《2021年勒索攻擊特征與趨勢(shì)研究白皮書(shū)》重磅發(fā)布

發(fā)布時(shí)間 2021-11-12

勒索軟件又稱為“贖金木馬”,勒索軟件攻擊是指網(wǎng)絡(luò)攻擊者通過(guò)鎖定設(shè)備或加密文件等方式阻止用戶對(duì)系統(tǒng)或數(shù)據(jù)的正常訪問(wèn),并要挾受害者支付贖金的行為。如同我們把錢(qián)放在保險(xiǎn)箱,小偷沒(méi)有撬開(kāi)保險(xiǎn)箱偷錢(qián),反而把放保險(xiǎn)箱的房間加了把鎖。如果沒(méi)有房間的鑰匙,我們依然拿不到保險(xiǎn)箱里的錢(qián)。隨著 AI、5G、物聯(lián)網(wǎng)等技術(shù)的快速普及和應(yīng)用,以及加密貨幣的持續(xù)火爆,如今勒索攻擊呈現(xiàn)出持續(xù)高發(fā)態(tài)勢(shì)。勒索攻擊已經(jīng)成為未來(lái)一段時(shí)期網(wǎng)絡(luò)安全的主要威脅之一,如何有效防范勒索攻擊成為當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域關(guān)注和討論的焦點(diǎn)。

勒索攻擊成為全球新挑戰(zhàn)

產(chǎn)業(yè)互聯(lián)網(wǎng)時(shí)代,安全范疇進(jìn)一步擴(kuò)大。攻擊發(fā)起方已經(jīng)從過(guò)去個(gè)人、單點(diǎn)黑客行為向組織化、系統(tǒng)化、專業(yè)化方向快速蔓延。一方面基礎(chǔ)設(shè)施、物理資產(chǎn)、生命安全都將成為比特世界的潛在攻擊對(duì)象,安全保障能力成為行業(yè)發(fā)展的“生命線”。另一方面,數(shù)字化貫穿企業(yè)研發(fā)、制造、物流、服務(wù)等全流程,安全需求覆蓋全部環(huán)節(jié),安全能力的強(qiáng)弱程度逐漸成為企業(yè)持續(xù)發(fā)展的“天花板”。

微信截圖_20211224101617.png

(一)安全是產(chǎn)業(yè)互聯(lián)網(wǎng)的基石

一方面,產(chǎn)業(yè)數(shù)字化促使數(shù)字經(jīng)濟(jì)加快進(jìn)入高級(jí)階段,生產(chǎn)效率的提高更加依賴數(shù)據(jù)深度挖掘和全流程打通。另一方面,傳統(tǒng)產(chǎn)業(yè)安全防護(hù)能力參差不齊,海量設(shè)備接入網(wǎng)絡(luò)當(dāng)中,網(wǎng)絡(luò)安全、數(shù)據(jù)安全在全流程應(yīng)用場(chǎng)景中均涉及。因此,網(wǎng)絡(luò)攻擊、勒索攻擊、DDoS 攻擊逐漸增多,攻擊面逐漸擴(kuò)大化。

基礎(chǔ)設(shè)施成為攻擊重點(diǎn)

當(dāng)前,網(wǎng)絡(luò)攻擊更加組織化、系統(tǒng)化、專業(yè)化,攻擊范圍向行業(yè)、基礎(chǔ)設(shè)施領(lǐng)域拓展,金融、交通、醫(yī)療、城市管理等領(lǐng)域都成為新的攻擊對(duì)象。一旦基礎(chǔ)設(shè)施遭受攻擊,將導(dǎo)致整個(gè)產(chǎn)業(yè)鏈的停擺或癱瘓,甚至影響社會(huì)穩(wěn)定。以醫(yī)療衛(wèi)生行業(yè)為例,醫(yī)療數(shù)字化一直是社會(huì)關(guān)注焦點(diǎn),隨著大量數(shù)字化設(shè)備和醫(yī)療設(shè)備的廣泛應(yīng)用,醫(yī)療效率、就醫(yī)體驗(yàn)、服務(wù)精準(zhǔn)度都有大幅提升,但也給安全防護(hù)和醫(yī)療數(shù)據(jù)安全保護(hù)帶來(lái)新的挑戰(zhàn)。

