勒索軟件是網(wǎng)絡(luò)安全領(lǐng)域最大的威脅之一。根據(jù)身份盜竊資源中心的數(shù)據(jù)，2020年有878起網(wǎng)絡(luò)攻擊事件，其中18%的攻擊事件來(lái)自勒索軟件[1]。 這種威脅是Palo Alto Networks（派拓網(wǎng)絡(luò)）關(guān)注的重點(diǎn)領(lǐng)域之一。

為了評(píng)估勒索軟件威脅的現(xiàn)狀，Palo Alto Networks（派拓網(wǎng)絡(luò)）威脅情報(bào)團(tuán)隊(duì)Unit 42和事件響應(yīng)團(tuán)隊(duì)The Crypsis Group合作分析了2020年的勒索軟件威脅狀況（研究基于Unit 42的全球數(shù)據(jù)以及Crypsis的美國(guó)、加拿大和歐洲數(shù)據(jù)）。

這份報(bào)告詳細(xì)介紹了最主要的勒索軟件變種（附有每個(gè)變種的威脅評(píng)估鏈接）、勒索軟件平均支付額、勒索軟件預(yù)測(cè)以及可立即降低勒索軟件風(fēng)險(xiǎn)的可行性步驟。

網(wǎng)絡(luò)犯罪分子賺取和索取的金錢(qián)比以往任何時(shí)候都多

企業(yè)平均支付的贖金從2019年的115,123美元增加到2020年的312,493美元，同比增長(zhǎng)171%。此外，企業(yè)支付的最高贖金從2019年到2020年翻了一番，從500萬(wàn)美元增加到1000萬(wàn)美元。與此同時(shí)，網(wǎng)絡(luò)犯罪分子也越來(lái)越貪婪。從2015年到2019年，勒索軟件的最高贖金是1500萬(wàn)美元。2020年，勒索軟件的最高贖金增長(zhǎng)到3000萬(wàn)美元。

值得注意的是，2020年Maze勒索軟件的平均贖金為480萬(wàn)美元，與2020年所有勒索軟件的平均贖金847,344美元相比，有了顯著增長(zhǎng)。網(wǎng)絡(luò)犯罪分子知道他們可以通過(guò)勒索軟件賺錢(qián)，并且在索要贖金方面變得越發(fā)大膽。

醫(yī)療機(jī)構(gòu)成為新目標(biāo)

世界因新冠疫情而改變，勒索軟件運(yùn)營(yíng)商則利用疫情對(duì)企業(yè)進(jìn)行掠奪，特別是醫(yī)療行業(yè)，成為2020年勒索軟件最關(guān)注的行業(yè)。勒索軟件運(yùn)營(yíng)商在攻擊中厚顏無(wú)恥地試圖賺取盡可能多的錢(qián)，因?yàn)樗麄冎泪t(yī)療機(jī)構(gòu)需要繼續(xù)運(yùn)營(yíng)以治療新冠患者并幫助拯救生命，無(wú)法承擔(dān)系統(tǒng)被鎖定的后果，更有可能支付贖金。

Ryuk勒索軟件在眾多勒索軟件中脫穎而出。2020年10月，美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）、聯(lián)邦調(diào)查局（FBI）、衛(wèi)生與人類(lèi)服務(wù)部（HHS）聯(lián)合發(fā)布網(wǎng)絡(luò)安全預(yù)警，警告醫(yī)療機(jī)構(gòu)防范Ryuk勒索軟件攻擊。

雙重勒索的興起

常見(jiàn)的勒索軟件攻擊包括勒索軟件運(yùn)營(yíng)商對(duì)數(shù)據(jù)進(jìn)行加密，并強(qiáng)迫受害者支付贖金以解鎖數(shù)據(jù)。在雙重勒索中，勒索軟件運(yùn)營(yíng)商會(huì)加密并竊取數(shù)據(jù)，進(jìn)一步脅迫受害者支付贖金。如果不支付，勒索軟件運(yùn)營(yíng)商就會(huì)將數(shù)據(jù)公布到泄漏網(wǎng)站或暗網(wǎng)，大部分?jǐn)?shù)據(jù)泄漏網(wǎng)站都托管在暗網(wǎng)，而這些托管站點(diǎn)由勒索軟件運(yùn)營(yíng)商創(chuàng)建和管理?，F(xiàn)在至少有16種不同的勒索軟件變種威脅要泄漏數(shù)據(jù)或利用泄漏網(wǎng)站，更多的勒索軟件變種可能會(huì)延續(xù)這種趨勢(shì)。

利用這種手段最多的勒索軟件是NetWalker。從2020年1月到2021年1月，NetWalker泄漏了全球113家受害企業(yè)的數(shù)據(jù)（見(jiàn)下圖），遠(yuǎn)遠(yuǎn)超過(guò)了其他勒索軟件。RagnarLocker排名第二，泄漏了全球26家受害企業(yè)的數(shù)據(jù)。值得一提的是，美國(guó)司法部在2021年1月宣布協(xié)調(diào)國(guó)際執(zhí)法行動(dòng)，瓦解NetWalker勒索軟件團(tuán)伙。由NetWalker運(yùn)營(yíng)商管理的托管泄漏數(shù)據(jù)的暗網(wǎng)域名已經(jīng)無(wú)法訪(fǎng)問(wèn)。

