看他們純粹的數據竊取勒索進展并不順利。

(5) Avaddon

Avaddon組織于2020年6月初首次出現在某國外黑客論壇上，開始為其RaaS運營計劃招募合作伙伴。其勒索目標非常廣泛，沒有行業(yè)限制，根據目標的年收入來制定贖金金額。

2020年8月，Avaddon建立了自己的暗網數據泄露站點，用于公開竊取的數據。2021年1月，開始使用DDoS攻擊方式給受害者施壓。

2021年6月11日，Avaddon宣布關閉運營，并將所有2934個受害者的解密密鑰發(fā)送給研究人員制作出了免費解密器。在短短的一年時間里，Avaddon頻頻發(fā)起勒索攻擊，成為最活躍的勒索組織之一。

Avaddon常用入侵手段包括僵尸網絡分發(fā)、釣魚郵件、RDP暴力破解、漏洞利用等。其首次攻擊活動就與Phorphiex僵尸網絡進行合作，針對全球用戶，短時間內分發(fā)了大量帶有Avaddon勒索軟件的惡意垃圾郵件。

(6) DoppelPaymer

DoppelPaymer組織出現于2019年6月，也拼作DopplePaymer，由BitPaymer發(fā)展而來。該組織的入侵方式有：搜索引擎廣告投放虛假軟件攻擊、釣魚郵件攻擊、RDP訪問。

2020年2月DoppelPaymer建立“Dopple Leaks”站點，用于發(fā)布在勒索活動中竊取的文件，給受害者施加壓力。其策略是先公布小部分竊取文件證明自己進行了攻擊，如果受害者拒絕支付贖金，則將所有竊取文件公布。

作為一個出現較早的勒索組織，DoppelPaymer至今仍然活躍。在出現新的勒索方式時，該組織也及時跟進，以提高攻擊的成功率和受害者支付贖金的意愿。另外，該組織創(chuàng)新性地采用社交軟件曝光受害者的行為，讓受害者承受了更大的壓力。DoppelPaymer組織的攻擊活動一方面會對公司企業(yè)造成經濟損失和嚴重的數據泄露，另一方面還會影響社會活動的正常展開，嚴重時甚至會威脅人身安全。

(7) Conti

Conti勒索組織首次出現于2020年5月，在2021年眾多勒索組織中，是最活躍也最無情的，在出現的一年多時間內，多次攻擊醫(yī)院和緊急醫(yī)療服務，嚴重威脅公眾生命安全。在5月中旬針對愛爾蘭醫(yī)療保健系統(tǒng)的攻擊導致受害者IT網絡關閉，許多重要醫(yī)療系統(tǒng)無法訪問。

Conti是利用RaaS模式展開攻擊活動的網絡勒索犯罪組織之一，他們會從其他攻擊者那里購買網絡的訪問權限，也會從其他的RaaS運營商購買一些基礎設施和攻擊工具等。該勒索組織采用雙重勒索策略，不僅會加密用戶文件，還會威脅不支付贖金的受害者將竊取的敏感文件公之于眾。

(8) Pysa

Pysa是Mespinoza的變種，Mespinoza于2019年10月首次被發(fā)現。最初Mespinoza使用.locked擴展名附加到加密文件中，2019年12月開始轉向使用.pysa的擴展名， 因此得名，Pysa代表“Protect Your System Amigo”。

該勒索軟件是為數不多同時針對Windows和Linux的勒索軟件之一。自發(fā)布以來，它的開發(fā)人員已多次重寫惡意軟件，包括.NET、C++和Python版本，不過這些版本的勒索軟件中一直存在一些缺陷，可能會在解密過程中損壞數據，因此在使用攻擊者提供的解密器時存在發(fā)生數據損壞的重大風險。

Pysa背后的RaaS運營商主要針對擁有高價值數據資產的大型組織，初始入侵手段主要包括RDP暴力破解、釣魚郵件。今年3月，Pysa開始大規(guī)模的針對教育、醫(yī)療等行業(yè)進行攻擊，造成了十分嚴重的負面影響。

3. 受害目標行業(yè)分布統(tǒng)計

這些活躍的勒索組織在目標選擇上十分廣泛，不過，勒索組織攻擊活動也受到利潤的驅動，需要估算投入的成本與預期的收入，同時作為犯罪活動，也需要考慮一些風險因素，所以這些勒索組織在目標的選擇上也不缺乏針對性。

