超20億美元，這是2024年一場(chǎng)勒索攻擊企業(yè)帶來的直接經(jīng)濟(jì)損失。然而，這場(chǎng)攻擊的“代價(jià)”遠(yuǎn)不止于此。

這是真實(shí)發(fā)生在美國的事件。據(jù)安全內(nèi)參消息，去年2月，美國醫(yī)療IT公司Change Healthcare遭受了勒索攻擊，導(dǎo)致數(shù)字服務(wù)中斷整整9個(gè)月，直至2024年12月，仍然有少量業(yè)務(wù)功能未恢復(fù)。

作為美國最大的醫(yī)療支付處理公司之一，Change Healthcare每年處理約150億筆交易，此次攻擊不僅對(duì)其自身造成嚴(yán)重影響，還波及整個(gè)醫(yī)療行業(yè)，導(dǎo)致1億人的數(shù)據(jù)泄露。公司CEO因此受到美國相關(guān)部門的質(zhì)詢。

事實(shí)上，類似的案例并不少見，以下是2024年極具代表性的六大勒索攻擊事件。這些事件不僅揭示了勒索攻擊的演變趨勢(shì)和破壞力，也為企業(yè)和組織提供了警示：以古鑒今，防范于未然，通過總結(jié)教訓(xùn)，構(gòu)建更強(qiáng)大的防御體系，才能在未來的網(wǎng)絡(luò)威脅中立于不敗之地。

2024年六大勒索攻擊事件盤點(diǎn)

1、“破紀(jì)錄”的巨額贖金

2024年初，一家全球財(cái)富50強(qiáng)的企業(yè)遭到了Dark Angels勒索軟件團(tuán)伙的攻擊，并被迫支付了7500萬美元（約合人民幣5.4億元）的巨額贖金。據(jù)悉，Dark Angels通過入侵企業(yè)網(wǎng)絡(luò)，竊取了大量數(shù)據(jù)（有報(bào)道稱為100TB1），并以此作為勒索籌碼。他們要求該企業(yè)支付高額贖金以換取數(shù)據(jù)的安全。在面臨數(shù)據(jù)泄露和可能造成的業(yè)務(wù)中斷等嚴(yán)重后果的壓力下，這家企業(yè)最終選擇了支付贖金。據(jù)Zscaler ThreatLabz的報(bào)告以及加密情報(bào)公司Chainalysis的證實(shí)，這筆贖金高達(dá)7500萬美元，創(chuàng)下了全球勒索贖金支付的歷史紀(jì)錄。

2 、重創(chuàng)金融機(jī)構(gòu)

2024年1月8日，美國最大的零售抵押貸款機(jī)構(gòu)之一LoanDepot遭遇了重大勒索軟件攻擊。此次攻擊導(dǎo)致該機(jī)構(gòu)的部分系統(tǒng)被迫下線，進(jìn)而造成約1660萬客戶的敏感個(gè)人信息被盜，這些信息包括社會(huì)保障號(hào)碼和金融賬戶號(hào)碼等關(guān)鍵數(shù)據(jù)。攻擊不僅使LoanDepot遭受了重大的數(shù)據(jù)泄露風(fēng)險(xiǎn)，還迫使其支付了高達(dá)2690萬美元的補(bǔ)救、客戶通知和法律費(fèi)用。

3、零日漏洞被大規(guī)模利用

2024年初，Ivanti產(chǎn)品中的一個(gè)關(guān)鍵零日漏洞被黑客組織大規(guī)模利用，這一漏洞影響了政府、軍事、電信、科技、金融等多個(gè)行業(yè)的客戶。由于該漏洞的存在，黑客能夠輕易地入侵受影響的系統(tǒng)，竊取敏感信息或進(jìn)行破壞活動(dòng)。對(duì)此，美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）緊急發(fā)布了指令，要求所有政府民用聯(lián)邦機(jī)構(gòu)立即修復(fù)這些漏洞，以防止進(jìn)一步的攻擊。