圖：2020年1月至2021年1月，按勒索軟件劃分且數(shù)據(jù)公布在泄漏網(wǎng)站的全球受害企業(yè)數(shù)量

建議

防范勒索軟件攻擊與防范其他惡意軟件類(lèi)似。然而，它對(duì)企業(yè)的風(fēng)險(xiǎn)要高得多。

初始訪(fǎng)問(wèn)

所有勒索軟件變種的初始訪(fǎng)問(wèn)相對(duì)一致。企業(yè)應(yīng)保持用戶(hù)對(duì)電子郵件安全的認(rèn)識(shí)和培訓(xùn)，并考慮如何在惡意電子郵件進(jìn)入員工郵箱后立即識(shí)別和補(bǔ)救。企業(yè)還應(yīng)該確保進(jìn)行適當(dāng)?shù)难a(bǔ)丁管理，并審查哪些服務(wù)可能暴露在互聯(lián)網(wǎng)上。遠(yuǎn)程桌面服務(wù)應(yīng)正確配置并確保安全，盡可能使用最低權(quán)限原則，并制定策略以檢測(cè)與暴力攻擊相關(guān)的模式。

備份和恢復(fù)流程

企業(yè)應(yīng)繼續(xù)備份數(shù)據(jù)，并提前規(guī)劃好適當(dāng)?shù)幕謴?fù)流程。勒索軟件運(yùn)營(yíng)商將針對(duì)現(xiàn)場(chǎng)備份進(jìn)行加密，因此企業(yè)應(yīng)確保所有備份都在離線(xiàn)狀態(tài)下安全保存。必須與關(guān)鍵利益相關(guān)者一起實(shí)施并演練恢復(fù)流程，以便在發(fā)生勒索軟件攻擊時(shí)盡量縮短企業(yè)的停機(jī)時(shí)間并降低成本。

安全控制

防范勒索軟件的最有效形式是端點(diǎn)安全、URL過(guò)濾或Web保護(hù)、高級(jí)威脅防御（未知威脅/沙盒）以及部署到所有企業(yè)環(huán)境和設(shè)備的反釣魚(yú)解決方案。雖然這些不能完全保證預(yù)防，但它們將極大地降低常見(jiàn)變種的感染風(fēng)險(xiǎn)，并提供應(yīng)急措施，讓一種技術(shù)在另一種技術(shù)可能無(wú)效時(shí)提供一系列強(qiáng)制措施。

Palo Alto Networks（派拓網(wǎng)絡(luò)）的實(shí)力

云交付安全服務(wù)通過(guò)各種安全技術(shù)為成千上萬(wàn)的客戶(hù)帶來(lái)網(wǎng)絡(luò)效應(yīng)，以協(xié)調(diào)情報(bào)并為所有攻擊載體提供一致的保護(hù)。我們的服務(wù)部署在一系列基于機(jī)器學(xué)習(xí)技術(shù)的下一代防火墻（PA-Series硬件、 VM-Series和 CN-Series軟件，以及云交付的 Prisma? Access）上，消除了獨(dú)立網(wǎng)絡(luò)安全工具造成的覆蓋缺口：

● WildFire? 惡意軟件防御服務(wù)可檢測(cè)與已知和未知勒索軟件變種以及其他文件威脅相關(guān)的活動(dòng)。

●URL過(guò)濾功能可配置為阻止訪(fǎng)問(wèn)可疑類(lèi)別的URL，防止主機(jī)通過(guò)HTTP接觸到Palo Alto Networks（派拓網(wǎng)絡(luò)）已經(jīng)監(jiān)測(cè)到的主機(jī)可疑內(nèi)容/惡意軟件的Web服務(wù)器。

● 威脅防御功能利用防火墻的可視能力檢查所有流量，并自動(dòng)防御已知威脅，不受端口、協(xié)議或SSL加密影響，在攻擊的每個(gè)階段都可對(duì)抗威脅。啟用漏洞保護(hù)配置文件后，該服務(wù)還可以檢測(cè)暴力攻擊。

● 企業(yè)級(jí)數(shù)據(jù)防泄漏服務(wù)可防止企業(yè)敏感數(shù)據(jù)離開(kāi)企業(yè)網(wǎng)絡(luò)。 

Cortex? XDR包含一個(gè)反勒索軟件模塊以及一個(gè)漏洞防御和反惡意軟件模塊，除了檢測(cè)橫向移動(dòng)外，還可檢測(cè)與勒索軟件和其他商業(yè)惡意軟件相關(guān)的加密活動(dòng)。本地分析檢測(cè)和行為威脅防御功能可以識(shí)別異常活動(dòng)和惡意文件。

如欲了解完整報(bào)告，敬請(qǐng)下載《2021年Unit 42勒索軟件威脅報(bào)告》。