勒索軟件已成為一種日益普遍的全球威脅，2021年上半年，在眾多網(wǎng)絡威脅中表現(xiàn)最為亮眼也最為瘋狂。據(jù)SonicWall報告稱，相比2020年上半年，2021上半年勒索軟件攻擊數(shù)量增長了151%。攻擊規(guī)模和頻率以驚人的速度增長，復雜性和創(chuàng)新水平不斷提高，成為政府、企業(yè)、個人最為關注的安全風險之一，也是網(wǎng)絡安全最重大威脅之一。因此，有必要從發(fā)生原因、發(fā)展特點、打擊措施和防御建議等方面進行分析研究。

　　一

　　2021年上半年大型勒索攻擊事件回顧

　　勒索軟件作為最具破壞性且傳播廣泛的一種惡意軟件，旨在加密目標設備上的文件，阻止目標訪問，并索要贖金以換取解密密鑰。此外，部分勒索軟件還會在攻擊過程中竊取目標信息，并威脅在暗網(wǎng)上發(fā)布或出售數(shù)據(jù)，對企業(yè)和個人造成嚴重的影響。2021年上半年，全球勒索攻擊事件激增，據(jù)不完全統(tǒng)計，2021年上半年至少發(fā)生了1200多起勒索軟件攻擊事件，攻擊目標向汽車、保險、能源、制造、水務、核武器、軟件供應、電信等關鍵基礎設施行業(yè)發(fā)展。本節(jié)選取部分大型事件予以介紹，以期為各行業(yè)敲響警鐘。

　　2月，起亞汽車美國公司遭DoppelPaymer勒索軟件攻擊，要求兩到三周內(nèi)支付約2000萬美元的比特幣贖金（約合人民幣1.29億元），一旦延期支付，贖金將達到約3000萬美元（約合人民幣1.93億元），同時宣稱若起亞汽車不與之談判，將公布竊取的大量數(shù)據(jù)。

　　3月，美國最大的保險公司之一CAN Financial 遭Phoenix勒索軟件攻擊，因無法自行恢復數(shù)據(jù)，支付了4000萬美元（約合人民幣2.57億元）高額贖金。3月，臺灣計算機制造商宏基遭Revil勒索軟件攻擊，索要5000萬美元（約合人民幣3.25億元），如提前支付贖金，可提供20%的贖金折扣，提供解密工具，漏洞報告，并刪除竊取到的文件。

　　5月，美國最大成品油管道運營商科洛尼爾（Colonial Pipeline）公司遭到Darkside勒索軟件攻擊，該公司每天運送多達1億加侖的汽油、柴油、航空煤油與家用燃料油，占美國東岸燃油供應的45%，負責美國7個機場的燃油供應。攻擊導致美國東部沿海主要城市輸送油氣的管道系統(tǒng)被迫下線，成品油供應中斷，公司被迫支付約500萬美元（約合人民幣3200萬元），獲得勒索病毒軟件解密工具。5月，巴西肉類制造巨頭企業(yè)JBS遭受Revil勒索軟件攻擊，導致其位于美國和加拿大地區(qū)的部分工廠暫停作業(yè)，其中，澳大利亞所有JBS肉類工廠停產(chǎn)。最終，JBS美國部分同意支付1100萬美元（約合人民幣7030萬元）比特幣贖金，以防止黑客泄露公司數(shù)據(jù)。5月，美國最大的供水和污水處理公司之一WSSC Water，在發(fā)現(xiàn)事件后數(shù)小時內(nèi)公司即刪除了惡意軟件并鎖定了威脅，但攻擊者仍然成功訪問到內(nèi)部文件，就目前的情況看，攻擊事件似乎并未影響到當?shù)毓┧?，調(diào)查工作仍在進行當中。

　　6月，美國能源部核安全管理局（NNSA）的核武器分包商Sol Oriens遭受Revil勒索軟件攻擊，企業(yè)員工信息數(shù)據(jù)文件遭受竊取，但攻擊者未獲得核武器合作項目文件等機密內(nèi)容的訪問權限。6月，北約“北極星”計劃云平臺供應商遭受勒索軟件攻擊，云平臺相關代碼、文檔等敏感信息可能遭受竊取，并威脅將數(shù)據(jù)發(fā)送到俄羅斯情報部門，以此勒索10億歐元（約合人民幣76億元）的贖金。

　　7月，美國軟件供應商卡西亞（Kaseya）遭受疑似Revil勒索軟件攻擊，Kaseya為40000多家組織提供服務，攻擊者入侵了卡西亞軟件補丁和漏洞管理系統(tǒng)VSA服務器設備，鎖定大量系統(tǒng)，并利用軟件更新機制傳播Revil勒索病毒，并威迫受害者支付約7000萬美元（約合人民幣4.5億元）的贖金，該攻擊導致包括瑞典最大雜貨零售品牌在內(nèi)的全球數(shù)百家企業(yè)啟動緊急應急響應，以應對潛在的違規(guī)漏洞，其中瑞典雜貨零售連鎖店Coop被迫關閉了至少 800家門店。7月，西班牙電信運營商MasMovil Iberoom遭受Revil勒索軟件攻擊，且攻擊團伙在其專門的數(shù)據(jù)泄露網(wǎng)站中表示，已竊取大量敏感信息，并公開備份文件、經(jīng)銷商名單等作為成功實施攻擊的證據(jù)。