惡意攻擊實(shí)時(shí)化全面化

惡意攻擊不分時(shí)間和地點(diǎn),隨時(shí)對(duì)目標(biāo)發(fā)起攻擊,因此,安全投入資源不足、安全監(jiān)測(cè)能力較低、安全防御碎片化的企業(yè)和機(jī)構(gòu),將面臨較大風(fēng)險(xiǎn)。安全防護(hù)需要做到前置和未雨綢繆,不論是個(gè)人、企業(yè)、還是民用設(shè)施、基礎(chǔ)設(shè)施都可能成為惡意攻擊的跳板,鏈條中的薄弱環(huán)節(jié)將成為攻擊的重要突破口。

微信截圖_20211224101630.png

(二)技術(shù)破壞式創(chuàng)新帶來(lái)安全挑戰(zhàn)

技術(shù)創(chuàng)新確實(shí)在造福民眾和提升經(jīng)濟(jì)社會(huì)效率方面發(fā)揮牽引作用;但同時(shí),新技術(shù)也是一把雙刃劍,容易引發(fā)新的安全風(fēng)險(xiǎn),給現(xiàn)有安全保障措施帶來(lái)巨大挑戰(zhàn)。

海量終端與網(wǎng)絡(luò)虛擬化帶來(lái)更多攻擊面

一方面,海量多樣化終端接入網(wǎng)絡(luò)。智能終端設(shè)備的接入規(guī)模、技術(shù)架構(gòu)的異質(zhì)化帶來(lái)了安全管理難度和復(fù)雜度的提升。另一方面,新型網(wǎng)絡(luò)架構(gòu)導(dǎo)致安全邊界模糊。新技術(shù)研發(fā)中廣泛使用開(kāi)源代碼,帶來(lái)了新的安全設(shè)計(jì)缺陷和安全漏洞。同時(shí),基于網(wǎng)絡(luò)切片端到端邏輯虛擬網(wǎng)絡(luò)技術(shù)的垂直領(lǐng)域應(yīng)用,在資源共享、跨領(lǐng)域安全、身份認(rèn)證和權(quán)限控制等方面出現(xiàn)新的安全風(fēng)險(xiǎn)。

隱私保護(hù)與數(shù)據(jù)共享面臨挑戰(zhàn)

當(dāng)前,數(shù)據(jù)已經(jīng)成為企業(yè)的重要核心資產(chǎn)。能否對(duì)數(shù)據(jù)進(jìn)行有效運(yùn)用和深度挖掘,成為衡量一家企業(yè)能否創(chuàng)造價(jià)值的重要依據(jù)之一。技術(shù)溢出帶來(lái)的風(fēng)險(xiǎn)、算法難解釋性與黑箱性、數(shù)據(jù)質(zhì)量導(dǎo)致計(jì)算結(jié)果可控性差、用戶權(quán)益與隱私屢遭侵犯等是當(dāng)前數(shù)據(jù)安全面臨的巨大挑戰(zhàn)。同時(shí),隱私保護(hù)和信息共享缺乏統(tǒng)一技術(shù)標(biāo)準(zhǔn)和治理框架。

(三)勒索攻擊帶來(lái)的安全風(fēng)險(xiǎn)和挑戰(zhàn)

如果勒索攻擊沒(méi)有得到有效解決,將會(huì)帶來(lái)大量潛在風(fēng)險(xiǎn)。一是監(jiān)管風(fēng)險(xiǎn),以歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)為例,備份和災(zāi)難恢復(fù)是 GDPR 的必選項(xiàng),如果被攻擊的機(jī)構(gòu)沒(méi)有按照法規(guī)定期對(duì)數(shù)據(jù)進(jìn)行備份,將會(huì)面臨罰款等懲罰措施。二是服務(wù)風(fēng)險(xiǎn),數(shù)據(jù)或文件被加密或泄露,機(jī)構(gòu)將被迫停止其經(jīng)營(yíng)活動(dòng),如果受害機(jī)構(gòu)沒(méi)有可以恢復(fù)正常運(yùn)營(yíng)的備份數(shù)據(jù),可能會(huì)導(dǎo)致客戶的投訴和不滿,最終失去客戶。三是經(jīng)濟(jì)風(fēng)險(xiǎn),數(shù)據(jù)恢復(fù)流程長(zhǎng)、復(fù)雜度高,費(fèi)用昂貴。恢復(fù)已遭破壞的數(shù)據(jù)時(shí)需要重新收集數(shù)據(jù),這使得機(jī)構(gòu)信譽(yù)受到質(zhì)疑,對(duì)機(jī)構(gòu)品牌帶來(lái)較大損害。

二、勒索攻擊的主要特點(diǎn)