對2021年上半年中勒索組織進行針對性攻擊的已公開受害目標行業(yè)進行統(tǒng)計，結果如下：

發(fā)現：

(1) 專業(yè)和法律服務、制造業(yè)受到勒索攻擊持續(xù)走高：

專業(yè)和法律服務和制造業(yè)在2021年上半年受到攻擊整體比例較高，究其原因，是這兩個行業(yè)的實體數量在所有行業(yè)當中的占比較高，暴露給勒索組織的攻擊面較廣;

另外，很多專業(yè)服務公司的規(guī)模很小，缺乏專門的IT服務人員，網絡結構趨于扁平化，數據備份等安全防護工作并不到位，進一步提高了針對專業(yè)和法律服務行業(yè)的勒索攻擊成功率。

(2) 醫(yī)療健康，政府機構受攻擊情況有所好轉：

2021年，部分勒索組織攻擊相關事件的社會影響極其惡劣，例如DarkSide勒索組織攻擊導致美國油氣管道公司重要業(yè)務停擺，嚴重影響社會正常運作;Conti勒索組織攻擊愛爾蘭衛(wèi)生服務計算機系統(tǒng)，對衛(wèi)生和社會護理服務產生嚴重影響。

在2020年，甚至有勒索軟件攻擊間接導致病人死亡的事件，公眾也對勒索組織深惡痛絕。

這些犯罪行為導致多個勒索組織遭受執(zhí)法機構高度關注、警告和打擊，為了避免由此而帶來的風險，DarkSide和Avaddon組織甚至停止運營。

另外一些組織受這些事件影響，聲明表示不再攻擊醫(yī)院、公益組織、政府機構等，一方面是為了減少執(zhí)法部門的注意，避免受高度關注而遭受打擊，另一方面可能是為了降低因攻擊緊急醫(yī)療服務等重要民生行業(yè)而導致公眾的高度厭惡。

其中，Babuk勒索組織就聲明不會攻擊醫(yī)院、非盈利性組織、學校和小企業(yè);REvil也因為DarkSide攻擊美油氣管道公司而造成嚴重后果的事件，宣布會嚴格審查其附屬機構的攻擊目標。

相比于行業(yè)，勒索攻擊組織也注重目標的規(guī)模，這意味一些擁有大型網絡的企業(yè)面臨著較高的被攻擊的風險。

4. 勒索技術手段趨勢分析

在針對目標進行攻擊手法上，今年上半年RDP弱口令、釣魚和漏洞利用仍是勒索軟件的主要入侵手段。特別是從去年開始，由于新冠持續(xù)流行，遠程辦公需求大幅度增加，勒索軟件攻擊者通過脆弱的VPN憑據進入企業(yè)內部網絡的風險也大大增加。

各種未修補的漏洞和0day漏洞也是企業(yè)網被突破的罪魁禍首。Babuk勒索組織今年就在論壇上公然收購VPN 0day漏洞，意圖借此入侵更多數量的受害者。值得注意的是，多個新披露的漏洞被勒索攻擊者加入武器庫，相當數量的受害者受此影響：

• Accellion FTA漏洞被Clop組織利用，入侵了數十名受害者的服務器，竊取了大量的文件數據進行勒索， Clop也因此一躍成為最活躍的勒索組織之一。
• QLocker勒索軟件僅僅利用未修復漏洞的QNAP NAS(Network Attached Storage，網絡附屬存儲)設備，一個月時間勒索贖金就達到35萬美元，受害者數量達到數百名。
• 微軟 Exchange Proxylogon漏洞(CVE-2021-26855等)自披露以來，被多個惡意加密軟件利用，發(fā)動勒索攻擊。

為使更多的用戶感染勒索軟件，攻擊者在傳播手段上也煞費苦心。REvil首創(chuàng)了一個“巧妙”的攻擊方式，通過SEO(Search Engine Optimization，搜索引擎優(yōu)化)提升惡意鏈接訪問量。SEO借助搜索引擎的運行規(guī)則來調整網站，以提高網站在搜索引擎結果上的排序。

至少自2020年底開始，REvil勒索組織就通過向多個被入侵的WordPress網站注入數百頁虛假內容來濫用這些網站，提升惡意鏈接在Google搜索引擎上的排名，一旦受害者訪問了該網站，便會被誘導下載Gootloader加載器，用于加載其他惡意程序，包括REvil勒索軟件、Gootkit銀行木馬和Cobalt Strike入侵工具。

當然，部分勒索組織也會招募專業(yè)的“暗網”黑客或向其他攻擊者購買基礎設施、工具等來侵入目標網絡，甚至直接購買網絡訪問權限，根據已經跟蹤的勒索組織入侵技術點結合ATT&CK模型進行總結，勒索組織入侵各個階段最常用的技術手段如下表：