　　二

　　2021年上半年全球典型勒索軟件組織概述

　　2021年上半年勒索軟件組織也發(fā)生了翻天覆地的變化，一些停止運營，一些解散后重組，一些暫時停止活動，主流團伙退位，新興團伙替換，勒索家族總體呈現(xiàn)為生生不息之態(tài)。正如美國國家網(wǎng)絡總監(jiān)克里斯·英格利所言，應將勒索軟件視為長期持續(xù)的威脅。為此，本節(jié)篩選了典型的、較為活躍的勒索組織，簡要分析其攻擊目標及主要技術特征，以期提供警示。

　?。ㄒ唬㏑evil（又名Sodinokibi）組織

　　Revil組織今年相當活躍，以大中型企業(yè)為攻擊目標，攻擊了多個國家的重要機構和實體，例如美國核武器承包商、巴西司法局、JBS肉類生產(chǎn)商等。據(jù)研究，該勒索軟件已影響了近20個行業(yè)，受害比例最大的是工程與制造（30％），其次是金融（14％）、專業(yè)與消費者服務（9％）、法律（7％）以及IT與電信（7％）。

　　該組織于2019年4月首次在意大利被發(fā)現(xiàn)，采用勒索軟件即服務 （RaaS） 運營模式，主要針對Windows、Linux平臺，屬于數(shù)據(jù)竊取類勒索病毒。傳播方式主要包括釣魚郵件、遠程桌面入侵、漏洞利用等，該軟件套用、利用現(xiàn)有惡意工具作為攻擊載體，同時傳播勒索病毒、挖礦木馬、竊密程序，并通過加密用戶文件、竊取用戶數(shù)據(jù)進行雙重勒索。2021年3月，該組織侵入宏碁，索要5000萬美元的贖金，創(chuàng)下最高勒索軟件贖金的記錄。在多次獲得高額贖金后，該組織變得愈發(fā)猖狂，6月11日，攻擊了美國核武器承包商Sol Oriens，聲稱竊取了機密文件，并打算在暗網(wǎng)拍賣竊取的數(shù)據(jù)。

　　該勒索軟件使用Salsa20對稱流算法通過橢圓曲線非對稱算法來加密文件和密鑰的內(nèi)容。該惡意軟件樣本有一個加密的配置塊，其中包含許多字段，攻擊者可以對該負載進行微調(diào)。主要通過受損的RDP訪問、網(wǎng)絡釣魚和軟件漏洞進行分發(fā)。附屬機構負責獲得對公司網(wǎng)絡的初始訪問權限并部署locker—RaaS模型的標準實踐。成功攻擊后，會有特權提升，偵察和橫向移動，然后操作員對敏感文件進行評估、竊取和加密，下一步是與被攻擊的公司談判。如果受害者決定不支付贖金，那么REvil操作員將開始在。onion Happy Blog網(wǎng)站上發(fā)布受攻擊公司的敏感數(shù)據(jù)。應該注意的是，該團伙對新成員的招募有非常嚴格的規(guī)定，只招募會說俄語、有進入網(wǎng)絡經(jīng)驗的高技能合作伙伴。

　?。ǘ〥arkSide組織

　　DarkSide組織是美國燃油管道攻擊事件的始作俑者，現(xiàn)已宣布暫停運營。該組織于2020年8月成立，母語為俄語的網(wǎng)絡犯罪團伙，曾聲稱不會勒索醫(yī)療、教育、非盈利及政府機構。DarkSide主要針對Windows、Linux平臺，屬于數(shù)據(jù)竊取類勒索病毒，同時具有勒索軟件即服務 （RaaS）功能。DarkSide通過收集到的企業(yè)信息評估企業(yè)的財力，然后再決定勒索的贖金數(shù)額。據(jù)調(diào)查，該組織在成立不到一年的時間內(nèi)，感染了99個組織，其中大約有47%的受害者支付了贖金，平均付款為190萬美元，總收入高達9000萬美元。

　　DarkSide的技術是使用MetaSploit和其他攻擊性安全工具框架來掃描攻擊目標網(wǎng)絡中的漏洞，其目的是建立初始訪問權限。經(jīng)過監(jiān)測發(fā)現(xiàn)，該組織會通過RDP會話從得到的管理員（域控）賬號，轉向使用擁有文件服務器權限的賬號進行登錄。當獲取到文件服務器上的權限后，該組織會將公司的數(shù)據(jù)通過Privatlab和mega網(wǎng)盤進行手動上傳，在一些活動中，DarkSide會將數(shù)據(jù)傳到他們的CDN服務器上。隨后該組織會加密目標公司的文件，并將部分信息上傳至其暗網(wǎng)博客，采用“解密和泄密”雙重勒索策略，聲稱若不交付贖金，將公布目標公司的敏感數(shù)據(jù)。

　?。ㄈ〣abuk組織

　　Babuk作為2021年新出現(xiàn)的勒索軟件組織，于2021年1月首次被披露，目標是竊取高級機密類文件。該團伙主要針對歐洲、美國和大洋洲的大型著名組織或企業(yè)，目標行業(yè)包括但不限于運輸服務、醫(yī)療保健部門以及各種工業(yè)設備供應商，曾攻擊如NBA休斯頓火箭隊、美國主要軍事承包商PDI集團以及日本制造商Yamabiko公司等。2021年4月，攻擊了美國華盛頓特區(qū)大都會警察局，威脅警方不交贖金就向當?shù)睾趲托孤毒骄€人信息，并聲稱會繼續(xù)攻擊美國的FBI及CSA部門，性質(zhì)極其惡劣。

　　該勒索軟件使用與橢圓曲線Diffie-Hellman（ECDH）結合的對稱算法。加密成功后，該惡意軟件會在每個處理過的目錄中添加“How To Restore Your Files.txt”。除了文本之外，贖金記錄還包含指向一些被竊取數(shù)據(jù)的屏幕截圖的鏈接列表。這證明惡意軟件樣本是在受害者的數(shù)據(jù)被泄露之后被制作的。在贖金記錄中，該團伙還建議受害者使用其個人聊天門戶網(wǎng)站進行談判。這些步驟并不僅限于Babuk，但通常出現(xiàn)在Big Game Hunting中很常見。

