以下為報(bào)告重點(diǎn)信息整理，不代表GoUpSec觀點(diǎn)：

2024年，Mandiant Consulting處理的經(jīng)濟(jì)利益驅(qū)動(dòng)的網(wǎng)絡(luò)攻擊事件數(shù)量是國(guó)家支持的APT攻擊的四倍。然而，全球范圍國(guó)家安全領(lǐng)域?qū)W(wǎng)絡(luò)犯罪的關(guān)注遠(yuǎn)不及對(duì)國(guó)家黑客組織的重視。

事實(shí)上，出于經(jīng)濟(jì)動(dòng)機(jī)的網(wǎng)絡(luò)入侵，即使與國(guó)家目標(biāo)沒(méi)有任何關(guān)系，也會(huì)危害國(guó)家安全。

無(wú)論攻擊者是國(guó)家支持的APT組織還是單純的金融犯罪集團(tuán)，網(wǎng)絡(luò)攻擊對(duì)關(guān)鍵基礎(chǔ)設(shè)施、醫(yī)療、經(jīng)濟(jì)和社會(huì)穩(wěn)定等方面的威脅程度相似。因此，網(wǎng)絡(luò)犯罪應(yīng)被視為國(guó)家安全問(wèn)題，并采取國(guó)際合作與系統(tǒng)性措施應(yīng)對(duì)。

網(wǎng)絡(luò)犯罪對(duì)國(guó)家安全的威脅

網(wǎng)絡(luò)犯罪集團(tuán)已成為影響國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的重要威脅。近年來(lái)，多個(gè)能源、醫(yī)療、交通等領(lǐng)域遭遇大規(guī)模勒索軟件攻擊。例如：

• 2021年：美國(guó)殖民管道（Colonial Pipeline）遭勒索軟件攻擊，導(dǎo)致燃油供應(yīng)短缺。
• 2022年：荷蘭阿姆斯特丹-鹿特丹-安特衛(wèi)普煉油樞紐遭遇攻擊，影響能源供應(yīng)。
• 2023年：加拿大Petro-Canada石油公司被攻擊，業(yè)務(wù)運(yùn)營(yíng)受到嚴(yán)重影響。
• 2024年：Qilin（AGENDA）勒索軟件組織公開(kāi)宣稱針對(duì)美國(guó)醫(yī)療機(jī)構(gòu)，并在隨后的幾個(gè)月內(nèi)攻擊了多家醫(yī)療中心。

醫(yī)療行業(yè)成重點(diǎn)攻擊目標(biāo)

醫(yī)療行業(yè)近年來(lái)成為網(wǎng)絡(luò)犯罪的重點(diǎn)目標(biāo)，醫(yī)院、診所等機(jī)構(gòu)的數(shù)據(jù)價(jià)值極高，同時(shí)業(yè)務(wù)的緊迫性使其成為勒索軟件組織的優(yōu)先攻擊目標(biāo)。近三年，醫(yī)院及醫(yī)療機(jī)構(gòu)在數(shù)據(jù)泄露網(wǎng)站上的曝光率翻倍。勒索軟件組織將醫(yī)療機(jī)構(gòu)視為“高支付意愿目標(biāo)”，并持續(xù)加強(qiáng)對(duì)該行業(yè)的攻擊。研究表明：

• 2024年3月：RAMP論壇用戶“badbone”尋求獲取荷蘭和法國(guó)的醫(yī)療機(jī)構(gòu)訪問(wèn)權(quán)限，并表示愿意為醫(yī)院支付2-5%更高的價(jià)格。
• 2024年6月：英國(guó)國(guó)家醫(yī)療服務(wù)系統(tǒng)（NHS）因勒索軟件攻擊導(dǎo)致“長(zhǎng)期或永久性健康損害”事件。
• 2024年：美國(guó)某醫(yī)療集團(tuán)因網(wǎng)絡(luò)攻擊損失8.72億美元。

數(shù)據(jù)泄露網(wǎng)站中患者數(shù)據(jù)占比變化

醫(yī)療行業(yè)的網(wǎng)絡(luò)安全問(wèn)題不容忽視，其影響不僅限于數(shù)據(jù)泄露，更可能直接威脅生命安全。學(xué)術(shù)研究表明，醫(yī)院遭遇勒索軟件攻擊后，住院患者的死亡率會(huì)增加35-41%。英國(guó)國(guó)家醫(yī)療服務(wù)體系的數(shù)據(jù)顯示，2024年6月一家承包商發(fā)生的勒索軟件事件導(dǎo)致多起“對(duì)身體、心理或社會(huì)功能產(chǎn)生長(zhǎng)期或永久影響或縮短壽命”的案例。