(一)勒索攻擊行為隱蔽性強(qiáng)且危害顯著

隱蔽性是勒索攻擊的典型攻擊策略。勒索攻擊善于利用各種偽裝達(dá)到入侵目的,常見(jiàn)的傳播手段有垃圾郵件、網(wǎng)頁(yè)廣告、系統(tǒng)漏洞、U 盤(pán)等。調(diào)查發(fā)現(xiàn),某些勒索攻擊事件的制造者利用尚未被發(fā)現(xiàn)的網(wǎng)絡(luò)攻擊策略、技術(shù)和程序,不僅將后門(mén)偷偷嵌入代碼中,而且可以與被感染系統(tǒng)通信而不被發(fā)現(xiàn)。

此外,勒索攻擊一般具有明確的攻擊目標(biāo)和強(qiáng)烈的勒索目的,勒索目的由獲取錢(qián)財(cái)轉(zhuǎn)向竊取商業(yè)數(shù)據(jù)和政治機(jī)密,危害性日益增強(qiáng)。

(二)勒索病毒變異較快且易傳播

目前,活躍在市面上的勒索攻擊病毒種類繁多,而且每個(gè)家族的勒索病毒也處于不斷地更新變異之中。很多勒索軟件編寫(xiě)者知道安全人員試圖對(duì)其軟件進(jìn)行“逆向工程”,從而不斷改進(jìn)勒索軟件變體以逃避偵查。以下是 VirusTotal 對(duì)勒索樣本更新速度的追蹤趨勢(shì)圖,由此可見(jiàn)大部分時(shí)候,勒索軟件作者都實(shí)現(xiàn)了對(duì)樣本的快速更新,總是使用新的樣本進(jìn)行攻擊投遞,以躲避檢測(cè)。

微信截圖_20211224102004.png

(三)勒索攻擊路徑和目標(biāo)多元化發(fā)展

早期大部分勒索軟件以垃圾郵件、程序木馬、網(wǎng)頁(yè)掛馬等方式進(jìn)行傳播,然而,近年來(lái),越來(lái)越多的攻擊事件表明,勒索攻擊正在由被動(dòng)式攻擊轉(zhuǎn)為主動(dòng)式攻擊。

勒索攻擊目標(biāo)呈現(xiàn)多元化發(fā)展。第一,是從電腦端到移動(dòng)端。勒索病毒大多以電腦設(shè)備為攻擊目標(biāo),其中 Windows 操作系統(tǒng)是重災(zāi)區(qū)。但是,隨著移動(dòng)互聯(lián)網(wǎng)的普及,勒索攻擊的戰(zhàn)場(chǎng)從電腦端蔓延至移動(dòng)端,并且有愈演愈烈的趨勢(shì)。第二,是從個(gè)人用戶到企業(yè)設(shè)備。個(gè)人設(shè)備在勒索軟件攻擊目標(biāo)中一直占據(jù)較高比例,但是,隨著傳統(tǒng)勒索軟件盈利能力的持續(xù)下降,對(duì)更高利潤(rùn)索取的期待驅(qū)使網(wǎng)絡(luò)攻擊者將目標(biāo)重點(diǎn)聚焦在政府或企業(yè)的關(guān)鍵業(yè)務(wù)系統(tǒng)和服務(wù)器上。

微信截圖_20211224102022.png

(四)受勒索攻擊領(lǐng)域更加寬泛

勒索軟件攻勢(shì)愈演愈烈,受到勒索攻擊的領(lǐng)域和行業(yè)也覆蓋關(guān)鍵基礎(chǔ)設(shè)施等,涉及金融、醫(yī)療、教育、食品等行業(yè)。2021 年的幾次勒索攻擊事件致使關(guān)鍵燃料管道、大型肉類加工企業(yè)以及其他對(duì)于民眾日常生活與安全至關(guān)重要的基礎(chǔ)設(shè)施陷入癱瘓。這也使越來(lái)越多的普通民眾可以感受到勒索攻擊造成的影響。

三、勒索攻擊七大發(fā)展趨勢(shì)

在后疫情時(shí)代,勒索攻擊手段日趨成熟、攻擊目標(biāo)越發(fā)明確,模式多種多樣,攻擊愈發(fā)隱蔽,更加難以防范,危害也日益增大。隨著勒索攻擊專業(yè)化、團(tuán)隊(duì)化運(yùn)作,勒索攻擊逐漸發(fā)展出新的攻擊趨勢(shì)。

