勒索軟件幾乎無處不在，每11秒就會發(fā)生一次新的勒索軟件攻擊。從以前的郵件附件傳播，到現(xiàn)在網頁鏈接植入傳播，攻擊手段不斷翻新，稍微不注意，就有可能被黑客組織們盯上。我們經?？吹侥衬硻C構數(shù)據泄露，某某系統(tǒng)被攻擊，這些事件都與勒索軟件攻擊有關。

什么是勒索軟件？

勒索軟件，是近幾年興起一種新型網絡犯罪方式，它通常是通過木馬病毒加密被害者系統(tǒng)里的文件或者數(shù)據，要求在特定時間內按照他們要求的方式支付贖金，以取得解密鑰匙。如果在指定時間內黑客沒有收到贖金，那么它將永久性刪除或者鎖定數(shù)據，或者將數(shù)據在暗網上售賣，給被害者造成無法彌補的損失。勒索軟件已成為全球企業(yè)和組織面臨的主要網絡威脅。

勒索軟件攻擊的過程：黑客通過技術手段獲得某個組織或某個系統(tǒng)的訪問權限，進入到該組織的內部網絡，內部網絡通常缺乏強力的訪問控制，因而黑客很容易在內網橫向滲透，最終獲得關鍵系統(tǒng)訪問權限，進而控制大量內網基礎設施或關鍵敏感信息數(shù)據等。一旦成功控制了關鍵系統(tǒng)或獲取關鍵數(shù)據之后，一方面想辦法把數(shù)據竊取出來，一方面對系統(tǒng)和數(shù)據進行加密，使之不能正常運轉，這時即可大開獅口，索要贖金。

勒索軟件的攻擊，通常會給黑客組織帶來可觀回報。勒索軟件的平均贖金金額，從2018年的5000美元，到2019年的8.4萬美元，到2020年上升到21.3萬美元，2021年則超過32.3萬美元。

對于勒索組織而言，攻擊的目標越龐大，目標實力越雄厚，造成的影響和損失越大，越可能得到更高的贖金金額。類似于Phoenix Cryptolocker索要的創(chuàng)紀錄的4000萬美元，成為迄今為止支付最昂貴的贖金之一。

分析人士認為，促成勒索軟件攻擊成功的最重要因素是RaaS模式的使用，該模式的使用在2021年達到了有史以來的最高水平。勒索軟件即服務(RaaS)是一種商業(yè)模型，其中勒索軟件開發(fā)者向感興趣的惡意行為者提供工具，以便他們可以發(fā)起勒索軟件攻擊。使用者通過簽約創(chuàng)建惡意軟件即服務或加入聯(lián)盟計劃，并分發(fā)一系列勒索軟件以換取一定比例的利潤。

近年來，勒索者不再滿足于對數(shù)據進行加密，其開始通過勒索軟件識別和竊取被攻擊者系統(tǒng)中的關鍵數(shù)據，并以將關鍵數(shù)據公開為威脅，要求企業(yè)支付贖金，這便是當前較為普遍的“雙重勒索”模式。

勒索軟件會造成什么損失？

勒索軟件攻擊，對被害者造成的損失是災難性的。

首先，會造成直接經濟損失。攻擊者向受害者索要的平均贖金數(shù)額不斷上漲，可以看出，勒索軟件攻擊已給受害者造成越來越嚴重的經濟損失。舉一個例子，Colonial Pipeline是2021年最大的勒索軟件攻擊事件之一，該公司最終支付了向黑客支付近500萬美元贖金，雖然它能夠拿回部分錢，但仍是一筆巨大的金額。

其次，造成的間接經濟損失更大。而相比直接經濟損失，被害者的間接損失遠遠超出了支付贖金的直接損失，系統(tǒng)停機、運營中斷、數(shù)據被破壞、客戶流失、企業(yè)聲譽受損、時間損失等，這些間接損失往往是直接損失的幾倍甚至更高。據調查，42% 的調查受訪者表示他們的運營中斷了，36% 的受訪者表示他們面臨著嚴重的停機時間，近 30% 的人表示他們失去了收入，21% 的人表示他們失去了客戶。

如何防范勒索軟件？

從勒索軟件攻擊的事件，也可以看出，無論政府機構、金融行業(yè)，還是高科技公司，這些網絡安全防護比較高的組織和企業(yè)，都難以避免被勒索攻擊的情況發(fā)生。