　?。ㄋ模〤onti組織

　　Conti是近年來最為活躍和危險的勒索軟件團伙之一。該組織同樣采用勒索軟件即服務 （RaaS） 運營模式，其中核心團隊管理惡意軟件和Tor站點，而招募的聯(lián)盟機構則執(zhí)行網(wǎng)絡漏洞和數(shù)據(jù)加密攻擊。核心團隊賺取贖金的20~30%，附屬公司賺取其余部分。

　　該軟件于2019年12月首次被發(fā)現(xiàn)，主要針對Windows、Linux平臺，屬于數(shù)據(jù)竊取類勒索病毒，并在2020年7月作為個人的勒索軟件即服務（RaaS）開始運營，感染攻擊目標刪除卷影副本，并禁用修復、刪除本地設備備份目錄，采用并發(fā)線程技術對感染設備的文件快速加密，屬于新興的雙重勒索軟件團伙，被認為是流行的Ryuk勒索軟件家族的變種。Conti勒索軟件團伙通過多種流行的惡意軟件傳播，包括Trickbot/Emotet和BazarLoader。2021年5月，Conti 勒索軟件團伙連續(xù)攻擊了美國國防承包商 BlueForce和愛爾蘭公共衛(wèi)生服務執(zhí)行局HSE，分別索要969,000美元和19,999,000美元的贖金。在過去的一年中，Conti勒索軟件團伙襲擊了美國至少16個醫(yī)療保健和緊急服務機構，影響了超過400個全球組織，其中290個受害組織位于美國。

　　（五）LockBit組織

　　LockBit組織及相關的惡意軟件最早出現(xiàn)于2019年9月。2021年6月，該組織發(fā)布了LockBit 2.0并招募合作伙伴，到目前已經(jīng)影響過全世界范圍內(nèi)數(shù)以千計的單位，涵蓋行業(yè)相當廣泛，包含會計、汽車、顧問、工程、財務、高科技、醫(yī)療、保險、執(zhí)法單位、法律服務、制造業(yè)、非營利能源產(chǎn)業(yè)、零售業(yè)、物流業(yè)，以及公共事業(yè)領域等。

　　LockBit 2.0以擁有當今勒索軟件威脅環(huán)境中最快、最有效的加密方法之一而自豪。分析表明，雖然它在加密中使用了多線程方法，但也只對文件進行了部分加密，因為每個文件只加密了4 KB的數(shù)據(jù)。與其他勒索軟件即服務（RaaS）操作一樣，LockBit 2.0尋找附屬機構對目標執(zhí)行入侵和滲漏。其背后的組織還通過提供StealBit來幫助附屬機構，這是一種可以自動泄露數(shù)據(jù)的工具。攻擊者還可以使用有效的遠程桌面協(xié)議（RDP）賬戶訪問受害者的系統(tǒng)。一旦進入系統(tǒng)，LockBit 2.0就會使用網(wǎng)絡掃描器來識別網(wǎng)絡結構并找到目標域控制器。它還使用多個批處理文件，可用于終止進程、服務和安全工具。還有用于在受感染機器上啟用RDP連接的批處理文件。LockBit 2.0的持久性、傳播速度和入侵方法，可能會對受害者造成重大損害，無論是經(jīng)濟上還是聲譽上。

　?。〢vaddon組織

　　Avaddon勒索軟件團伙2020年6月首現(xiàn)于俄羅斯黑客論壇，主要針對Windows平臺，并通過釣魚郵件等傳播，采用RSA2048和AES256加密算法對文本進行加密。所開發(fā)的勒索軟件除供自身使用之外，也通過提供勒索即服務（RaaS）謀求外部合作以獲取更大的利益。Avaddon勒索團伙利用Phorpiex僵尸網(wǎng)絡傳播，攻擊對象包括中國和非獨立國家聯(lián)合體，平均贖金要求約為 60 萬美元。2021年6月，Avaddon勒索軟件團伙宣布停止運營，隨后關閉所有業(yè)務，并為過去的受害者發(fā)布了2934 個解密密鑰。

　　三

　　勒索軟件攻擊迅猛及高發(fā)的主要原因

　　勒索軟件伴隨著網(wǎng)絡犯罪技術的發(fā)展而發(fā)展，快速迭代并迅速傳播，同時勒索軟件中蘊藏的巨大收益，致使網(wǎng)絡犯罪分子對其趨之若鶩，不斷探索新的利潤擴張途徑，直接致使勒索軟件攻擊在全球大規(guī)模泛濫并呈高發(fā)態(tài)勢，分析其原因，主要有如下幾點：

　?。ㄒ唬┠踩”├慕^佳手段

　　勒索軟件攻擊對象往往針對企業(yè)機構、政府部門和個人具有重要作用的系統(tǒng)和數(shù)據(jù)，有些關鍵敏感數(shù)據(jù)甚至是企業(yè)的經(jīng)濟命脈，一旦泄露或損毀，將造成無法挽回的損失。此外，受害者還擔心其敏感數(shù)據(jù)被暴露給全世界，面臨聲譽受損的風險。而勒索團伙在攻擊企業(yè)時所提出的贖金也從最初的幾萬美元，過渡到現(xiàn)在的數(shù)百萬，甚至數(shù)千萬的勒索贖金。例如，5月30日，全球最大的肉類生產(chǎn)商遭到Revil勒索組織攻擊，事后，該公司通過備份系統(tǒng)恢復正常運營，但仍選擇支付1100萬美元的贖金，以防止Revil泄露被盜數(shù)據(jù)。在獲取巨額贖金的背后，其實際上的攻擊成本卻不到5000美元。同時，DarkSide勒索團伙在過去六個月里賺了9000萬美元。低成本和高回報率對犯罪分子具有極大的誘惑力，吸引越來越多的數(shù)字贖金“游戲”的掠奪者蜂擁而至，同時暗網(wǎng)、虛擬貨幣等技術趨于成熟，更加助推勒索軟件攻擊大面積爆發(fā)。