網(wǎng)絡(luò)攻擊不僅會(huì)打擊個(gè)別醫(yī)院和患者，還會(huì)影響更廣泛的醫(yī)療供應(yīng)鏈。對(duì)生產(chǎn)關(guān)鍵藥物和救命療法的公司進(jìn)行網(wǎng)絡(luò)攻擊可能會(huì)對(duì)全世界產(chǎn)生深遠(yuǎn)的影響。

經(jīng)濟(jì)損失

網(wǎng)絡(luò)犯罪的經(jīng)濟(jì)影響遠(yuǎn)遠(yuǎn)超出了企業(yè)自身的損失。國(guó)家經(jīng)濟(jì)穩(wěn)定、投資環(huán)境以及公共信任都可能受到影響。例如：

• 2022年5月：哥斯達(dá)黎加因CONTI勒索軟件攻擊宣布全國(guó)進(jìn)入緊急狀態(tài)。
• 2023年：美國(guó)因網(wǎng)絡(luò)犯罪損失超過(guò)550億美元。
• 2024年：全球商業(yè)電子郵件欺詐（BEC）累計(jì)損失超550億美元。

網(wǎng)絡(luò)犯罪與國(guó)家支持攻擊的融合

報(bào)告指出，越來(lái)越多的國(guó)家黑客組織成為網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)的客戶，因?yàn)閺姆欠ㄕ搲?gòu)買惡意軟件、憑證或其他關(guān)鍵資源可能比內(nèi)部開(kāi)發(fā)更便宜，同時(shí)也更容易偽裝成經(jīng)濟(jì)驅(qū)動(dòng)的網(wǎng)絡(luò)犯罪活動(dòng)。例如俄烏戰(zhàn)爭(zhēng)爆發(fā)后，俄羅斯軍事情報(bào)部門支持的APT44開(kāi)始更多采用網(wǎng)絡(luò)犯罪工具，包括DARKCRYSTALRAT (DCRAT)、WARZONE 和RADTHIEF（“Rhadamanthys Stealer”）等惡意軟件，以及防彈托管基礎(chǔ)設(shè)施，例如由在網(wǎng)絡(luò)犯罪地下社區(qū)做廣告的俄語(yǔ)組織“yalishanda”提供的基礎(chǔ)設(shè)施。

主要APT及網(wǎng)絡(luò)犯罪組織概覽

國(guó)家雇傭黑客組織案例

• 俄羅斯：利用APT44、UNC2589等APT組織開(kāi)展網(wǎng)絡(luò)戰(zhàn)，并在烏克蘭戰(zhàn)爭(zhēng)中使用犯罪工具。
• 伊朗：UNC757與多個(gè)勒索軟件組織合作，既進(jìn)行網(wǎng)絡(luò)間諜也獲取非法收入。
• 朝鮮：APT38等組織通過(guò)盜取加密貨幣直接為政權(quán)提供資金。

此外，越來(lái)越多的國(guó)家黑客組織“兼職”從事金融犯罪，或者利用勒索軟件掩蓋情報(bào)收集行動(dòng)。例如APT43通過(guò)加密貨幣詐騙和洗錢為國(guó)家情報(bào)行動(dòng)提供資金支持。

解決方案與建議

• 提升網(wǎng)絡(luò)犯罪的國(guó)家安全優(yōu)先級(jí)：政府需要將網(wǎng)絡(luò)犯罪與APT威脅同等對(duì)待，加強(qiáng)執(zhí)法與國(guó)際合作。
• 增強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施的防御能力：推動(dòng)企業(yè)采用零信任架構(gòu)，提高網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。
• 打擊網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)：針對(duì)惡意軟件開(kāi)發(fā)者、虛擬貨幣洗錢渠道展開(kāi)打擊。
• 加強(qiáng)國(guó)際合作：推動(dòng)國(guó)際組織共同打擊網(wǎng)絡(luò)犯罪，并協(xié)調(diào)制裁措施。
• 提高公眾安全意識(shí)：普及網(wǎng)絡(luò)安全知識(shí)，鼓勵(lì)企業(yè)和個(gè)人采取防護(hù)措施。
• 促進(jìn)企業(yè)采用安全技術(shù)：優(yōu)先使用具有良好安全記錄的信創(chuàng)技術(shù)，并推進(jìn)數(shù)字化轉(zhuǎn)型。

結(jié)論

網(wǎng)絡(luò)犯罪已成為全球性國(guó)家安全威脅，尤其是當(dāng)APT組織和犯罪集團(tuán)融合時(shí)，其破壞力進(jìn)一步增強(qiáng)。應(yīng)對(duì)這一問(wèn)題需要政府、企業(yè)和國(guó)際組織共同努力，以系統(tǒng)性的方法切斷其生態(tài)鏈，減少攻擊影響，提高全球網(wǎng)絡(luò)安全水平。