那么在對待勒索軟件上，我們如何防范？

(1) 要正視勒索攻擊為一種不可避免的情況，而且網絡威脅的范圍也將持續(xù)擴大。讓企業(yè)員工都接受更多的網絡安全教育，加強企業(yè)員工的安全防護意識，適時進行網絡安全攻防演習。

(2) 了解勒索軟件攻擊的一些常規(guī)手段，并進行必要的個人防范：

• 及時給電腦打補丁，修復漏洞；
• 謹慎打開來歷不明的郵件，點擊其中鏈接或下載附件，防止網絡掛馬和郵件附件攻擊；
• 盡量不要點擊 office 宏運行提示，避免來自 office 組件的病毒感染；
• 需要的軟件從正規(guī)(官網)途徑下載，不要用雙擊方式打開.js、.vbs、.bat 等后綴名的腳本文件；
• 升級防病毒軟件到最新的防病毒庫，阻止已知病毒樣本的攻擊;
• 開啟 Windows Update 自動更新設置，定期對系統(tǒng)進行升級；
• 養(yǎng)成良好的備份習慣，對重要數(shù)據文件定期進行非本地備份，及時使用網盤或移動硬盤備份個人重要文件；
• 更改賬戶密碼，設置強密碼，避免使用統(tǒng)一的密碼，因為統(tǒng)一的密碼會導致一臺被攻破，多臺遭殃，黑客會通過相同的弱密碼攻擊其它主機；
• 如果業(yè)務上無需使用 RDP 的，建議關閉 RDP，以防被黑客 RDP 爆破攻擊。

(3) 對于企業(yè)層面，則需要盡可能采取保護措施，以最大限度地減少破壞：

• 針對網絡安全加大投入，購買專業(yè)安全公司的安全產品和安全服務，對企業(yè)網絡進行全面加固;
• 將業(yè)務遷移到云上，借助云提供的成熟的安保服務來保護自己重要業(yè)務和數(shù)據;
• 對企業(yè)重要核心資產持續(xù)進行備份，以提供足夠的保險來抵御勒索病毒的嚴重影響。
• 進一步完善漏洞管理系統(tǒng)，配置專門負責漏洞管理的團隊，定期實施漏洞修補措施，配備專門的漏洞掃描和管理服務。
• 定時進行勒索軟件攻擊演練，一旦被攻擊造成系統(tǒng)巖機、數(shù)據被加密等情形，如何快速恢復系統(tǒng)和數(shù)據，評估攻擊造成的影響;對于數(shù)據被盜，評估數(shù)據被盜的影響。從而，有針對性進行系統(tǒng)改造和完善。