攻擊者在目標網絡潛伏的最終目的是竊取目標關鍵數據和加密重要文件，掌握足夠籌碼以勒索受害者，所以提升網絡攻擊防護能力、提高人員安全意識，做好數據備份等工作是防范這些攻擊的有效方法。

5. “商業(yè)模式”演進

勒索攻擊重要目標之一就是提高受害者支付贖金的意愿，自從Maze勒索組織開啟了竊取用戶敏感數據后再加密數據，威脅不支付贖金就公開這些數據的“雙重勒索模式”，大量勒索組織也加入其中，Clop、REvil、Babuk等勒索組織是其中的典型。

在這種策略下，受害者即使擁有數據備份，也會因為有機密數據泄露的風險而不得不支付贖金。目前， “雙重勒索”模式已經是很多勒索組織的標準配置了，多數勒索組織建立了自己的數據泄露站點以向受害目標施壓。

然而，隨著攻擊策略的繼續(xù)演變，攻擊策略又獲得了升級，向三重甚至多重勒索進化。2020年，一家芬蘭診療機構被攻擊，泄露超4萬名患者的隱私數據，攻擊者不僅要求被攻擊方提供贖金，還向部分患者勒索了少量贖金。

進入2021年，這種升級策略發(fā)生了新的變化。今年2月，REvil勒索軟件運營商宣布，他們將采用DDOS攻擊并與新聞媒體和受害者的商業(yè)伙伴進行聯(lián)系，向受害者進行施壓以迫使他們支付贖金。DoppelPaymer甚至擁有自己的社交賬戶，肆意公布受害者的相關消息，損害受害者的商業(yè)信譽。

勒索軟件及其背后的運營者日益猖獗，如果攻擊者手中有更多的籌碼，那么就更易撬動贖金規(guī)模更上一個臺階，巨大的利益必將驅使勒索軟件的運營者對其“商業(yè)模式”的不斷創(chuàng)新。

6. 值得注意的其他趨勢

進入2021年，一些針對性的勒索軟件團伙除了技術手段和“商業(yè)模式”的變化外，還有一些其他的變化：

(1) 更多的勒索組織開始將攻擊目標轉向云上業(yè)務：

勒索軟件主要加密平臺一直是Windows，但隨著云上業(yè)務的蓬勃發(fā)展，很多企業(yè)將自身業(yè)務向云上遷移，更多勒索組織將目光轉向云上，將自身攻擊能力向多平臺進行擴展，如今年Babuk、REvil勒索組織就開始著手開發(fā)Linux版本的勒索軟件，針對EXSI等虛擬化管理平臺進行加密。通過多平臺的勒索軟件，攻擊者也可以在部署了NAS等重要軟件的Linux系統(tǒng)上展開攻擊。

(2) 針對性勒索攻擊的贖金規(guī)模逐漸上升：

在贖金的規(guī)模上，2021年上半年也是屢創(chuàng)新高。今年3月底，美國最大的保險公司之一CNA Financial遭受了Phoenix Locker勒索軟件攻擊，向黑客支付了4000萬美元。

同一個月，宏碁也遭到勒索組織REvil攻擊，索要贖金更是高達5000萬美元，除此之外，REvil在今年的7月2日，攻擊了管理服務提供商Kaseya并發(fā)動供應鏈攻擊，公然要求支付的贖金竟然高達7000萬美元，折合人民幣超4.5億。

然而，在2020年，最高要求的贖金規(guī)模為3400萬美元，追溯到2019年，最高贖金規(guī)模僅1500萬美元。根據Coveware一份報告，2021年Q1較2020年Q4平均贖金增加43%，贖金中位數增加59%，這些數據充分的說明了大型企業(yè)/組織數據的重要性和保密性。

(3) 部分組織由數據加密向純粹的數據泄漏勒索策略轉變：

勒索加密出現了不同于傳統(tǒng)RaaS模式的新趨勢，今年初，Clop勒索組織就通過FTA文件傳輸系統(tǒng)漏洞大肆竊取用戶敏感數據，不過攻擊者并沒有加密用戶數據，僅憑泄漏的數據就勒索大量的受害者。

雖然這可能是慣用勒索軟件加密文件的攻擊中的偶然現象，但是已有勒索軟件組織宣布完全放棄加密業(yè)務轉而投向純粹的數據竊取來進行勒索，正如之前對Babuk的介紹，它正高調的宣傳自己在策略上的轉變，甚至要將開發(fā)的惡意加密軟件開源。