　?。ǘ├账髂芰Σ粩嗌墸平怆y度越來越大

　　最早的勒索軟件攻擊并不復雜，以欺騙為主，然后發(fā)展到僅鎖住用戶設備索要贖金，到現(xiàn)在流行的以加密用戶數(shù)據(jù)為手段的更惡毒的勒索贖金的形式。而且最流行的加密勒索軟件早已拋棄可被破解的對稱加密算法，普遍采用非對稱的強加密算法，除非在實現(xiàn)上有漏洞或密鑰泄密，不然在沒有私鑰的情況下，除了付費獲得密鑰，別無其他解密方法。內(nèi)部技術的不斷迭代，加之網(wǎng)絡技術的快速進步，促使勒索能力不斷升級。此外，勒索軟件新變種層出不窮，每個變種都添加一些新技術，從而擁有加強的新功能，越來越多的躲避檢測和查殺的高級技術的出現(xiàn)，致使破解難度越來越大。例如，2021年出現(xiàn)了“間歇性加密”技術，可有效逃避依賴于使用統(tǒng)計分析來檢測加密內(nèi)容的檢測，還有“內(nèi)存映射輸入/輸出”技術，采用相對不常見的過程來加密文件以逃避檢測。這些新技術的更迭讓勒索軟件“如虎添翼”，試圖以更隱蔽的形式發(fā)動更猛烈的攻勢，來獲取更大的利益。

　?。ㄈ┕舴秶湍繕嗽桨l(fā)廣泛、多樣

　　勒索軟件攻擊日益肆虐，被攻擊行業(yè)幾乎涉及全領域，政府部門是勒索重點，緊隨其次的是教育和醫(yī)療衛(wèi)生行業(yè)，關鍵制造、金融行業(yè)、效能系統(tǒng)、商業(yè)行業(yè)、食品和農(nóng)業(yè)、水務和污水處理、國防工業(yè)基礎行業(yè)、交通通信等諸多關鍵基礎設施和重要領域無一幸免。從地理區(qū)域看，攻擊范圍擴展至全球，已發(fā)生多起全球范圍的大規(guī)模勒索軟件攻擊事件，如WannaCry、NotPetya 等事件，攻擊不再限于信息化程度較高、網(wǎng)絡設施發(fā)達的國家和地區(qū)，許多信息化水平不高的國家和地區(qū)也在所難免。

　　攻擊目標最大的變化是從個人用戶到企業(yè)設備。勒索軟件犯罪團伙已經(jīng)不再以家庭用戶為目標，而主要針對大型企業(yè)服務器和關鍵業(yè)務系統(tǒng)，甚至整個企業(yè)網(wǎng)絡已成為新的攻擊目標。另一變化是隨著移動互聯(lián)網(wǎng)的普及，勒索軟件攻擊開始從電腦端蔓延至移動端，并且有愈演愈烈趨勢。無論是橫掃各大領域、涉獵全球各地，還是攻擊目標的不斷延展，對更高利潤的索取是其最大驅(qū)動力，也是勒索軟件入侵能力不斷提升的體現(xiàn)。

　?。ㄋ模﹤鞑ッ浇橼呌诙嘣?/p>

　　勒索軟件主要通過釣魚郵件、網(wǎng)絡共享文件和移動存儲介質(zhì)等方式進行傳播。部分勒索軟件借鑒蠕蟲病毒的特點，自我復制能力越來越強，比如以被感染設備為跳板，然后利用漏洞在網(wǎng)絡中自動滲透，攻擊局域網(wǎng)內(nèi)的其他電腦。還有的借助更多的漏洞、更隱蔽的方式進行傳播，并越來越多地利用社交媒體，如通過在推特、微博等網(wǎng)站上分享惡意內(nèi)容誘惑受害者點擊惡意鏈接而傳播?，F(xiàn)在勒索病毒更多利用遠程桌面入侵傳播、魚叉式攻擊等非常專業(yè)的黑客攻擊方式進行傳播，還有的針對各企業(yè)對于軟件供應鏈的管理弱點，通過行業(yè)供應鏈攻擊傳播，極大地提高了入侵成功率和病毒影響面。

　　（五）比特幣為勒索軟件猖狂充當了“保護傘”

　　比特幣等加密貨幣支付方式在勒索軟件全球大規(guī)模爆發(fā)中發(fā)揮了重要作用?；诒忍貛诺内H金支付在很大程度上消除了與傳統(tǒng)贖金支付相關的交易成本和風險，由于不同的國家和地區(qū)對其管控不足，或者有的國家就根本沒有任何管控措施，導致其難以追蹤。通過加密貨幣，被勒索者可以不通過銀行或其他受政府管控機構，直接將贖金電匯到指定賬號。目前還沒有其他機制能夠滿足一次轉移數(shù)百萬美元的要求，只有加密貨幣非常適合數(shù)千英里以上的大規(guī)模轉移，并且以高度抵抗執(zhí)法、監(jiān)管監(jiān)視及攔截的方式?？梢哉f，比特幣的出現(xiàn)為網(wǎng)絡勒索提供了低風險、易操作、便捷性強的贖金交易和變現(xiàn)方式，成為網(wǎng)絡犯罪活動的主要支付形式。此外，病毒制作者常將勒索服務器搭建在暗網(wǎng)，通過洋蔥網(wǎng)絡與受害者進行通信，進一步掩蓋了攻擊的來源，這些手段先進實用，又唾手可得。由此可見，<}0{>勒索軟件環(huán)境中的技術變化與強大的加密技術的發(fā)展、無限擴展的互聯(lián)網(wǎng)通信、管轄范圍內(nèi)的網(wǎng)絡犯罪避風港（如俄羅斯）的存在以及加密貨幣支付的易用性等加速了勒索軟件的猖獗和泛濫。<0}< span=“”>