4、滲透關(guān)鍵基礎(chǔ)設(shè)施

2024年1月31日，美國司法部宣布禁用了數(shù)百個(gè)路由器，以遏制Volt Typhoon在通信、能源、交通和水務(wù)等關(guān)鍵部門的網(wǎng)絡(luò)間諜活動(dòng)。Volt Typhoon是一個(gè)高度隱蔽且破壞力極強(qiáng)的網(wǎng)絡(luò)威脅組織，其通過滲透關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)，竊取敏感信息并進(jìn)行破壞活動(dòng)。

5、帶來的數(shù)據(jù)泄露風(fēng)險(xiǎn)

2024年5月，澳大利亞醫(yī)療處方提供商MediSecure遭受了勒索軟件攻擊，導(dǎo)致1290萬人的個(gè)人和健康數(shù)據(jù)被泄露。這次攻擊不僅使MediSecure遭受了重大的數(shù)據(jù)泄露風(fēng)險(xiǎn)，還迫使其因未能獲得政府資助應(yīng)對(duì)此次事件而宣布進(jìn)入自愿管理程序。

6、擾亂醫(yī)療服務(wù)

2024年6月3日，英國NHS醫(yī)院關(guān)鍵病理服務(wù)供應(yīng)商Synnovis遭受了勒索軟件攻擊，導(dǎo)致數(shù)千次手術(shù)和預(yù)約被取消。攻擊者Qilin團(tuán)伙據(jù)稱竊取了400GB的患者數(shù)據(jù)，影響了多個(gè)NHS信托基金的關(guān)鍵醫(yī)療服務(wù)。經(jīng)過數(shù)月的恢復(fù)工作，NHS系統(tǒng)才于10月11日恢復(fù)正常。此次攻擊不僅使NHS遭受了重大的業(yè)務(wù)中斷風(fēng)險(xiǎn)，還對(duì)患者的健康和安全造成了潛在威脅。

勒索攻擊的共同特點(diǎn)

這幾起重大勒索攻擊事件，盡管目標(biāo)不同、手法各異，但展現(xiàn)出一些顯著的共同點(diǎn)，尤其是在影響范圍和行業(yè)沖擊方面：

·巨額經(jīng)濟(jì)損失：勒索攻擊帶來的直接和間接經(jīng)濟(jì)損失巨大。

·關(guān)鍵行業(yè)成為主要目標(biāo)：醫(yī)療、金融、能源、通信和制造業(yè)等關(guān)鍵行業(yè)頻繁遭受攻擊。

·大規(guī)模數(shù)據(jù)泄露：幾乎所有攻擊都伴隨著大規(guī)模數(shù)據(jù)泄露，加劇了數(shù)據(jù)泄露風(fēng)險(xiǎn)。

·攻擊手段復(fù)雜化：攻擊手段越來越復(fù)雜、高級(jí)，勒索組織如Dark Angels、Qilin等呈現(xiàn)出高度組織化和專業(yè)化的特點(diǎn)。

·全球化趨勢(shì)：勒索攻擊的范圍已擴(kuò)大至全球。

反勒索思維：化被動(dòng)為主動(dòng)

面對(duì)日益復(fù)雜的勒索攻擊，企業(yè)不僅需要加強(qiáng)防護(hù)措施，更需要具備“反制”思維。瑞數(shù)信息強(qiáng)調(diào)，建立一套完整的“反勒索體系”比單純建設(shè)防護(hù)措施更為重要。需要公司由上而下對(duì)勒索攻擊有抵御能力，對(duì)勒索攻擊有及時(shí)認(rèn)知和應(yīng)對(duì)能力。

一、反勒索體系構(gòu)建：反制思維+技術(shù)聯(lián)防

1、建立反勒索思維

在網(wǎng)絡(luò)安全領(lǐng)域，有一個(gè)說法是“三分靠技術(shù)，七分靠管理?！倍@里的管理，其實(shí)就是強(qiáng)調(diào)企業(yè)在組織架構(gòu)層面就需要建立“反制“思維，從策略層面構(gòu)建多層次的防御體系。

·建立反勒索思維：企業(yè)應(yīng)從組織架構(gòu)層面建立“反制”思維，構(gòu)建多層次的防御體系。定期進(jìn)行安全意識(shí)培訓(xùn)和模擬演練，幫助員工識(shí)別釣魚郵件、虛假消息等常見攻擊手段，減少人為失誤。

