勒索病毒(ransomware)是一种通过骚扰、恐吓甚至绑架用户文件等方式使用户数据资产或计算资源无法使用的恶意软件,而这是一种向用户勒索金钱的条件。新冠疫情的爆发,加速了数字时代的到来,让企事业单位的业务运营模式发生了重大变革,也带来了更多的安全隐患。这无疑成为导致勒索软件攻击大幅增加的重要因素。勒索软件是“头号”威胁根据IBMX-Force报告,勒索软件在过去三年中一直占据主要攻击类型列表的首位,2021年也不例外,21%的攻击由X-Force事件响应修复团队被勒索软件攻击。2021年,亚洲首次成为攻击重灾区,占X-Force观察到的所有攻击的26%。欧洲和北美紧随其后,分别占攻击总数的24%和23%,而中东和非洲以及拉丁美洲分别占14%和13%。勒索病毒成为全球面临的最主要的攻击类型,制造业、金融保险等行业成为近年来勒索病毒攻击的重点目标。此外,一份由美国、澳大利亚和英国网络安全当局撰写的联合网络安全咨询报告显示,针对与关键基础设施相关的组织的高度复杂、高影响的勒索软件攻击在全球范围内持续增加。根据美国联邦调查局(FBI)、网络安全与基础设施安全局(CISA)和国家安全局(NSA)的观察,美国16个关键基础设施部门中有14个遭遇勒索软件事件,包括国防工业基地、应急服务、食品和农业、政府设施和信息技术等部门。澳大利亚网络安全中心(ACSC)也观察到,勒索软件继续以澳大利亚的关键基础设施实体为目标,包括医疗保健、金融服务和市场、高等教育和研究以及能源部门。英国国家网络安全中心(NCSC)也将勒索软件视为英国面临的最大网络威胁,并表示各企业、教育、慈善机构、法律界甚至地方政府和卫生部门的公共服务机构都已成为勒索软件。攻击者的目标。勒索病毒攻击策略不断升级与传统线下勒索病毒相比,勒索病毒攻击更加隐蔽、便捷,攻击者更容易逃避制裁,而受害者则承受着难以言说的痛苦。攻击者为了索取赎金,一般采用加密数据勒索、系统锁定勒索、威胁恐吓勒索、数据泄露勒索等手段。从普通勒索到“双重勒索”,勒索病毒不断寻求更多创新的商业模式,并且越来越猖獗。2021年,勒索软件攻击升级为“三重勒索”,运作模式不断扩大,影响范围也越来越大。在“三重勒索”攻击中,攻击者不仅会加密和窃取数据,还会威胁对受影响的组织发起分布式拒绝服务(DDoS)攻击。这种攻击将使受害者的网络同时被两种恶意攻击劫持,数据窃取会进一步加剧这种情况。同时,随着全球数字化进程的不断推进,数据的价值越来越凸显,勒索强行加密数据的方式成为最常用、最有效的攻击手段。据赛迪研究院网络安全研究所研究分析,全球数据勒索攻击呈现出一些新特点:攻击目的已从单纯的经济利益转向数据破坏、战略窃取等多种尝试秘密、谋求政治诉求,敲诈勒索的意图越来越复杂。;攻击目标从无差别的个人设备转向政府和公共部门、大型企业等具有关键信息基础设施属性的目标机构,勒索策略越来越精准;攻击主体从个人或单一的黑客群体攻击转向层次分明、分工明确的黑业活动,敲诈勒索行为越来越专业化;攻击方式由单一的加密勒索转变为多次勒索牟利,勒索手段趋向多元化。勒索病毒攻击回顾众所周知,勒索病毒近年来的猖獗,尤其是在2021年更是达到顶峰。据《2021年度勒索病毒态势报告》预测,2021年全网勒索攻击总数将超过2234万次,影响范围从企业业务到关键基础设施,从业务数据安全到国家安全和社会稳定。接下来回顾一下2021年和2022年上半年的重要勒索软件攻击事件:2021年1月14日,泛亚大型零售连锁运营商牛奶公司集团遭到REvil勒索软件攻击,被勒索高达3000万美元的赎金。2021年1月15日,苏格兰环境保护署(SEPA)披露,该机构在平安夜遭到勒索软件Conti的攻击,导致网络严重中断,勒索团伙还窃取了1.2GB的数据。2021年1月,据路透社报道,美国知名IT公司SolarWinds的Orion网络监控软件更新服务器被黑客入侵,被植入恶意代码。设施和许多世界500强企业。2021年2月13日,ULLLC遭受勒索软件攻击,对其服务器进行加密,导致服务器在恢复时关闭系统。2021年3月20日,电脑巨头宏碁遭到REvil勒索软件攻击,攻击者索要5000万美元赎金,折合人民币3.25亿元。2021年3月20日,加拿大物联网(IoT)解决方案提供商SierraWireless内部IT系统遭到勒索软件攻击,不仅内部运营受损,官网暂时关闭,公司暂时关闭了所有生产场所。2021年3月21日,美国最大的保险公司之一CNA金融公司(CNAFinancialCorporation)遭遇复杂的网络安全攻击,导致网络中断并影响了CNA的部分系统,并被勒索被黑客盗取4000万美元。