勒索軟件攻擊的主要趨勢(shì)包括：釣魚(yú)郵件、RDP憑證破解、漏洞利用成三大主要突破口，網(wǎng)絡(luò)犯罪服務(wù)租賃市場(chǎng)持續(xù)升溫，彼此分享受害者信息等；

　　新技術(shù)特點(diǎn)包括：針對(duì)云端、托管服務(wù)供應(yīng)商、工業(yè)流程、軟件供應(yīng)鏈等針對(duì)性目標(biāo)進(jìn)行攻擊，挑選節(jié)假日和周末下手。

　　2021年，美國(guó)、澳大利亞、以及英國(guó)的政府網(wǎng)絡(luò)安全當(dāng)局觀察到，全球范圍內(nèi)以關(guān)鍵基礎(chǔ)設(shè)施相關(guān)組織為目標(biāo)的高復(fù)雜度、高影響力勒索軟件攻擊正在持續(xù)增加。

　　這份由美國(guó)、澳大利亞及英國(guó)網(wǎng)絡(luò)安全當(dāng)局撰寫(xiě)的聯(lián)合網(wǎng)絡(luò)安全咨詢(xún)報(bào)告，列舉了觀察到的行為與趨勢(shì)，同時(shí)也提出了緩解建議，希望幫助網(wǎng)絡(luò)防御方降低遭受勒索軟件入侵的風(fēng)險(xiǎn)。

　　2021年威脅態(tài)勢(shì)

　　美國(guó)聯(lián)邦調(diào)查局（FBI）、網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）與國(guó)家安全局（NSA）觀察到，全美16個(gè)關(guān)鍵基礎(chǔ)設(shè)施部門(mén)中有14個(gè)曾經(jīng)遭遇勒索軟件事件，具體涵蓋國(guó)防工業(yè)基地、緊急服務(wù)、食品與農(nóng)業(yè)、政府設(shè)施與信息技術(shù)等多個(gè)部門(mén)。

　　澳大利亞網(wǎng)絡(luò)安全中心（ACSC）則觀察到，勒索軟件正持續(xù)將矛頭指向澳大利亞國(guó)內(nèi)各關(guān)鍵基礎(chǔ)設(shè)施實(shí)體，包括醫(yī)療保健、金融服務(wù)與市場(chǎng)、高等教育與研究、外加能源部門(mén)。

　　英國(guó)國(guó)家網(wǎng)絡(luò)安全中心（NCSC）則將勒索軟件視為英國(guó)面臨的最大網(wǎng)絡(luò)威脅，表示教育領(lǐng)域成為勒索軟件攻擊者的主要目標(biāo)之一，同時(shí)發(fā)現(xiàn)針對(duì)地方各級(jí)政府及衛(wèi)生部門(mén)內(nèi)各企業(yè)、慈善機(jī)構(gòu)、法律界乃至公共服務(wù)機(jī)構(gòu)的攻擊也是不一而足。

　　2021年，勒索軟件攻擊在策略與技術(shù)層面仍在繼續(xù)發(fā)展，這表明勒索軟件威脅攻擊者的業(yè)務(wù)水平正日益純熟，也由此令全球組織身陷更為可怕的威脅陰影。

　　勒索軟件攻擊的主要行為與趨勢(shì)

　　美國(guó)、澳大利亞與英國(guó)的各網(wǎng)絡(luò)安全部門(mén)在2021年內(nèi)觀察到網(wǎng)絡(luò)犯罪分子存在以下行為與趨勢(shì)：

　　通過(guò)網(wǎng)絡(luò)釣魚(yú)、被盜的遠(yuǎn)程桌面協(xié)議（RDP）憑證/暴力破解以及利用漏洞等方式訪問(wèn)目標(biāo)網(wǎng)絡(luò)

　　網(wǎng)絡(luò)釣魚(yú)電子郵件、利用RDP以及利用軟件漏洞在2021繼續(xù)成為勒索軟件活動(dòng)中的三大初始感染手段。一旦勒索軟件攻擊者在對(duì)方設(shè)備或網(wǎng)絡(luò)中獲得代碼執(zhí)行權(quán)限，即可進(jìn)一步部署勒索軟件。請(qǐng)注意：這些感染手段從2020年初步興起到2021年持續(xù)蔓延，而且很可能在遠(yuǎn)程辦公與學(xué)校遠(yuǎn)程教學(xué)的大背景下繼續(xù)保持流行。新冠疫情催生出的遠(yuǎn)程辦公/教育趨勢(shì)極大擴(kuò)展了遠(yuǎn)程攻擊面，導(dǎo)致網(wǎng)絡(luò)防御方很難用傳統(tǒng)軟件修復(fù)方法跟上安全需求的節(jié)奏。