我們梳理了2022年1季度的勒索軟件攻擊事件：

1月：

• 1月6日，有研究報告表明，Aquatic Panda利用Log4Shell漏洞攻擊學術機構。Aquatic Panda是進行情報收集和工業(yè)間諜活動的雙重活動的組織。
• 1月7日，軟件供應商Finalsite遭勒索軟件攻擊，影響了大約5000所學校的網站，其中約有4500所美國的學校受影響。
• 1月9日，安全研究人員發(fā)布警告稱，一個名為“Night Sky”的新型勒索軟件正再活躍，它以企業(yè)網絡為目標，并在雙重勒索攻擊中竊取數(shù)據。
• 1月10日，NFT平臺Lympo遭黑客攻擊，黑客成功進入了Lympo的熱錢包，并從里面偷走了總共約1.652億個LMT，損失1870萬美元。
• 1月12日，據澎湃新聞報道，浙江省溫州市一家超市收銀臺的儲值卡電腦管理系統(tǒng)遭黑客攻擊，商家被要求支付0.042枚比特幣后才可恢復。比特幣當時的行情約為4.26萬美元，0.042枚相當于超過1.1萬元人民幣。
• 1月12日，美國醫(yī)療機構Memorial Health System開始通過信函通知受影響的患者，2021年8月15日，美國俄亥俄州的Memorial Health System遭到勒索軟件攻擊后，大約216478名患者的受保護健康信息(PHI)可能被泄露。
• 1月15日，跨國國防承包商 Hensoldt 證實，其英國子公司的部分系統(tǒng)感染了 Lorenz 勒索軟件。Lorenz 勒索軟件團伙也實施雙重勒索模式，即在加密數(shù)據之前竊取數(shù)據，贖金要求相當高，介于 50萬美元到 70萬美元之間。
• 1月17日，美國監(jiān)獄受到勒索軟件攻擊后崩潰，這次的攻擊使得監(jiān)獄內部的攝像機停止工作，自動門控制系統(tǒng)也無法使用，監(jiān)獄的所有互聯(lián)網服務也被切斷，工作人員無法查詢囚犯記錄，囚犯被迫待在房間內。
• 1月17日，勒索軟件團體 ShinyHunters 竊取了屬于印度時尚和零售公司 Aditya Birla Fashion and Retail、ABFRL 的客戶和員工的 700 GB 數(shù)據，數(shù)據在暗網市場上泄露。數(shù)據包括 540 萬個唯一的電子郵件地址、姓名、電話號碼、街道地址、訂單歷史記錄和密碼，這些數(shù)據存儲為 Machine Digest-5 或 MD5 哈希值。
• 1月18日，英國雨傘公司Parasol Group遭黑客入侵網絡中斷，從1月12日開始的多天中斷，導致該公司MyParasol門戶網站無法訪問，外界普遍猜測是勒索軟件。
• 1月20日，意大利奢侈時尚品牌 Moncler 證實，它遭受了一次重大的勒索軟件攻擊，導致數(shù)據泄露。在去年 12 月下旬，被勒索軟件組織AlphV/BlackCat攻擊，贖金要求為 300 萬美元。但被Moncler 拒絕，結果，泄露中被盜的數(shù)據被發(fā)布在了暗網上。
• 1月21日，朝鮮黑客從全球加密貨幣初創(chuàng)公司Lazarus 子組織 BlueNoroff 竊取了數(shù)百萬美元。
• 1月21日，加密貨幣交易平臺Crypto.com受到網絡攻擊，確認有483個賬號被黑，價值3380萬美元的加密貨幣被提現(xiàn)。其中有443.93BTC，價值約1861.36萬美元，4836.26ETH，價值約1513.25萬美元，以及價值6.6萬美元的其他數(shù)字貨幣。
• 1月24日，印尼央行(印度尼西亞銀行)遭勒索軟件襲擊，超13GB數(shù)據外泄。印尼央行遭Conti勒索軟件襲擊，內部網絡十余個系統(tǒng)感染勒索病毒。勒索團伙稱，已竊取超過13GB的內部文件，如印尼央行不支付贖金，將公開泄露數(shù)據。Conti是一項勒索軟件即服務(RaaS)業(yè)務，與俄羅斯網絡犯罪組織Wizard Spider有所關聯(lián)。
• 1月26日，黑客組織勒索攻擊鐵路關基設施，試圖謀求政治訴求。“白俄羅斯網絡游擊隊”黑客團伙宣稱，成功入侵并加密了白俄羅斯國家鐵路公司內部服務器，以此要挾釋放部分政治犯，并希望俄羅斯撤軍。
• 1月27日，LockBit勒索軟件攻擊了法國司法部和歐洲公司。惡名昭著的網絡犯罪團伙Lockbit表示，已經成功“拿下”法國司法部并加密了相關文件，要求對方支付贖金以換取數(shù)據。要挾必須在2月10日前支付贖金，否則“所有被盜數(shù)據都將被發(fā)布至暗網”。
• 這一波勒索軟件攻擊影響的不只是法國司法部，同時也涉及到西班牙、意大利、法國、德國和英國等多個歐洲國家的一系列大型企業(yè)集團。

