勒索軟件（ransomware）是一種惡意軟件，通過騷擾、恐嚇甚至采用綁架用戶文件等方式，使用戶數(shù)據(jù)資產(chǎn)或計算資源無法正常使用，并以此為條件向用戶勒索錢財。 

新冠疫情的發(fā)生加速了數(shù)字化時代的到來，使企業(yè)、機構(gòu)等各種業(yè)務運營模式發(fā)生了重大改變，同時也帶來了更多的安全風險，這也無疑成為導致勒索軟件攻擊顯著增加的重要因素。 

勒索軟件成“頭號”威脅 

據(jù) IBM X-Force 報告顯示，近三年來，勒索軟件一直占據(jù)主要攻擊類型的榜首， 2021 年也不例外，在X-Force 事件響應團隊修復的攻擊中有 21% 是勒索軟件攻擊。  

2021 年，亞洲首次成為攻擊的重災區(qū)，在 X-Force 所觀察到的攻擊總量中占到了 26%。歐洲和北美緊隨其后，分別占攻擊總量的 24% 和 23%，而中東和非洲與拉丁美洲所占比重則分別為 14% 和 13%，勒索軟件成為全球面臨的最主要的攻擊類型，而制造、金融和保險等行業(yè)成為近年來勒索軟件的的重點攻擊對象。 

另外，由美國、澳大利亞及英國網(wǎng)絡安全當局撰寫的聯(lián)合網(wǎng)絡安全咨詢報告顯示，全球范圍內(nèi)以關(guān)鍵基礎設施相關(guān)組織為目標的高復雜度、高影響力勒索軟件攻擊正在持續(xù)增加。 

據(jù)美國聯(lián)邦調(diào)查局（FBI）、網(wǎng)絡安全與基礎設施安全局（CISA）與國家安全局（NSA）觀察顯示，全美16個關(guān)鍵基礎設施部門中有14個曾經(jīng)遭遇勒索軟件事件，涵蓋國防工業(yè)基地、緊急服務、食品與農(nóng)業(yè)、政府設施與信息技術(shù)等多個部門。 

澳大利亞網(wǎng)絡安全中心（ACSC）也觀察到，勒索軟件正持續(xù)將矛頭指向澳大利亞的醫(yī)療保健、金融服務與市場、高等教育與研究、能源部門等各關(guān)鍵基礎設施實體。 

英國國家網(wǎng)絡安全中心（NCSC）也將勒索軟件視為英國面臨的最大網(wǎng)絡威脅，并表示地方各級政府及衛(wèi)生部門內(nèi)各企業(yè)、教育領(lǐng)域、慈善機構(gòu)、法律界乃至公共服務機構(gòu)都成為勒索軟件攻擊者的目標。 

勒索軟件攻擊策略持續(xù)升級 

相比于傳統(tǒng)的線下勒索，勒索軟件攻擊更具隱蔽性和便捷性，攻擊者更容易逃避制裁，而受害者卻苦不堪言。攻擊者為了索取贖金一般會采用加密數(shù)據(jù)勒索、鎖定系統(tǒng)勒索、威脅恐嚇勒索、數(shù)據(jù)泄漏勒索等手段。 

從普通勒索到“雙重勒索”，勒索軟件一直在不斷地尋求更具創(chuàng)新性的商業(yè)模式，變得愈加猖獗。2021年，勒索軟件攻擊已經(jīng)隨著運營模式升級到了“三重勒索”，受影響的范圍也越來越大。在“三重勒索”的攻擊中，攻擊者不僅加密并竊取數(shù)據(jù)，還威脅會對受影響的組織發(fā)起分布式拒絕服務 (DDoS) 攻擊。這種攻擊會使受害者的網(wǎng)絡同時被兩種惡意攻擊所劫持，而數(shù)據(jù)失竊會進一步加重其受害程度。  

與此同時，隨著全球數(shù)字化進程的不斷推進，數(shù)據(jù)價值的越發(fā)凸顯，對數(shù)據(jù)強行加密的勒索手段成為最常用且有效的攻擊方式。

據(jù)賽迪研究院網(wǎng)絡安全研究所研究分析顯示，全球數(shù)據(jù)勒索攻擊呈現(xiàn)了一些新特點：攻擊目的由單純經(jīng)濟牟利轉(zhuǎn)向?qū)嵤?shù)據(jù)破壞、竊取戰(zhàn)略機密、謀取政治訴求等多重企圖，勒索意圖愈加復雜化；攻擊對象由無差別的個人設備轉(zhuǎn)向政府及公共部門、大型企業(yè)等具有關(guān)鍵信息基礎設施屬性的定向機構(gòu)，且勒索策略日趨精準化；攻擊主體由個人或單個黑客團伙攻擊轉(zhuǎn)向?qū)蛹壏置?、分工明確的黑色產(chǎn)業(yè)活動，勒索行為日益專業(yè)化；攻擊模式由單一加密勒索轉(zhuǎn)向多重勒索獲利，勒索手段趨于多樣化。 