　　四

　　勒索軟件攻擊的發(fā)展新特點

　　（一）針對性定制勒索軟件成最大威脅

　　2021年無疑是針對性勒索軟件集團不斷發(fā)展并尋找新的策略對受害者施壓支付贖金的一年。早期勒索軟件傳播任意，攻擊目標較為分散，不限行業(yè)范圍，且主要分布于中小企業(yè)，因其缺乏大型企業(yè)和組織擁有的深度安全基礎架構，更容易被攻擊，但數(shù)據(jù)價值和支付贖金的能力有限，難以滿足勒索團伙不斷擴大收益的目的。2021年從廣撒網(wǎng)的攻擊方式向針對高價值的關鍵資產(chǎn)攻擊方式轉變，頂級和高技能的網(wǎng)絡犯罪集團不再不分青紅皂白地以大量小規(guī)模受害者為目標，而是針對特定的百萬或十億美元的公司定制勒索活動（稱為“大型狩獵”）。瞄準特定行業(yè)，如制造業(yè)、金融、醫(yī)療、能源等關鍵基礎設施的大型企業(yè)，此類目標的數(shù)據(jù)損壞可造成大面積社會影響，每次選取一個攻擊目標，并盡可能多地在受害者網(wǎng)絡上加密計算機信息，可能的話還會清除對方的備份數(shù)據(jù)。以此為基礎，提出相當夸張的贖金要求，如2021上半年，REvil 勒索團伙已經(jīng)連續(xù)攻擊了多家世界知名企業(yè)，且每次勒索贖金額度都超過 5000 萬美元。即便針對性勒索軟件攻擊實施起來極為困難且相當耗時，但潛在回報極大，因此采取這類攻擊的團伙開始激增。

　?。ǘ┪锫?lián)網(wǎng)成為勒索軟件攻擊的新突破口

　　越來越多的企業(yè)依靠物聯(lián)網(wǎng)（IoT）設備采集數(shù)據(jù)，為黑客提供了進入企業(yè)網(wǎng)絡的通道，而且制造商為每個物聯(lián)網(wǎng)設備創(chuàng)建的應用程序種類繁多，也為黑客以多種方式造成破壞提供了可能性。黑客使用惡意軟件感染IoT設備并將其轉變?yōu)榻┦W(wǎng)絡，黑客可以使用僵尸網(wǎng)絡來探查和探索啟動過程，以找到獲得網(wǎng)絡訪問的最佳方法。黑客也會搜索IoT設備固件中存在的未禁用、未刪除、未更新的有效憑證，然后，攻擊者將受感染的設備用作企業(yè)網(wǎng)絡的入口點。新冠疫情帶來的一夜之間激增的遠程辦公方式為網(wǎng)絡犯罪分子提供了更有吸引力的攻擊目標，開辟了新的攻擊面，感染勒索軟件的機會比以往任何時候都高，導致在新冠大流行期間仍保持運營的公司面臨的潛在威脅劇增，據(jù)統(tǒng)計，IoT惡意軟件攻擊直接增加了30%。事實上，遠程工作人員的增加以及連接到公司網(wǎng)絡的不安全設備的數(shù)量增加，再加之物聯(lián)網(wǎng)設備自身的安全風險，為勒索軟件運營提供了全新的領域。

　?。ㄈ碾p重勒索向三重勒索策略轉變

　　勒索團伙一直在嘗試使用各種策略對受害公司施加壓力，以增加贖金數(shù)目及確保繳納率，為此，從最初的單一加密勒索演變?yōu)?020年的“雙重勒索”，即在加密前攻擊者會先竊取大量受害者敏感數(shù)據(jù)，威脅受害者如果不繳納贖金則公開數(shù)據(jù)，使受害者不僅要面臨數(shù)據(jù)泄露威脅，還有相關法規(guī)、財務和聲譽影響。2021年開始逐漸演化出“三重勒索”攻擊，則在雙重勒索的基礎上增加了 DDoS 攻擊威脅。目前，部分勒索軟件已整合了DDOS攻擊能力，不僅能加密受害者電腦文件，還能對外出售敏感數(shù)據(jù)，并利用被感染電腦發(fā)送惡意網(wǎng)絡流量，以此影響受害者系統(tǒng)的帶寬或運行速度，這三種攻擊若同時實施，將帶來非常嚴重且不可逆轉的后果。由此可推測，在未來的數(shù)年內(nèi)為實現(xiàn)收益最大化，勒索攻擊形式還會層出不窮。