　　網(wǎng)絡(luò)犯罪服務(wù)租賃市場(chǎng)持續(xù)升溫

　　勒索軟件市場(chǎng)在2021年內(nèi)正變得愈發(fā)“專(zhuān)業(yè)”，勒索軟件的犯罪商業(yè)模式也已全面成熟。除了勒索軟件即服務(wù)（RaaS）的廣泛普及之外，勒索軟件攻擊者還開(kāi)始借助獨(dú)立服務(wù)進(jìn)行款項(xiàng)協(xié)商、受害者贖金支付引導(dǎo)、甚至對(duì)各方網(wǎng)絡(luò)犯罪分子之間的利益糾葛開(kāi)展仲裁。英國(guó)網(wǎng)絡(luò)安全中心觀察到，部分勒索軟件攻擊者甚至向受害者提供24/7全天候幫助中心服務(wù)，用以加快對(duì)方支付贖金以及系統(tǒng)或數(shù)據(jù)的恢復(fù)速度。

　　注意：美國(guó)、澳大利亞及英國(guó)的網(wǎng)絡(luò)安全當(dāng)局評(píng)估認(rèn)為，如果勒索軟件犯罪商業(yè)模式能夠持續(xù)為攻擊一方帶來(lái)經(jīng)濟(jì)回報(bào)，那么勒索軟件事件將變得更加頻繁。受害者的每一次就范、他們付出的每一筆贖金，都會(huì)讓犯罪分子對(duì)于勒索軟件商業(yè)模式的可行性與財(cái)務(wù)吸引力再增添一份信心。此外，美國(guó)、澳大利亞和英國(guó)的網(wǎng)絡(luò)安全當(dāng)局還指出，這種犯罪商業(yè)模式的出現(xiàn)往往令歸因工作復(fù)雜化——由于參與攻擊的開(kāi)發(fā)者、附屬組織及自由職業(yè)人士等成分太過(guò)復(fù)雜，調(diào)查一方往往很難確定勒索軟件事件背后的實(shí)際操縱者。

　　分享受害者信息

　　歐洲和亞洲的各勒索軟件組織會(huì)彼此分享受害者信息，進(jìn)而形成更為多樣的勒索攻擊威脅態(tài)勢(shì)。例如，在宣布正式關(guān)閉之后，BlackMatter勒索軟件團(tuán)伙就將原有受害者信息轉(zhuǎn)移到另一團(tuán)伙L(fēng)ockbit 2.0的基礎(chǔ)設(shè)施當(dāng)中。2021年10月，Conti勒索軟件團(tuán)伙甚至直接出售受害者網(wǎng)絡(luò)的訪問(wèn)權(quán)限，以供其他惡意攻擊者實(shí)施后續(xù)攻擊。

　　“大型獵物”攻擊浪潮正遠(yuǎn)離美國(guó)

　　2021年上半年，美國(guó)和澳大利亞網(wǎng)絡(luò)安全當(dāng)局曾通過(guò)多起引人注目的網(wǎng)絡(luò)安全事件發(fā)現(xiàn)，勒索軟件攻擊者正展開(kāi)一波針對(duì)“大獵物”（即被認(rèn)定為高價(jià)值的組織及/或提供關(guān)鍵服務(wù)的機(jī)構(gòu)）的入侵浪潮。此番攻勢(shì)的受害者包括科洛尼爾管道運(yùn)輸公司、JBS Foods以及軟件商Kaseya。但勒索軟件攻擊一方還沒(méi)有得意多久，就在同年年中遭到美國(guó)當(dāng)局的打壓。隨后，F(xiàn)BI觀察到部分勒索軟件攻擊者開(kāi)始將目標(biāo)從“大獵物”轉(zhuǎn)向中等體量的受害者，希望借此轉(zhuǎn)移審查壓力。

　　澳大利亞網(wǎng)絡(luò)安全中心觀察到，2021年內(nèi)澳大利亞本土的勒索軟件攻勢(shì)繼續(xù)不分體量、持續(xù)肆虐，所以這里的關(guān)鍵服務(wù)機(jī)構(gòu)與“大獵物”們還沒(méi)法像美國(guó)同行們那樣稍稍松口氣。

　　英國(guó)網(wǎng)絡(luò)安全中心則觀察到，2021年英國(guó)本土不同規(guī)模的各類(lèi)組織都未能幸免于難，其中也包括不少“大獵物”級(jí)別的受害者。過(guò)去一年，英國(guó)的勒索軟件受害者涵蓋教育、地方各級(jí)政府與衛(wèi)生部門(mén)企業(yè)、慈善機(jī)構(gòu)、法律界及公共服務(wù)等多個(gè)領(lǐng)域。