勒索軟件攻擊事件回顧 

近幾年勒索軟件的猖獗已是有目共睹，尤其在2021年達到爆發(fā)高峰。據(jù)《2021年度勒索病毒態(tài)勢報告》顯示，2021年全網(wǎng)勒索攻擊總次數(shù)超過2234萬次，影響面從企業(yè)業(yè)務到關(guān)鍵基礎設施，從業(yè)務數(shù)據(jù)安全到國家安全與社會穩(wěn)定。 

接下來回顧一下2021年和2022上半年的重要勒索軟件攻擊事件： 

• 2021年1月14日，泛亞大型零售連鎖運營商牛奶集團（Dairy Farm Group）受到REvil勒索軟件攻擊，被勒索高達3000萬美元的贖金。 
• 2021年1月15日，蘇格蘭環(huán)境保護局（SEPA）披露，該機構(gòu)在平安夜受到勒索軟件Conti攻擊，造成嚴重網(wǎng)絡中斷，勒索團伙還竊取了1.2GB的數(shù)據(jù)。 
• 2021年1月，據(jù)路透社報道，美國知名IT公司SolarWinds旗下的Orion網(wǎng)絡監(jiān)控軟件更新服務器遭黑客入侵并植入惡意代碼，本次供應鏈攻擊事件，波及范圍極廣，包括政府部門，關(guān)鍵基礎設施以及多家全球500強企業(yè)。 
• 2021年2月13日，UL LLC遭受了勒索軟件攻擊，該攻擊對其服務器進行了加密，并導致服務器在恢復時關(guān)閉了系統(tǒng)。 
• 2021年3月20日，電腦巨頭宏碁(acer)遭遇REvil勒索軟件攻擊，攻擊者向其索要5000萬美元的贖金，折合人民幣3.25億元。 
• 2021年3月20日，加拿大的物聯(lián)網(wǎng)（IoT）解決方案供應商Sierra Wireless的內(nèi)部IT系統(tǒng)遭到勒索軟件攻擊，不僅造成內(nèi)部運行受損，官網(wǎng)曾一度呈停擺狀態(tài)，也暫時關(guān)閉了該公司所有的生產(chǎn)基地。
• 2021年3月21日，美國最大的保險公司之一CNA 金融公司（CNA Financial Corporation）遭到了一起復雜的網(wǎng)絡安全攻擊，導致網(wǎng)絡中斷，并影響了CNA的某些系統(tǒng)，被黑客勒索了4000萬美元。
• 2021年3月30日，Applus Technologies的車輛排放測試平臺遭受了惡意軟件攻擊，導致IT系統(tǒng)被斷開。 
• 2021年4月，蘋果筆記本代工廠廣達遭勒索軟件REvil攻擊，黑客索要5000萬美元天價贖金，并警告稱，如果廣達電腦不支付贖金，“所有Apple設備的圖紙以及其員工和客戶的所有個人數(shù)據(jù)將被發(fā)布”。 
• 2021年5月7日，美國最大的成品油管道運營商Colonial Pipeline受到勒索軟件攻擊，黑客通過非法軟件控制其電腦系統(tǒng)或數(shù)據(jù)，Colonial Pipeline被迫關(guān)閉其位于美國東部沿海各州供油的關(guān)鍵燃油網(wǎng)絡。 
• 2021年5月31日，全球最大的肉類供應商JBS向外界表示，公司服務器遭到黑客有組織的攻擊，受影響的系統(tǒng)包括美國分部和澳大利亞分部，部分工廠暫停作業(yè)，JBS最終妥協(xié)向黑客支付了1100萬美金。 
• 2021年6月，REvil 勒索軟件團伙攻擊了基于 Kaseya 云的 MSP platfor 軟件供應商 Kaseya，并宣稱約 60家 Kaseya 客戶和 1500 家企業(yè)受到了勒索軟件攻擊的影響。
• 2021年8月，西經(jīng)濟部發(fā)表聲明稱，其國庫內(nèi)部網(wǎng)絡在8月13日遭遇勒索軟件攻擊，巴西國庫秘書處已立即采取遏制措施，并召集聯(lián)邦警察協(xié)助調(diào)查。
• 2021年7月2日，Kaseya遭受了勒索軟件組織REvil的供應鏈攻擊。Kaseya表示，它“知道受攻擊影響的客戶不足60家”，但影響范圍涉及“1500家下游企業(yè)”。
• 2021年8月，全球咨詢公司埃森哲遭受了勒索軟件攻擊，部分客戶系統(tǒng)遭到破壞，部分私密的公司數(shù)據(jù)被竊取和泄露。
• 2021年10月，辛克萊廣播集團遭受了勒索軟件攻擊和數(shù)據(jù)泄露，這次攻擊對“某些辦公室和運營網(wǎng)絡”造成了破壞，辛克萊的一些廣播網(wǎng)絡業(yè)務中斷。 
• 2021年11月，加密貨幣交易平臺BTC-Alpha受到勒索軟件攻擊，關(guān)閉了BTC-Alpha的網(wǎng)站及其應用程序，該應用程序在11月20日之前一直處于停用狀態(tài)。 
• 2021年11月7日至11月8日期間，電子零售巨頭MediaMarkt遭到勒索軟件攻擊，其服務器及工作站等設備數(shù)據(jù)被加密，最終公司只能關(guān)閉IT系統(tǒng)以阻止事態(tài)蔓延，此次攻擊影響了整個歐洲的眾多零售店。 
• 2022年1月5日，新墨西哥州最大的縣發(fā)現(xiàn)自己已淪為勒索軟件攻擊的受害者，多個公共事業(yè)部門和政府辦公室系統(tǒng)下線。 
• 2022年2月至3月期間，三家豐田供應商遭到黑客攻擊。當豐田供應商Kojima Industries遭到網(wǎng)絡攻擊時，這家巨頭不得不停止其14家日本工廠的運營，據(jù)悉此次黑客攻擊導致該公司每月的生產(chǎn)能力下降了5%。 
• 2022年2月底，全球知名的半導體芯片公司英偉達被爆遭到勒索軟件攻擊，攻擊者在線泄露了員工憑據(jù)和私密信息，勒索軟件組織Lapsus$聲稱對此次攻擊負責，并表示他們可以訪問1TB的企業(yè)數(shù)據(jù)。 
• 2022年4月中旬起，Conti組織對哥斯達黎加進行了兩波重大的勒索軟件攻擊，使該國多項基本服務陷入癱瘓，政府陷入混亂，無法做出有效響應。 