　?。ㄋ模慕?jīng)濟公害升級到對國家安全構成威脅

　　美國網(wǎng)軍司令、國安局局長中曾根將軍表示，勒索軟件攻擊已經(jīng)不再是單純的黑客犯罪活動，現(xiàn)如今開始對整個國家產(chǎn)生影響，已轉變?yōu)閷嶋H存在的國家安全問題。2021年勒索軟件攻擊更是瞄準國家關鍵基礎設施，其中政府部門是勒索的重點；緊隨其次是教育行業(yè)和醫(yī)療衛(wèi)生行業(yè)；關鍵制造、通信、商業(yè)行業(yè)、金融行業(yè)、能源、食品和農(nóng)業(yè)、水務和污水處理、國防工業(yè)基礎行業(yè)等都未能幸免。勒索軟件攻擊能力一旦與國家網(wǎng)絡武器結合起來，其攻擊能力和毀傷效果將得到大幅提升，將對網(wǎng)絡空間構成重大威脅。美國燃油管道商遭“黑暗面”勒索攻擊事件，是非國家行為體對網(wǎng)絡空間重大影響的縮影。Colonial Pipeline攻擊也是這種情況，該攻擊由俄羅斯犯罪分子實施，瞄準關鍵基礎設施，將會對國家安全產(chǎn)生影響。勒索軟件越來越多地陷入犯罪行為與國家安全行為重疊的關系中。在網(wǎng)絡犯罪和國家安全的交叉點，與政府關系不明的犯罪組織實施勒索軟件，目的是在政府不同級別的控制和指導下兼獲經(jīng)濟利益和戰(zhàn)略動機。

　　五

　　美國政府針對勒索軟件威脅的最新打擊措施

　　拜登政府采取了集中、綜合的措施來應對勒索軟件威脅。然而，僅靠政府行動是不夠的。政府呼吁擁有和運營美國大部分關鍵基礎設施的私營部門對其網(wǎng)絡防御進行現(xiàn)代化改造，以應對勒索軟件的威脅。政府宣布了鼓勵彈性的具體措施，包括為關鍵基礎設施管理人員舉行的機密威脅簡報會以及工業(yè)控制系統(tǒng)網(wǎng)絡安全倡議等。此外，國際伙伴關系至關重要，跨國犯罪組織往往是勒索犯罪的實施者，利用全球基礎設施和洗錢網(wǎng)絡實施襲擊，政府已加緊領導打擊勒索軟件的國際努力?？傮w而言，美政府的反勒索工作分為四個方面：

　?。?）破壞勒索軟件基礎設施和參與者：政府正在充分發(fā)揮美國政府的能力，以破壞勒索軟件參與者、協(xié)助者、網(wǎng)絡和金融基礎設施；

　?。?）增強抵御勒索軟件攻擊的彈性：政府呼吁私營部門加大投資力度，重點關注網(wǎng)絡防御以應對威脅。政府還概述了關鍵基礎設施的預期網(wǎng)絡安全閾值，并對交通關鍵基礎設施提出了網(wǎng)絡安全要求；

　　（3）解決濫用虛擬貨幣進行贖金支付的問題：虛擬貨幣受到與法定貨幣相同的反洗錢和反恐怖主義融資（AML/CFT）控制，這些控制和法律必須強制執(zhí)行。政府正在利用現(xiàn)有能力并獲取創(chuàng)新能力來追蹤和攔截勒索軟件收益；

　?。?）利用國際合作破壞勒索軟件生態(tài)系統(tǒng)并解決勒索軟件罪犯的安全港問題：美國正與國際合作伙伴合作，破壞勒索軟件網(wǎng)絡，提高合作伙伴在本國境內(nèi)偵查和應對此類活動的能力，包括對允許罪犯在其管轄范圍內(nèi)活動的國家施加后果并追究其責任。

　　針對上述四個方面，迄今為止，美國已經(jīng)采取的行動包括：

　?。ㄒ唬┢茐睦账鬈浖A設施和參與者

　?。?）司法部成立了一個工作組，以加強執(zhí)法和檢察機關打擊勒索軟件舉措的協(xié)調(diào)和統(tǒng)一。執(zhí)法機構通過國家網(wǎng)絡調(diào)查聯(lián)合工作組 （NCIJTF） 并在跨部門的支持下，正在大力開展調(diào)查、資產(chǎn)追回和其他努力，以追究勒索軟件犯罪分子的責任。

　?。?）財政部首次對虛擬貨幣交易所實施制裁。財政部將繼續(xù)破壞并追究這些勒索軟件參與者及其洗錢網(wǎng)絡的責任，以降低網(wǎng)絡犯罪分子繼續(xù)進行這些攻擊的動機。

　?。?）財政部發(fā)布了最新的制裁公告，鼓勵并強調(diào)向美國政府當局報告勒索事件和付款的重要性。

　?。?）美國網(wǎng)絡司令部和國家安全局正在投入人力、技術和專業(yè)知識來生成針對勒索軟件攻擊者的洞察力和選項。

　?。?）國務院獎勵司法 （RFJ） 辦公室懸賞 1,000 萬美元，用于提供信息，以識別或定位在外國政府指導或控制下從事、協(xié)助或教唆，針對美國關鍵基礎設施的某些惡意網(wǎng)絡活動，包括勒索軟件活動。

　?。ǘ┰鰪姷钟账鬈浖舻膹椥?/p>

　　（1）拜登于4月啟動了一項工業(yè)控制系統(tǒng)網(wǎng)絡安全（ICS）計劃——這是聯(lián)邦政府和關鍵基礎設施社區(qū)之間的自愿合作。ICS 計劃已促使代表近 9000 萬居民客戶的 150 多家電力公司部署或承諾部署控制系統(tǒng)網(wǎng)絡安全技術，從而加強這些設施的安全性和彈性。ICS 計劃已擴展到天然氣管道，不久將擴展到水利部門。

　?。?）7月，美國國土安全部（DHS）和美國司法部（DOJ）建立了StopRansomware.gov網(wǎng)站，以幫助私人和公共組織訪問資源以降低其勒索軟件風險。