2021年3月30日,ApplusTechnologies的车辆排放测试平台遭受恶意软件攻击,导致IT系统断开连接。2021年4月,苹果笔记本代工广达电脑遭到勒索软件REvil的攻击。2021年5月7日,美国最大的成品油管道运营商ColonialPipeline遭到勒索软件攻击,黑客利用非法软件控制其电脑系统或数据,ColonialPipeline被迫关闭2021年5月31日,全球最大肉类供应商JBS对外表示,该公司服务器遭到黑客有组织的攻击,其位于美国东部沿海各州的关键燃料网络瘫痪。包括美国分公司和澳大利亚分公司,部分工厂停工,JBS最终妥协,向黑客支付了1100万美元。2021年6月,REvil勒索软件团伙攻击Kaseya,一家基于云的MSP平台软件提供商Kaseya,并声称约60家Kaseya客户和1500家企业受到勒索软件攻击的影响。2021年8月,西方经济事务部发表声明称,其内部8月13日,巴西国库网络遭到勒索软件攻击,巴西国库秘书处第一时间采取围堵措施,并召集联邦警察协助调查。2021年7月2日,Kaseya遭受勒索软件组织REvil的供应链攻击。Kaseya表示,它“知道受攻击影响的客户不到60家”,但影响遍及“1,500家下游企业”。2021年8月,全球咨询公司埃森哲遭受勒索软件攻击,部分客户系统受损,部分私人公司数据被盗泄露。2021年10月,SinclairBroadcastingGroup遭受勒索软件攻击和数据泄露,对“某些办公室和运营网络”造成损害,并中断了Sinclair部分广播网络的运营。2021年11月,加密货币交易平台BTC-Alpha遭到勒索软件攻击,导致BTC-Alpha网站及其应用程序关闭,直至11月20日一直处于不活动状态。2021年11月7日至11月8日,电商巨头MediaMarkt遭到攻击被勒索软件攻击,其服务器、工作站和其他设备的数据被加密。最后,该公司不得不关闭其IT系统以防止事态蔓延。这次袭击影响了整个欧洲的众多零售店。2022年1月5日,新墨西哥州最大的县发现自己成为勒索软件攻击的受害者,该攻击导致多个公用事业和政府办公系统离线。2022年2月至2022年3月期间,三家丰田供应商遭到黑客攻击。当丰田供应商小岛工业(KojimaIndustries)遭到网络攻击时,这家巨头不得不停止其14家日本工厂的运营,据说该公司的月产能减少了5%。2022年2月底,全球知名半导体芯片公司英伟达被曝遭受勒索软件攻击。攻击者在线泄露了员工凭证和私人信息。勒索软件组织Lapsus$声称对这次攻击负责,并表示他们可以访问1TB的企业数据。自2022年4月中旬以来,孔蒂组织先后对哥斯达黎加发动了两波勒索软件攻击,导致该国多项基础服务瘫痪,政府陷入混乱,无法有效应对。推进勒索病毒攻击治理基于数据的勒索病毒攻击已成为全球网络攻击的主角,在许多国家造成机密数据泄露、社会系统瘫痪等重大危害,严重威胁国家安全。赛迪研究院网络安全研究所研究表明,各国从立法层面推进对勒索攻击的治理,着重于以下四个方面的制度建设:一是建立强制报告机制勒索攻击事件;二是规范勒索赎金行为,防止因支付巨额赎金而引发的反复袭击。三是赋予执法人员“数据中断”权,帮助勒索受害者在不支付赎金的情况下防范潜在的数据泄露风险;四是对敲诈勒索者实施更严厉的处罚,增强对敲诈勒索犯罪的震慑作用。美国网络安全和基础设施安全局(CISA)发布的《保护敏感信息和个人信息免受勒索软件导致的数据泄露》指出,为防止成为勒索软件攻击的受害者,企业应采取以下步骤:制定、维护和执行基本的网络事件响应计划、弹性策略和相关的沟通计划;维护离线、加密的数据副本,并定期验证备份;减少收到钓鱼邮件的可能性;互联网健康指南。此外,国家互联网应急中心(CNCERT)2021年7月发布的《勒索软件防范指南》还提出,防范勒索病毒应做到“九要”和“四不要”。“九要”:1、做好资产分类、分级分类管理;2、备份重要数据和系统;3、设置复杂密码并保密;4、定期评估安全风险;6、做好身份验证和权限管理工作;7、严格的门禁政策;8、提高人员安全意识;九、制定应急预案。“四不”:1、不随便点击来路不明的邮件;2.不要打开来源不可靠的网站;3、不要安装来路不明的软件;4、不要插拔来源不明的存储介质。《指南》还强调,当机器感染勒索病毒时,不要恐慌,第一时间做好网络隔离、分类处置、及时报告、排查加固、专业修复等应急工作,减少勒索病毒带来的危害。随着技术的发展和未来的不可预测性,安全卫士与勒索病毒的较量终究会是一场持久战……