(一)影響社會(huì)正常運(yùn)轉(zhuǎn)且難解密

解密勒索攻擊使用的加密手段越來(lái)越復(fù)雜多樣,絕大多數(shù)不能被解密,因其所采用的非對(duì)稱加密算法的密鑰長(zhǎng)度長(zhǎng)且很難被反向破解。業(yè)內(nèi)專家普遍認(rèn)為遭受勒索攻擊之后,沒(méi)有“特效藥”。受害者往往需要在支付巨額贖金和數(shù)據(jù)恢復(fù)重建中做出選擇。

(二)勒索軟件即服務(wù)成為網(wǎng)絡(luò)攻擊新模式

隨著云計(jì)算、人工智能等新技術(shù)的快速普及和應(yīng)用,勒索軟件即服務(wù)(SaaS)成為當(dāng)前網(wǎng)絡(luò)攻擊的新模式。

勒索攻擊從制作、傳播、攻擊到收益呈現(xiàn)系統(tǒng)化、便捷化趨勢(shì),開(kāi)發(fā)者可以提供一整套解決方案,甚至包括利用加密貨幣進(jìn)行贖金支付等服務(wù)。

微信截圖_20211224102034.png

(三)加密貨幣普及助推贖金快速增長(zhǎng)

勒索攻擊的制造者對(duì)贖金的要求越來(lái)越高。高額贖金不僅讓網(wǎng)絡(luò)攻擊者賺得盆滿缽滿,同時(shí),勒索攻擊者可以借此招攬更多人鋌而走險(xiǎn)加入勒索攻擊行列。對(duì)于網(wǎng)絡(luò)攻擊者來(lái)說(shuō),勒索模式和網(wǎng)絡(luò)入侵相結(jié)合是一種較為便利的套現(xiàn)模式。隨著加密貨幣成為近年來(lái)社會(huì)關(guān)注的焦點(diǎn),尤其是加密貨幣的匿名化和難以追溯性導(dǎo)致監(jiān)管部門(mén)很難對(duì)其進(jìn)行管理。

(四)基礎(chǔ)設(shè)施成為攻擊重點(diǎn)

近年來(lái),勒索攻擊對(duì)象涉及面越來(lái)越廣,目前主要針對(duì)掌握大量數(shù)據(jù)的大型企業(yè),且定向精準(zhǔn)攻擊趨勢(shì)愈發(fā)明顯,勒索攻擊日趨 APT 化。所謂 APT 化,即攻擊不計(jì)成本、不擇手段,從低權(quán)限賬號(hào)入手,持續(xù)滲透攻擊,直到控制企業(yè)核心服務(wù)器,再釋放勒索病毒,使巨型企業(yè)徹底癱瘓。

有報(bào)告顯示,2020 年,美國(guó)有約 2400 家醫(yī)療機(jī)構(gòu)、學(xué)校和政府部門(mén)遭受勒索攻擊,新冠肺炎疫情導(dǎo)致越來(lái)越多的人依賴遠(yuǎn)程辦公,這在某種程度上進(jìn)一步增加了勒索攻擊的頻次和概率。

微信截圖_20211224102042.png

(五)“多重勒索”模式引發(fā)數(shù)據(jù)泄露風(fēng)險(xiǎn)

時(shí)至今日,勒索攻擊已經(jīng)逐漸演變成先竊取商業(yè)信息和內(nèi)部機(jī)密,而后威脅企業(yè)不繳納贖金將公開(kāi)數(shù)據(jù),在此基礎(chǔ)上,攻擊者還威脅受害者如果不支付贖金就會(huì)發(fā)動(dòng)“拒絕阻斷服務(wù)攻擊”,使得受害者服務(wù)器超負(fù)荷運(yùn)轉(zhuǎn),直至服務(wù)器癱瘓。這種新模式也被稱為“多重勒索”。

在這種情況下,如果受害者不支付贖金,不僅僅數(shù)據(jù)難以解密,還將面臨信息被公布或者被拍賣出去的危險(xiǎn),給企業(yè)或機(jī)構(gòu)造成較為復(fù)雜的外部危害。越來(lái)越多的勒索攻擊事件表明,“多重勒索”模式已成為現(xiàn)今網(wǎng)絡(luò)攻擊者實(shí)施攻擊的重要手段。

微信截圖_20211224102055.png

(六)供應(yīng)鏈成為勒索攻擊重要切入點(diǎn)

