勒索軟件是網(wǎng)絡(luò)安全領(lǐng)域最大的威脅之一。根據(jù)身份盜竊資源中心的數(shù)據(jù)，2020年有878起網(wǎng)絡(luò)攻擊事件，其中18%的攻擊事件來自勒索軟件[1]。 這種威脅是Palo Alto Networks（派拓網(wǎng)絡(luò)）關(guān)注的重點(diǎn)領(lǐng)域之一。

為了評估勒索軟件威脅的現(xiàn)狀，Palo Alto Networks（派拓網(wǎng)絡(luò)）威脅情報(bào)團(tuán)隊(duì)Unit 42和事件響應(yīng)團(tuán)隊(duì)The Crypsis Group合作分析了2020年的勒索軟件威脅狀況（研究基于Unit 42的全球數(shù)據(jù)以及Crypsis的美國、加拿大和歐洲數(shù)據(jù)）。

這份報(bào)告詳細(xì)介紹了最主要的勒索軟件變種（附有每個變種的威脅評估鏈接）、勒索軟件平均支付額、勒索軟件預(yù)測以及可立即降低勒索軟件風(fēng)險(xiǎn)的可行性步驟。

網(wǎng)絡(luò)犯罪分子賺取和索取的金錢比以往任何時(shí)候都多

企業(yè)平均支付的贖金從2019年的115,123美元增加到2020年的312,493美元，同比增長171%。此外，企業(yè)支付的最高贖金從2019年到2020年翻了一番，從500萬美元增加到1000萬美元。與此同時(shí)，網(wǎng)絡(luò)犯罪分子也越來越貪婪。從2015年到2019年，勒索軟件的最高贖金是1500萬美元。2020年，勒索軟件的最高贖金增長到3000萬美元。

值得注意的是，2020年Maze勒索軟件的平均贖金為480萬美元，與2020年所有勒索軟件的平均贖金847,344美元相比，有了顯著增長。網(wǎng)絡(luò)犯罪分子知道他們可以通過勒索軟件賺錢，并且在索要贖金方面變得越發(fā)大膽。

醫(yī)療機(jī)構(gòu)成為新目標(biāo)

世界因新冠疫情而改變，勒索軟件運(yùn)營商則利用疫情對企業(yè)進(jìn)行掠奪，特別是醫(yī)療行業(yè)，成為2020年勒索軟件最關(guān)注的行業(yè)。勒索軟件運(yùn)營商在攻擊中厚顏無恥地試圖賺取盡可能多的錢，因?yàn)樗麄冎泪t(yī)療機(jī)構(gòu)需要繼續(xù)運(yùn)營以治療新冠患者并幫助拯救生命，無法承擔(dān)系統(tǒng)被鎖定的后果，更有可能支付贖金。

Ryuk勒索軟件在眾多勒索軟件中脫穎而出。2020年10月，美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）、聯(lián)邦調(diào)查局（FBI）、衛(wèi)生與人類服務(wù)部（HHS）聯(lián)合發(fā)布網(wǎng)絡(luò)安全預(yù)警，警告醫(yī)療機(jī)構(gòu)防范Ryuk勒索軟件攻擊。

雙重勒索的興起

常見的勒索軟件攻擊包括勒索軟件運(yùn)營商對數(shù)據(jù)進(jìn)行加密，并強(qiáng)迫受害者支付贖金以解鎖數(shù)據(jù)。在雙重勒索中，勒索軟件運(yùn)營商會加密并竊取數(shù)據(jù)，進(jìn)一步脅迫受害者支付贖金。如果不支付，勒索軟件運(yùn)營商就會將數(shù)據(jù)公布到泄漏網(wǎng)站或暗網(wǎng)，大部分?jǐn)?shù)據(jù)泄漏網(wǎng)站都托管在暗網(wǎng)，而這些托管站點(diǎn)由勒索軟件運(yùn)營商創(chuàng)建和管理?，F(xiàn)在至少有16種不同的勒索軟件變種威脅要泄漏數(shù)據(jù)或利用泄漏網(wǎng)站，更多的勒索軟件變種可能會延續(xù)這種趨勢。

利用這種手段最多的勒索軟件是NetWalker。從2020年1月到2021年1月，NetWalker泄漏了全球113家受害企業(yè)的數(shù)據(jù)（見下圖），遠(yuǎn)遠(yuǎn)超過了其他勒索軟件。RagnarLocker排名第二，泄漏了全球26家受害企業(yè)的數(shù)據(jù)。值得一提的是，美國司法部在2021年1月宣布協(xié)調(diào)國際執(zhí)法行動，瓦解NetWalker勒索軟件團(tuán)伙。由NetWalker運(yùn)營商管理的托管泄漏數(shù)據(jù)的暗網(wǎng)域名已經(jīng)無法訪問。