　?。?）5月和7月，國土安全部交通安全管理局（TSA）分別發(fā)布了兩項安全指令，要求關鍵管道所有者和運營商：向美國網(wǎng)絡安全和基礎設施安全局（CISA）報告確認的和潛在的網(wǎng)絡安全事件；指定網(wǎng)絡安全協(xié)調(diào)員每周7天、每天24小時待命；審查現(xiàn)行做法；識別網(wǎng)絡風險的漏洞及相關補救措施，并在30天內(nèi)向TSA和CISA報告結果。第二份安全指令要求TSA指定的關鍵管道的所有者和運營商實施具體的緩解措施，以防止勒索軟件攻擊和其他已知的信息技術和運營技術系統(tǒng)的威脅，制定并實施網(wǎng)絡安全應急和恢復計劃，并進行網(wǎng)絡安全架構設計審查。

　?。?）負責網(wǎng)絡和新興技術的副國家安全顧問安妮·紐伯格（Anne Neuberger）于 6 月向首席執(zhí)行官們發(fā)送了一封公開信，傳達了防御和準備勒索軟件事件的最佳實踐，包括備份數(shù)據(jù)、實施多因素身份驗證和測試事件響應計劃。

　?。?）8月，拜登總統(tǒng)會見了私營部門和教育部門領導人，討論了解決網(wǎng)絡安全威脅所需的全國性努力——領導人宣布了支持國家網(wǎng)絡安全的雄心勃勃的計劃。

　?。?）商務部下屬的國家標準與技術研究所（NIST）正在與業(yè)界合作，以改進當前和新興的標準、實踐和技術方法，以解決勒索軟件問題。他們的工作包括制定勒索軟件風險管理的網(wǎng)絡安全框架概要，該概要以NIST網(wǎng)絡安全框架為基礎，為組織提供預防、應對勒索軟件事件和從勒索事件中恢復的指南。

　?。?）財政部和國土安全部的CISA正在與網(wǎng)絡保險部門合作，探索激勵措施，以加強網(wǎng)絡衛(wèi)生的實施并提高勒索軟件活動的可見性。

　?。ㄈ┐驌魹E用虛擬貨幣洗錢

　?。?）美國仍然處于對虛擬貨幣業(yè)務和活動應用反洗錢/打擊資助恐怖主義 （AML/CFT） 要求的最前沿。美國虛擬貨幣交易所將繼續(xù)對監(jiān)管要求負責，并且通過金融犯罪執(zhí)法網(wǎng)絡 （FinCEN） 交換計劃等場所與虛擬貨幣和更廣泛的金融部門分享了虛擬貨幣濫用的指標和類型。

　　（2）財政部正在牽頭推動金融行動特別工作組執(zhí)行與虛擬資產(chǎn)相關的金融透明度國際標準，并建立雙邊伙伴關系，旨在加強海外虛擬貨幣交易的反洗錢/反恐融資控制。國際反洗錢/反恐融資虛擬貨幣標準的不均衡實施會造成勒索軟件參與者利用的漏洞，并抑制美國政府破壞與勒索軟件相關的洗錢活動的能力。

　?。?）在聯(lián)邦調(diào)查局的領導下，美國政府正在建立非法虛擬資產(chǎn)通知（IVAN）信息共享伙伴關系和支持平臺，以改善勒索軟件和其他非法虛擬貨幣支付流的檢測和中斷時間。

　?。ㄋ模┘訌妵H合作

　?。?）政府正與國際合作伙伴密切合作，以應對勒索軟件的共同威脅，并激發(fā)全球政治意愿來對抗勒索軟件活動——正如最近七國集團和北大西洋財政組織（北約）的聯(lián)合聲明以及金融行動特別工作組（FATF）所反映的那樣，等等。行政當局繼續(xù)倡導擴大加入和執(zhí)行《布達佩斯公約》及其原則。

　?。?）各部門和機構繼續(xù)與各國合作，以提高其應對勒索軟件威脅的能力，包括通過促進網(wǎng)絡安全最佳實踐和打擊網(wǎng)絡犯罪的能力建設，例如網(wǎng)絡防御和彈性、網(wǎng)絡衛(wèi)生、虛擬貨幣分析以及其他培訓和向外國執(zhí)法伙伴提供技術援助，以打擊濫用信息技術的犯罪行為。

　?。?）美國仍致力于通過更直接的外交途徑消除勒索罪犯的安全港。拜登直接與普京接觸，并成立了白宮和克里姆林宮專家組，直接討論和解決勒索活動。

　　六

　　英國如何保護組織免受勒索軟件攻擊

　　為保護組織免受勒索軟件攻擊，英國國家網(wǎng)絡安全中心發(fā)布了《減輕惡意軟件和勒索軟件攻擊》指南，以幫助英國私營和公共部門組織應對勒索軟件威脅，降低影響并如何進行有效防范，具體舉措主要包括：

　?。ㄒ唬┒ㄆ趥浞?/p>

　　最新備份是從勒索軟件攻擊中恢復的最有效方法。主要包括：（1）定期備份最重要的文件，檢查是否知道如何從備份中恢復文件，并定期測試是否按預期工作。（2）使用不同的備份解決方案和存儲位置制作多個文件副本。（3）確保包含備份的設備（例如外部硬盤驅(qū)動器和 U 盤） 沒有永久連接到網(wǎng)絡。攻擊者將瞄準連接的備份設備和解決方案，使恢復更加困難。（4）確保云服務保護以前版本的備份不被立即刪除，并允許可恢復。（5）開始恢復之前，確保備份僅連接到已知的干凈設備。（6）在還原之前掃描惡意軟件的備份。勒索軟件可能已經(jīng)在一段時間內(nèi)滲透到網(wǎng)絡中，并在被發(fā)現(xiàn)之前復制到備份中。（7）定期修補用于備份的產(chǎn)品，因此攻擊者無法利用它們可能包含的任何已知漏洞。