引起該轉變的部分原因與雙重勒索策略的出現原因相重疊：各個企業(yè)機構安全意識的提升，在數據備份技術等安全技術的支持下，加密勒索策略有效性降低。

除此之外，惡意加密軟件編碼可能存在的缺陷會導致無法正確的對受害者的文件進行加密和解密，這會嚴重的影響勒索組織所謂的“商業(yè)信譽”，降低受害者支付贖金的比例。

另一個原因，可能是勒索組織擔心加密對數據可用性的破壞會導致嚴重的社會影響，進而被執(zhí)法機構更多的關注而遭受毀滅性的打擊，距離DarkSide發(fā)動對油氣管道供應商的加密勒索攻擊而導致解散的事件發(fā)生時間并不遙遠。不過，與加密情況相比，如果僅竊取數據來進行勒索，攻擊者可能需要竊取更多或更重要的數據才能掌握足夠談判籌碼，未來是否有更多的組織放棄加密業(yè)務還未可知。

(4) 勒索組織盯上供應商，發(fā)動供應鏈攻擊影響巨大：

供應鏈是商業(yè)與經濟的命脈，正因如此，近幾年網絡犯罪團伙和國家級黑客屢次將目標對準“這塊肥肉”，發(fā)動多起重大供應鏈攻擊事件，例如SolarWinds 供應鏈攻擊事件，曾導致企業(yè)競爭優(yōu)勢的喪失和嚴重的財務風險。

勒索組織對供應鏈攻擊的關注度也一直很高，早在2017年，NotPetya就曾對馬士基航運發(fā)動供應鏈攻擊，造成全球59個國家的76個港口運營中斷。

REvil勒索組織活動期間，多次對MSP供應商發(fā)動攻擊，今年，更是借助0day攻擊入侵Kaseya VSA服務器，發(fā)動供應鏈攻擊，向MSP提供商推送攜帶惡意軟件的更新，甚至導致下游的瑞典連鎖超市Coop收銀系統(tǒng)遭受嚴重故障，500余家門店被迫關閉，另外有1500多家公司也受到此次事件的影響。

目前，勒索組織發(fā)動的供應鏈攻擊時有發(fā)生，利用供應鏈進行攻擊產生的破壞力異常驚人，防范此類型的攻擊也是企業(yè)和組織需要關注的重點。

(5) 工業(yè)互聯(lián)網安全值得進一步得到關注：

工業(yè)互聯(lián)網安全是網絡和信息安全的重要組成部分，工業(yè)互聯(lián)網大多是與人民群眾生活息息相關的重要基礎設施，例如石油運輸管道、地鐵，火車，城市交通、工業(yè)生產等領域，是關系到國計民生的重要行業(yè)。隨著互聯(lián)網+、物聯(lián)網、云計算、大數據、人工智能等為代表的新一代信息技術與傳統(tǒng)工業(yè)生產系統(tǒng)的加速融合，工業(yè)互聯(lián)網打破了傳統(tǒng)工業(yè)相對封閉可信的制造環(huán)境。

而長期的獨立與封閉，導致了工控系統(tǒng)中存在很多未被修復和關注的漏洞，其中不乏一些嚴重的漏洞。由于工業(yè)控制系統(tǒng)的重要性，開放帶來的信息安全問題也日益嚴重，甚至被勒索組織列為目標。

美國最大油氣管道運營商Colonial受勒索軟件攻擊被迫關閉了燃料供應鏈系統(tǒng)，該事件再次為工控數據安全敲響了警鐘，受勒索攻擊后，多個州進入緊急狀態(tài)，造成的社會負面影響十分嚴重。工控系統(tǒng)面臨的勒索攻擊形式嚴峻，工業(yè)互聯(lián)網的信息安全問題已引起國家和社會各界的高度重視。

7. 總結

針對性勒索攻擊作為企業(yè)和大型組織安全的重要威脅之一，已經發(fā)展出了高度的組織化和產業(yè)化，其造成的不單是經濟上的損失和數據的破壞，更損害企業(yè)的信譽，影響產業(yè)發(fā)展，甚至對社會運行和公眾的生命財產安全也造成了嚴重威脅。

惡意攻擊者受到利潤的驅使，思路也在發(fā)生著變化。持續(xù)研究不同勒索組織產生和發(fā)展過程，掌握勒索犯罪組織整體的動向與趨勢，能夠幫助我們更好的了解這一網絡犯罪“產業(yè)”，從而找到更好防范勒索攻擊與打擊背后犯罪活動組織者的方法。新華三安全攻防實驗室將持續(xù)關注跟進，并將研究成果及時轉換輸出。