隨著產(chǎn)業(yè)鏈上下游企業(yè)數(shù)字化水平和效率的提升,更多企業(yè)打通上下游數(shù)據(jù)鏈條,合作程度加深,產(chǎn)業(yè)鏈安全防護(hù)能力取決于產(chǎn)業(yè)鏈中安全最薄弱環(huán)節(jié)或企業(yè)。安全風(fēng)險(xiǎn)開(kāi)始向更廣范圍和更基礎(chǔ)領(lǐng)域擴(kuò)散。

(七)引發(fā)網(wǎng)絡(luò)保險(xiǎn)行業(yè)的惡性循環(huán)

高額的網(wǎng)絡(luò)攻擊成本催生了對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)保險(xiǎn)的龐大需求市場(chǎng),近年來(lái),還出現(xiàn)了勒索攻擊談判公司,這些公司專門(mén)負(fù)責(zé)與攻擊者進(jìn)行談判,期望將贖金壓低。這些公司通常是保險(xiǎn)公司找來(lái)的。

然而,網(wǎng)絡(luò)保險(xiǎn)行業(yè)欣欣向榮的表象下,卻潛藏著巨大的惡性循環(huán)危機(jī)。由于最近幾個(gè)月來(lái)全球幾大公司接連遭到災(zāi)難性的勒索攻擊,越來(lái)越多的企業(yè)向網(wǎng)絡(luò)保險(xiǎn)和再保險(xiǎn)公司尋求幫助,網(wǎng)絡(luò)攻擊者特意挑選投保了網(wǎng)絡(luò)保險(xiǎn)的公司作為攻擊目標(biāo),更加有針對(duì)性地實(shí)施勒索攻擊,使得網(wǎng)絡(luò)犯罪的成功率大幅提升,整體網(wǎng)絡(luò)環(huán)境面臨加速惡化的窘境。

四、防范勒索攻擊建議與思考

防范勒索攻擊的重點(diǎn)應(yīng)在事前防御環(huán)節(jié)而不是放在遭受攻擊后的解密環(huán)節(jié)。從企業(yè)和個(gè)人層面看,防范勒索攻擊需要提升網(wǎng)絡(luò)安全能力、進(jìn)行數(shù)據(jù)備份、提高人員意識(shí)等多個(gè)方面,從總體上不斷提升安全防護(hù)能力,不給勒索攻擊以可乘之機(jī)。

(一)構(gòu)建安全前置能力, 提升“免疫力”

因此,對(duì)于企業(yè)來(lái)說(shuō),首先,要利用人工智能、大數(shù)據(jù)、云計(jì)算等新技術(shù)實(shí)現(xiàn)安全能力在業(yè)務(wù)環(huán)節(jié)的前置,提前預(yù)判潛在安全風(fēng)險(xiǎn);其次,要對(duì)安全專家或人才能力進(jìn)行量化,使過(guò)往積累的安全經(jīng)驗(yàn)與能力標(biāo)準(zhǔn)化、流程化,以實(shí)現(xiàn)安全能力的量化部署;定期開(kāi)展風(fēng)險(xiǎn)評(píng)估,及時(shí)修復(fù)安全漏洞,定期更新殺毒軟件,關(guān)停不必要的服務(wù)和端口。

(二)增強(qiáng)人員安全意識(shí) ,降低攻擊風(fēng)險(xiǎn)

應(yīng)對(duì)勒索攻擊,增強(qiáng)員工安全意識(shí)與加強(qiáng)數(shù)據(jù)備份同等重要:對(duì)從業(yè)人員的安全意識(shí)、安全素養(yǎng)的訓(xùn)練是長(zhǎng)久、持續(xù)的過(guò)程。

增強(qiáng)安全意識(shí)

企業(yè)要加強(qiáng)安全知識(shí)的宣傳力度,使從業(yè)人員對(duì)各種可能出現(xiàn)的可疑情況保持高度警惕。不點(diǎn)擊來(lái)歷不明的郵件;不打開(kāi)來(lái)源不可靠網(wǎng)站;不安裝來(lái)源不明軟件;不插拔來(lái)歷不明存儲(chǔ)介質(zhì)等。

加強(qiáng)數(shù)據(jù)備份

必須在平日里就做好重要數(shù)據(jù)的備份工作,且最好使用本地存儲(chǔ)和云端雙備份的策略。同時(shí),應(yīng)嚴(yán)格限制對(duì)備份系統(tǒng)的訪問(wèn)權(quán)限,防止勒索攻擊橫移對(duì)備份數(shù)據(jù)進(jìn)行加密。


微信截圖_20211224102104.png