　　攻擊方勒索金錢(qián)的方式也是多種多樣

　　在對(duì)受害者網(wǎng)絡(luò)完成加密鎖定之后，如今的勒索軟件攻擊者開(kāi)始更多運(yùn)用“三重勒索”手段，即威脅要

　　（1）公開(kāi)發(fā)布被盜的敏感信息；

　?。?）破壞受害者的互聯(lián)網(wǎng)訪問(wèn)功能；及/或

　?。?）將攻擊事件通報(bào)給受害者的合作伙伴、股東或供應(yīng)商。

　　當(dāng)然，澳大利亞網(wǎng)絡(luò)安全中心也觀察到不少更為老派的“雙重勒索”事件，即攻擊一方以加密系統(tǒng)加威脅泄露數(shù)據(jù)的組合迫使受害者支付贖金。

　　勒索軟件攻擊的新技術(shù)特點(diǎn)

　　勒索軟件團(tuán)伙還通過(guò)以下方式進(jìn)一步增加了自身影響力：

　　瞄準(zhǔn)云端。勒索軟件開(kāi)發(fā)者開(kāi)始以云基礎(chǔ)設(shè)施為目標(biāo)，利用云應(yīng)用程序、虛擬機(jī)軟件及虛擬機(jī)編排工具中的已知漏洞。勒索軟件攻擊者還將矛頭指向云賬戶(hù)、云應(yīng)用程序編程接口（API）以及數(shù)據(jù)備份與存儲(chǔ)系統(tǒng)，阻斷指向云資源的訪問(wèn)請(qǐng)求并加密數(shù)據(jù)內(nèi)容。除了利用漏洞直接獲取訪問(wèn)權(quán)限之外，惡意攻擊者有時(shí)還會(huì)入侵本地設(shè)備、進(jìn)而橫向移動(dòng)至云系統(tǒng)以完成對(duì)云存儲(chǔ)系統(tǒng)的滲透。再有，勒索軟件攻擊者也會(huì)嘗試攻擊云服務(wù)供應(yīng)商以加密海量客戶(hù)數(shù)據(jù)。

　　針對(duì)托管服務(wù)供應(yīng)商。勒索軟件攻擊者當(dāng)然不會(huì)放過(guò)托管服務(wù)供應(yīng)商（MSP），因?yàn)樗麄兪种姓莆罩鴱V泛且受到信任的客戶(hù)組織訪問(wèn)權(quán)限。通過(guò)入侵托管服務(wù)商，勒索軟件攻擊者可以一次滲透就攻陷多位受害者。美國(guó)、澳大利亞及英國(guó)的網(wǎng)絡(luò)安全當(dāng)局評(píng)估稱(chēng)，未來(lái)這類(lèi)以托管服務(wù)商為跳板、以入侵托管服務(wù)客戶(hù)為最終目的的勒索軟件攻擊事件還將持續(xù)增加。

　　攻擊工業(yè)流程。盡管針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的大多數(shù)勒索軟件事件總會(huì)影響到商業(yè)信息與技術(shù)系統(tǒng)，但FBI也觀察到一部分勒索軟件團(tuán)伙正在開(kāi)發(fā)專(zhuān)門(mén)打擊關(guān)鍵基礎(chǔ)設(shè)施或工業(yè)流程的惡意代碼。

　　攻擊軟件供應(yīng)鏈。2021年，勒索軟件攻擊者開(kāi)始在全球范圍內(nèi)破壞軟件供應(yīng)鏈實(shí)體，并借此損害并勒索供應(yīng)鏈客戶(hù)。這種從供應(yīng)鏈下手的攻擊方式能夠讓威脅方一次行動(dòng)就拿下多位受害者，從而有效擴(kuò)大其攻擊規(guī)模。

　　挑節(jié)假日和周末下手。FBI和CISA都觀察到，網(wǎng)絡(luò)犯罪分子開(kāi)始在2021年的各個(gè)節(jié)假日和周末向美國(guó)實(shí)體發(fā)動(dòng)攻擊，并由此獲得了更大的威脅影響力。勒索軟件攻擊者意識(shí)到節(jié)假日和周末期間組織機(jī)構(gòu)往往無(wú)人值守，網(wǎng)絡(luò)防御方的松懈與IT支持人員的休假自然成為提升攻擊成功率的大好機(jī)會(huì)。

　　該報(bào)告的緩解措施、應(yīng)對(duì)建議等后半部分內(nèi)容比較冗長(zhǎng)，安全內(nèi)參讀者如有興趣可自行閱讀。