　?。ǘ┓乐估账鬈浖粋魉秃蛡鞑サ皆O備

　　針對勒索軟件攻擊越來越多地通過遠程桌面協(xié)議 （RDP） 或未打補丁的遠程訪問設備等公開服務獲得遠程訪問權限的情況，應該：（1）在進入網(wǎng)絡的所有遠程接入點啟用MFA，并使用硬件防火墻強制 IP 允許列表；（2）使用建議的 VPN遠程訪問服務；（3）軟件即服務或其他暴露于 Internet 的服務應使用單點登錄 （SSO），其中可以定義訪問策略；（4）使用最低權限模型提供遠程訪問；（5）立即修補所有遠程訪問和面向外部的設備中的已知漏洞，并遵循供應商補救指南，包括在新補丁可用時立即安裝。此外，為防止勒索軟件橫向移動，恣意傳播，應該：（1）使用MFA對用戶進行身份驗證，以便在惡意軟件竊取憑據(jù)時無法輕易重用這些憑據(jù)；（2）確保過時的平臺（操作系統(tǒng) （OS） 和應用程序）與網(wǎng)絡的其余部分正確隔離；（3）定期審查并刪除不再需要的用戶權限，以限制惡意軟件的傳播能力；（4）確保系統(tǒng)管理員避免使用其帳戶進行電子郵件和網(wǎng)頁瀏覽；（5）實踐良好的資產(chǎn)管理，包括跟蹤設備上安裝的軟件版本；（6）保持將設備和基礎設施打補丁，尤其是網(wǎng)絡邊界上的安全強制設備（例如防火墻和 VPN 產(chǎn)品）。

　?。ㄈ┓乐估账鬈浖谠O備上運行

　　防止勒索軟件在設備運行應采取的措施主要有：（1）集中管理設備，只允許運行企業(yè)信任的應用程序；（2）考慮是否需要企業(yè)防病毒或反惡意軟件產(chǎn)品，并使軟件（及其定義文件）保持最新；（3）為員工提供安全教育和安全意識培訓；（4）禁用或限制腳本環(huán)境和宏；（5）禁用已安裝媒體的自動運行。此外，攻擊者可通過利用設備漏洞強制執(zhí)行其代碼，可通過保持設備的良好配置和最新狀態(tài)來防止這種情況發(fā)生，通?？梢裕海?）盡快安裝安全更新，以修復產(chǎn)品中的可利用錯誤；（2）啟用操作系統(tǒng)、應用程序和固件的自動更新；（3）使用最新版本的操作系統(tǒng)和應用程序，以利用最新的安全功能；（4）配置基于主機的防火墻和網(wǎng)絡防火墻，默認禁止入站連接。

　?。ㄋ模槭录龊脺蕚?/p>

　　勒索軟件攻擊可能是毀滅性的，將造成計算機系統(tǒng)不再可用，在某些情況下，數(shù)據(jù)可能永遠無法恢復。如可恢復，也需要數(shù)周乃至更長時間，如何確保企業(yè)和組織在遭受攻擊后能快速恢復，可采取的措施主要有：（1）確定關鍵資產(chǎn)并確定受到勒索軟件攻擊后的影響；（2）制定內(nèi)部和外部溝通策略，確保正確的信息能及時送到到正確的利益相關者；（3）確定如何應對贖金要求以及組織數(shù)據(jù)被發(fā)布的威脅；（4）如無法訪問計算機系統(tǒng)，確保事件管理手冊和支持資源可用；（5）確定向監(jiān)管機構報告事件方面的法律義務，并了解應如何處理；（6）執(zhí)行事件管理計劃并確定系統(tǒng)恢復的優(yōu)先級。例如，廣泛的勒索軟件攻擊是否意味著需要完全關閉網(wǎng)絡；（7）事件發(fā)生后，修改事件管理計劃以及吸取經(jīng)驗教訓，以確保相同的事件不會再次以相同的方式發(fā)生。

　　七

　　結　語

　　2021年，勒索軟件攻擊進入最瘋狂的階段，在全球范圍內(nèi)，估計每11秒就有一次勒索軟件攻擊企業(yè)，預計2021年勒索軟件損失將達到200億美元，而且波及的行業(yè)非常廣泛，向石油、天燃氣、能源、制造等關鍵基礎設施行業(yè)蔓延，針對的目標公司體量愈來愈大，勒索贖金已創(chuàng)歷史新高，成為給企業(yè)和組織造成損失最大的攻擊手段。面對愈加強大的勒索攻擊者，沒有一個國家是能孤軍奮戰(zhàn)的，對各國政府而言，可能有不同的方法，從如何保護網(wǎng)絡，到利用外交工具，甚至是打擊非法融資的最有效方法等，但是“沒有一個國家、沒有一個團體可以解決這個問題。” 美國國家安全顧問杰克沙利文說， “跨國犯罪分子通常是勒索軟件犯罪的肇事者，他們經(jīng)常利用全球基礎設施和跨多個國家、多個司法管轄區(qū)的洗錢網(wǎng)絡進行攻擊?！币虼耍账鬈浖且粋€需要集體行動的全球問題，各國的私營企業(yè)和執(zhí)法部門要聯(lián)合起來，共同抵御目前攻擊技術水平愈加高強的定向針對性勒索軟件攻擊。