圖：2020年1月至2021年1月，按勒索軟件劃分且數(shù)據(jù)公布在泄漏網(wǎng)站的全球受害企業(yè)數(shù)量

建議

防范勒索軟件攻擊與防范其他惡意軟件類似。然而，它對企業(yè)的風(fēng)險(xiǎn)要高得多。

初始訪問

所有勒索軟件變種的初始訪問相對一致。企業(yè)應(yīng)保持用戶對電子郵件安全的認(rèn)識和培訓(xùn)，并考慮如何在惡意電子郵件進(jìn)入員工郵箱后立即識別和補(bǔ)救。企業(yè)還應(yīng)該確保進(jìn)行適當(dāng)?shù)难a(bǔ)丁管理，并審查哪些服務(wù)可能暴露在互聯(lián)網(wǎng)上。遠(yuǎn)程桌面服務(wù)應(yīng)正確配置并確保安全，盡可能使用最低權(quán)限原則，并制定策略以檢測與暴力攻擊相關(guān)的模式。

備份和恢復(fù)流程

企業(yè)應(yīng)繼續(xù)備份數(shù)據(jù)，并提前規(guī)劃好適當(dāng)?shù)幕謴?fù)流程。勒索軟件運(yùn)營商將針對現(xiàn)場備份進(jìn)行加密，因此企業(yè)應(yīng)確保所有備份都在離線狀態(tài)下安全保存。必須與關(guān)鍵利益相關(guān)者一起實(shí)施并演練恢復(fù)流程，以便在發(fā)生勒索軟件攻擊時(shí)盡量縮短企業(yè)的停機(jī)時(shí)間并降低成本。

安全控制

防范勒索軟件的最有效形式是端點(diǎn)安全、URL過濾或Web保護(hù)、高級威脅防御（未知威脅/沙盒）以及部署到所有企業(yè)環(huán)境和設(shè)備的反釣魚解決方案。雖然這些不能完全保證預(yù)防，但它們將極大地降低常見變種的感染風(fēng)險(xiǎn)，并提供應(yīng)急措施，讓一種技術(shù)在另一種技術(shù)可能無效時(shí)提供一系列強(qiáng)制措施。

Palo Alto Networks（派拓網(wǎng)絡(luò)）的實(shí)力

云交付安全服務(wù)通過各種安全技術(shù)為成千上萬的客戶帶來網(wǎng)絡(luò)效應(yīng)，以協(xié)調(diào)情報(bào)并為所有攻擊載體提供一致的保護(hù)。我們的服務(wù)部署在一系列基于機(jī)器學(xué)習(xí)技術(shù)的下一代防火墻（PA-Series硬件、 VM-Series和 CN-Series軟件，以及云交付的 Prisma? Access）上，消除了獨(dú)立網(wǎng)絡(luò)安全工具造成的覆蓋缺口：

● WildFire? 惡意軟件防御服務(wù)可檢測與已知和未知勒索軟件變種以及其他文件威脅相關(guān)的活動。

●URL過濾功能可配置為阻止訪問可疑類別的URL，防止主機(jī)通過HTTP接觸到Palo Alto Networks（派拓網(wǎng)絡(luò)）已經(jīng)監(jiān)測到的主機(jī)可疑內(nèi)容/惡意軟件的Web服務(wù)器。

● 威脅防御功能利用防火墻的可視能力檢查所有流量，并自動防御已知威脅，不受端口、協(xié)議或SSL加密影響，在攻擊的每個階段都可對抗威脅。啟用漏洞保護(hù)配置文件后，該服務(wù)還可以檢測暴力攻擊。

● 企業(yè)級數(shù)據(jù)防泄漏服務(wù)可防止企業(yè)敏感數(shù)據(jù)離開企業(yè)網(wǎng)絡(luò)。 

Cortex? XDR包含一個反勒索軟件模塊以及一個漏洞防御和反惡意軟件模塊，除了檢測橫向移動外，還可檢測與勒索軟件和其他商業(yè)惡意軟件相關(guān)的加密活動。本地分析檢測和行為威脅防御功能可以識別異常活動和惡意文件。

如欲了解完整報(bào)告，敬請下載《2021年Unit 42勒索軟件威脅報(bào)告》。