推進勒索軟件攻擊治理 

針對數(shù)據(jù)的勒索攻擊已成為全球網(wǎng)絡攻擊的主角，給多國造成了機密數(shù)據(jù)泄露、社會系統(tǒng)癱瘓等重大危害，嚴重威脅了國家安全。據(jù)賽迪研究院網(wǎng)絡安全研究所研究顯示，各國已紛紛從立法層面推進勒索攻擊治理，并重點關(guān)注以下四個方面的制度建設：一是建立強制性勒索攻擊事件報告機制；二是規(guī)范勒索贖金支付，防止繳納大額勒索贖金引發(fā)的重復攻擊；三是賦予執(zhí)法人員“數(shù)據(jù)中斷”權(quán)利，以幫助勒索攻擊受害者在不支付贖金的情況下防止?jié)撛诘臄?shù)據(jù)泄露風險；四是對勒索攻擊者實施更嚴厲的懲罰，增強勒索犯罪活動威懾力。 

美國網(wǎng)絡安全和基礎設施安全局（CISA）發(fā)布的《保護敏感信息和個人信息免受勒索軟件導致的數(shù)據(jù)泄露》指出，為防止成為勒索軟件攻擊的受害者，企業(yè)應采取如下步驟：解決面向互聯(lián)網(wǎng)的漏洞和錯誤配置，減少攻擊者利用這一攻擊面的可能性；制定、維護和行使基本的網(wǎng)絡事件響應計劃、彈性戰(zhàn)略和相關(guān)的通信計劃；保持數(shù)據(jù)的離線、加密副本，并定期驗證備份；減少收到網(wǎng)絡釣魚郵件的可能性；堅持正確的網(wǎng)絡健康準則。 

另外，我國國家互聯(lián)網(wǎng)應急中心（CNCERT）于2021年7月發(fā)布的《勒索軟件防范指南》提出，防范勒索軟件要做到“九要”和“四不要”。 

“九要”：

1.要做好資產(chǎn)梳理與分級分類管理；

2.要備份重要數(shù)據(jù)和系統(tǒng)；

3.要設置復雜密碼并保密；

4.要定期安全風險評估；

5.要常殺毒、關(guān)端口；

6.要做好身份驗證和權(quán)限管理；

7.要嚴格訪問控制策略；

8.要提高人員安全意識；

9.要制定應急響應預案。 

“四不要”：

1.不要點擊來源不明郵件；

2.不要打開來源不可靠網(wǎng)站；

3.不要安裝來源不明軟件；

4.不要插拔來歷不明的存儲介質(zhì)。 

《指南》還強調(diào)，當機器感染勒索軟件后，不要驚慌，可立即開展隔離網(wǎng)絡、分類處置、及時報告、排查加固、專業(yè)恢復等應急工作，降低勒索軟件產(chǎn)生的危害。 

隨著技術(shù)的發(fā)展以及未來的不可預見性，安全守護者與勒索軟件的較量終究是一場持久戰(zhàn)... ?