2月：

• 2月1日，英國零食生廠商KP Snacks遭受了勒索軟件攻擊。
• 2月2日，美國營銷巨頭RRD在Conti勒索軟件攻擊中數(shù)據被盜。直到2022年1月15日，Conti勒索軟件團伙開始泄露從RRD公司竊取的用戶數(shù)據，總計為2.5GB。
• 2月2日，McMenamins遭受Conti勒索軟件攻擊?？赡芤呀浻绊懥似?2,700 名員工的數(shù)據，包括他們的姓名、出生日期、地址、電子郵件地址、直接存款銀行賬戶信息、社會安全號碼和福利記錄。
• 2月2日，英國KP零食遭遇勒索軟件攻擊。Conti是這次襲擊的幕后黑手。
• 2月3日，加密貨幣平臺Wormhole遭黑客入侵，預估損失3.22億美元，主要為ETH 和 SOL 。問題源于以太坊區(qū)塊鏈上的一個“智能合約”缺陷，別有用心的攻擊者可借此將一款加密貨幣轉換成另一種并跑路。
• 2月4日，美國加州社區(qū)學院發(fā)布的一份聲明中，學院的數(shù)據在一次復雜的網絡攻擊中遭到破壞。學校官員表示，一些教職員工、教職員工以及現(xiàn)任和前任學生的私人信息遭到泄露。Ohlone社區(qū)學院區(qū)是一個多校區(qū)的單一社區(qū)學院區(qū)，位于加利福尼亞州舊金山灣的南部。
• 2月7日，瑞士國際空港服務有限公司(Swissport International Ltd.)于當?shù)貢r間2月3日早上6點遭勒索軟件攻擊，本次攻擊入侵了該公司部分全球IT基礎設施，對公司運營造成嚴重影響，導致多趟航班延誤。
• 2月7日，黑客攻擊歐洲港口石油設施，油輪無法靠港。1月29日起，因遭到勒索軟件的攻擊，位于荷蘭阿姆斯特丹和鹿特丹、比利時安特衛(wèi)普的幾處港口的石油裝卸和轉運受阻。截至當?shù)貢r間2月4日，至少有7艘油輪被迫在安特衛(wèi)普港外等候，無法靠港。
• 2月7日，區(qū)塊鏈基礎設施公司Meter表示：“在美國東部時間周六早上 9 點左右開始的平臺網絡攻擊中，440萬美元被盜。”包括1391 ETH和2.74 BTC被盜。
• 2月8日，加密交易所PayBito遭受LockBit勒索攻擊，竊取了大量客戶數(shù)據。目前，部分被盜數(shù)據公布在該團伙的Tor泄漏網站上。此次網絡攻擊中，該勒索軟件團伙成功竊取一個數(shù)據庫，其中包含來自全球 約10萬多名客戶的個人數(shù)據信息。除此之外，該團伙還盜取了部分電子郵件數(shù)據和密碼哈希值，其中一些數(shù)據可以輕易被解密。該團伙還成功竊取了管理員的個人數(shù)據，聲稱如果收不到贖金，將在2022年2月21日公布被盜數(shù)據。
• 2月8日，商業(yè)服務公司Morley遭勒索攻擊，超50萬人數(shù)據泄露。在2021年8月，該公司遭遇了勒索軟件攻擊，大量的文件和數(shù)據被加密，而在此之前攻擊者已經竊取了大量的用戶數(shù)據。
• 2月15日，美國聯(lián)邦調查局 (FBI) 與美國特勤局發(fā)布了一份聯(lián)合網絡安全咨詢公告，該公告透露，BlackByte 勒索軟件組織在過去3個月中入侵了至少3 個美國關鍵基礎設施組織。
• 2月16日，黑客從韓國加密貨幣平臺KLAYswap竊取約190萬美元。
• 2月23日，國際貨運巨頭Expeditors International遭遇疑似勒索軟件攻擊，被迫緊急關閉全球主要業(yè)務系統(tǒng)。
• 2月25日，華碩子公司ASUSTOR遭攻擊，被勒索上千萬元人民幣贖金。如果ASUSTOR 支付 50個比特幣，那么DeadBolt 攻擊者將會出售所有受害者的主解密秘鑰和零日漏洞信息。這意味ASUSTOR將要承擔本次勒索攻擊的全部損失，約合人民幣上千萬元。
• 2月26日，英偉達似乎遭遇了一次重大的網絡攻擊，甚至導致電子郵件及開發(fā)者工具中斷。是一個名為 LAPSU$ 的南美組織對英偉達實施了此次勒索軟件攻擊，他們聲稱已入侵英偉達，并竊取了超過 1TB 的專有數(shù)據，其中包括了驅動程序、設計圖紙和固件，各類機密文檔，SDK開發(fā)包等資料。黑客向英偉達說明了發(fā)動本次攻擊的目的。黑客要求英偉達解除對RTX30系列顯卡的挖礦限制。
• 2月27日，被勒索軟件攻擊后，英偉達似乎也對該黑客組織進行了反制攻擊。該黑客組織聲稱，他們一覺睡醒后發(fā)現(xiàn)，英偉達通過他們入侵時使用的漏洞連上了他們的虛擬機，試圖加密被竊數(shù)據并成功重置了他們的機器。不過該黑客組織表示數(shù)據早已備份，這意味著英偉達的反制攻擊可能沒有成功。
• 2月28日，豐田汽車公司近日表示，豐田汽車零部件供應商因受到了“勒索軟件”攻擊，從而導致系統(tǒng)癱瘓。14家工廠停止運營。