·制定應(yīng)急響應(yīng)計(jì)劃：基于企業(yè)原有的業(yè)務(wù)連續(xù)性計(jì)劃（BCP）或業(yè)務(wù)連續(xù)性管理體系（BCM），將勒索事件的管理納入體系框架中，明確各部門的職責(zé)和應(yīng)對(duì)流程，確保在遭受攻擊時(shí)能夠快速響應(yīng)，最大限度地減少業(yè)務(wù)中斷和數(shù)據(jù)損失。

2、建立“有韌性”的技術(shù)防線

·全面防護(hù)：安全防護(hù)需要從邊界到內(nèi)部核心的全面覆蓋。在構(gòu)建全面、立體的勒索事件管理體系，同步構(gòu)建反制能力，即從技術(shù)層面提升防御能力，這也是反勒索解決方案的核心所在。瑞數(shù)信息的數(shù)據(jù)安全檢測(cè)與應(yīng)急響應(yīng)系統(tǒng)（DDR）通過行為分析與AI檢測(cè)，實(shí)時(shí)監(jiān)控用戶行為，識(shí)別異常操作，動(dòng)態(tài)調(diào)整防護(hù)策略，應(yīng)對(duì)不斷變化的攻擊手段。

·數(shù)據(jù)備份與加密：DDR通過定期備份關(guān)鍵數(shù)據(jù)，并將備份數(shù)據(jù)存儲(chǔ)在隔離的環(huán)境中，企業(yè)可以在遭受攻擊時(shí)快速恢復(fù)業(yè)務(wù)。同時(shí)對(duì)敏感數(shù)據(jù)進(jìn)行加密，即使數(shù)據(jù)被竊取，攻擊者也無法輕易解密，從而降低數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

·威脅情報(bào)共享：瑞數(shù)信息幫助企業(yè)及時(shí)獲取最新的攻擊手法和漏洞信息，提前部署防護(hù)措施。這種基于行業(yè)情報(bào)的預(yù)警機(jī)制，能夠有效提升企業(yè)的主動(dòng)防御能力。

瑞數(shù)數(shù)據(jù)安全檢測(cè)與應(yīng)急響應(yīng)系統(tǒng)（DDR）通過事前、事中和事后的數(shù)據(jù)安全閉環(huán)防護(hù)體系，可對(duì)結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)實(shí)現(xiàn)細(xì)粒度勒索加密檢測(cè)，及時(shí)識(shí)別勒索事件，精準(zhǔn)定位被加密數(shù)據(jù)，快速響應(yīng)恢復(fù)，并確?；謴?fù)數(shù)據(jù)的完整性，縮小勒索事件的影響范圍，確保企業(yè)數(shù)據(jù)安全。

二、“反勒索”化被動(dòng)為主動(dòng)，讓“黑手”無處遁逃

瑞數(shù)信息反勒索方案的核心價(jià)值在于通過高效、完善的方案，企業(yè)能夠?qū)崿F(xiàn)實(shí)時(shí)監(jiān)測(cè)、精準(zhǔn)識(shí)別和防御，讓隱藏的攻擊“黑手”無所遁形，確保在攻擊發(fā)生前有效遏制威脅，大幅降低業(yè)務(wù)損失，幫助企業(yè)從被動(dòng)響應(yīng)轉(zhuǎn)向主動(dòng)防御。

展望未來

勒索攻擊手段仍將持續(xù)演變，攻擊者將不斷尋找新的突破口。企業(yè)若想在這樣復(fù)雜的網(wǎng)絡(luò)環(huán)境中保持安全，必須持續(xù)更新安全策略，構(gòu)建動(dòng)態(tài)適應(yīng)、智能進(jìn)化的防御體系。

而未來的企業(yè)安全體系，不僅需要具備檢測(cè)和防御能力，更需要自適應(yīng)學(xué)習(xí)和自動(dòng)響應(yīng)能力，以應(yīng)對(duì)更加復(fù)雜的威脅模式。

可以預(yù)見，反勒索體系將成為企業(yè)安全戰(zhàn)略的核心基石，為數(shù)字化業(yè)務(wù)的持續(xù)發(fā)展提供堅(jiān)實(shí)支撐。