3月：

• 3月1日，保險業(yè)巨頭 AON 遭網絡攻擊 ，AON發(fā)文稱此次網絡攻擊帶來的影響“有限”。
• 3月5日，醫(yī)療保健公司Mon Health披露第二起數(shù)據泄露事件。2021年12月18日發(fā)現(xiàn)遭受了第一次網絡攻擊，幾周后才得知數(shù)據被盜。3月初，Mon Health披露了第二次數(shù)據泄漏，受影響的數(shù)據包括姓名、地址、出生日期、社會安全號碼、健康保險索賠號碼、病歷號碼、患者帳號、醫(yī)療信息和各種其他數(shù)據，大約影響40萬人。
• 3月4日，黑客聲稱拿到7.1萬英偉達員工電子郵件賬號。攻擊者可能拿到了 7.1 萬員工電子郵件和哈希值，而黑客可能利用這些信息來破解相關密碼。
• 在攻擊英偉達之后，LAPSU$表示，他們希望英偉達將所有已發(fā)布和未來顯卡的Windows、MacOS、Linux等版本驅動在FOSS協(xié)議下全部永久開源。
• 3月7日，據報道，黑客在網上泄露了190GB的三星機密數(shù)據，不僅是生物識別解鎖算法這敏感資料，甚至還包括芯片提供方高通(Qualcomm)的機密數(shù)據。大量的三星內部源代碼已經泄露到網上。"勒索團伙 "Lapsus$是這次網絡攻擊的幕后黑手。
• 3月7日，惡意軟件現(xiàn)在使用 NVIDIA 竊取的代碼簽名證書。 在 Lapsus$ 泄露 NVIDIA 的代碼簽名證書后， 安全研究人員很快發(fā)現(xiàn) 這些證書被用于簽署惡意軟件和威脅參與者使用的其他工具。
• 3月9日，東歐大型加油站服務商Rompetrol遭到Hive勒索軟件攻擊，官網、APP等全部下線，勒索團伙要求支付200萬美元贖金，以換取解密器和不泄露被盜數(shù)據的承諾。
• 3月14日，普利司通美洲公司遭到LockBit勒索軟件攻擊。普利司通公司承認其一家子公司在2月份遭遇勒索軟件攻擊，導致其在北美和中美地區(qū)的計算機網絡和生產中斷了約一周時間。此次攻擊數(shù)據被泄露，并被喊話支付贖金。
• 3月15日，育碧遭遇網絡攻擊，造成服務暫時中斷。攻擊者則是數(shù)據勒索組織LAPSUS$。
• 3月16日，匿名者(Anonymous)黑客組織入侵俄羅斯能源巨頭位于德國的子公司Rosneft ，竊取了20TB數(shù)據。
• 3月23日，Lapsus$團伙聲稱入侵了微軟的源代碼存儲庫。Lapsus$攻擊英偉達、三星、沃達豐等巨頭后，又對微軟下“黑手”，并拿到Cortana、Bing的源代碼
• 3月23日，據 Bleeping Computer 網站消息，希臘國有郵政服務供應商 ELTA 遭到勒索軟件攻擊，使其大部分服務處于離線狀態(tài)。
• 3月24日，Lapsus$黑客團伙聲稱從Okta竊取了數(shù)百G的敏感數(shù)據。Okta是一家被全球數(shù)千家企業(yè)使用的認證技術方案公司，擁有超過15,000名客戶的身份認證服務。
• 3月28日，微軟確認被黑客竊取37GB源代碼。
• 3月29日，Anonymous組織泄露從俄羅斯央行竊取的28GB數(shù)據。
• 3月29日，雀巢遭Anonymous組織攻擊 致10GB敏感資料外泄，以懲罰其未停止在俄羅斯的業(yè)務。
• 3月30日，美國衛(wèi)星通信提供商Viasat披露了一份關于2月24日俄烏戰(zhàn)爭爆發(fā)當天歐洲KA-SAT衛(wèi)星寬帶網絡遭受網絡攻擊事件的報告。這次攻擊還導致德國大約5800臺風力渦輪機的調制解調器離線，并影響了來自德國、法國、意大利、匈牙利、希臘和波蘭的大量個人客戶。
• 3月30日，區(qū)塊鏈公司Ronin Network 被盜價值6.25億美元加密貨幣，史上最大的加密黑客攻擊誕生。包括173,600 枚以太坊、6610個幣安幣和 2550 萬USDC。

結語

勒索軟件攻擊的領域越來越廣，服務業(yè)、能源、制造業(yè)、金融等行業(yè)都在攻擊者的目標范圍內；三星、育碧、英偉達、微軟等大型科技公司，政府部門、大學、醫(yī)療機構等等，都遭受到不同形式的勒索軟件攻擊。勒索軟件的攻擊將更加猖獗，勒索軟件威脅正成為籠罩在互聯(lián)網世界的惡夢。我們只有勇于面對，做好防范，才是上策。