《2021年勒索攻擊特征與趨勢研究白皮書》重磅發布

發布時間 2021-11-12

勒索軟件又稱為“贖金木馬”,勒索軟件攻擊是指網絡攻擊者通過鎖定設備或加密文件等方式阻止用戶對系統或數據的正常訪問,并要挾受害者支付贖金的行為。如同我們把錢放在保險箱,小偷沒有撬開保險箱偷錢,反而把放保險箱的房間加了把鎖。如果沒有房間的鑰匙,我們依然拿不到保險箱里的錢。隨著 AI、5G、物聯網等技術的快速普及和應用,以及加密貨幣的持續火爆,如今勒索攻擊呈現出持續高發態勢。勒索攻擊已經成為未來一段時期網絡安全的主要威脅之一,如何有效防范勒索攻擊成為當前網絡安全領域關注和討論的焦點。

勒索攻擊成為全球新挑戰

產業互聯網時代,安全范疇進一步擴大。攻擊發起方已經從過去個人、單點黑客行為向組織化、系統化、專業化方向快速蔓延。一方面基礎設施、物理資產、生命安全都將成為比特世界的潛在攻擊對象,安全保障能力成為行業發展的“生命線”。另一方面,數字化貫穿企業研發、制造、物流、服務等全流程,安全需求覆蓋全部環節,安全能力的強弱程度逐漸成為企業持續發展的“天花板”。

微信截圖_20211224101617.png

(一)安全是產業互聯網的基石

一方面,產業數字化促使數字經濟加快進入高級階段,生產效率的提高更加依賴數據深度挖掘和全流程打通。另一方面,傳統產業安全防護能力參差不齊,海量設備接入網絡當中,網絡安全、數據安全在全流程應用場景中均涉及。因此,網絡攻擊、勒索攻擊、DDoS 攻擊逐漸增多,攻擊面逐漸擴大化。

基礎設施成為攻擊重點

當前,網絡攻擊更加組織化、系統化、專業化,攻擊范圍向行業、基礎設施領域拓展,金融、交通、醫療、城市管理等領域都成為新的攻擊對象。一旦基礎設施遭受攻擊,將導致整個產業鏈的停擺或癱瘓,甚至影響社會穩定。以醫療衛生行業為例,醫療數字化一直是社會關注焦點,隨著大量數字化設備和醫療設備的廣泛應用,醫療效率、就醫體驗、服務精準度都有大幅提升,但也給安全防護和醫療數據安全保護帶來新的挑戰。

惡意攻擊實時化全面化

惡意攻擊不分時間和地點,隨時對目標發起攻擊,因此,安全投入資源不足、安全監測能力較低、安全防御碎片化的企業和機構,將面臨較大風險。安全防護需要做到前置和未雨綢繆,不論是個人、企業、還是民用設施、基礎設施都可能成為惡意攻擊的跳板,鏈條中的薄弱環節將成為攻擊的重要突破口。

微信截圖_20211224101630.png

(二)技術破壞式創新帶來安全挑戰

技術創新確實在造福民眾和提升經濟社會效率方面發揮牽引作用;但同時,新技術也是一把雙刃劍,容易引發新的安全風險,給現有安全保障措施帶來巨大挑戰。

海量終端與網絡虛擬化帶來更多攻擊面

一方面,海量多樣化終端接入網絡。智能終端設備的接入規模、技術架構的異質化帶來了安全管理難度和復雜度的提升。另一方面,新型網絡架構導致安全邊界模糊。新技術研發中廣泛使用開源代碼,帶來了新的安全設計缺陷和安全漏洞。同時,基于網絡切片端到端邏輯虛擬網絡技術的垂直領域應用,在資源共享、跨領域安全、身份認證和權限控制等方面出現新的安全風險。

隱私保護與數據共享面臨挑戰

當前,數據已經成為企業的重要核心資產。能否對數據進行有效運用和深度挖掘,成為衡量一家企業能否創造價值的重要依據之一。技術溢出帶來的風險、算法難解釋性與黑箱性、數據質量導致計算結果可控性差、用戶權益與隱私屢遭侵犯等是當前數據安全面臨的巨大挑戰。同時,隱私保護和信息共享缺乏統一技術標準和治理框架。

(三)勒索攻擊帶來的安全風險和挑戰

如果勒索攻擊沒有得到有效解決,將會帶來大量潛在風險。一是監管風險,以歐盟《通用數據保護條例》(GDPR)為例,備份和災難恢復是 GDPR 的必選項,如果被攻擊的機構沒有按照法規定期對數據進行備份,將會面臨罰款等懲罰措施。二是服務風險,數據或文件被加密或泄露,機構將被迫停止其經營活動,如果受害機構沒有可以恢復正常運營的備份數據,可能會導致客戶的投訴和不滿,最終失去客戶。三是經濟風險,數據恢復流程長、復雜度高,費用昂貴。恢復已遭破壞的數據時需要重新收集數據,這使得機構信譽受到質疑,對機構品牌帶來較大損害。

二、勒索攻擊的主要特點

(一)勒索攻擊行為隱蔽性強且危害顯著

隱蔽性是勒索攻擊的典型攻擊策略。勒索攻擊善于利用各種偽裝達到入侵目的,常見的傳播手段有垃圾郵件、網頁廣告、系統漏洞、U 盤等。調查發現,某些勒索攻擊事件的制造者利用尚未被發現的網絡攻擊策略、技術和程序,不僅將后門偷偷嵌入代碼中,而且可以與被感染系統通信而不被發現。

此外,勒索攻擊一般具有明確的攻擊目標和強烈的勒索目的,勒索目的由獲取錢財轉向竊取商業數據和政治機密,危害性日益增強。

(二)勒索病毒變異較快且易傳播

目前,活躍在市面上的勒索攻擊病毒種類繁多,而且每個家族的勒索病毒也處于不斷地更新變異之中。很多勒索軟件編寫者知道安全人員試圖對其軟件進行“逆向工程”,從而不斷改進勒索軟件變體以逃避偵查。以下是 VirusTotal 對勒索樣本更新速度的追蹤趨勢圖,由此可見大部分時候,勒索軟件作者都實現了對樣本的快速更新,總是使用新的樣本進行攻擊投遞,以躲避檢測。

微信截圖_20211224102004.png

(三)勒索攻擊路徑和目標多元化發展

早期大部分勒索軟件以垃圾郵件、程序木馬、網頁掛馬等方式進行傳播,然而,近年來,越來越多的攻擊事件表明,勒索攻擊正在由被動式攻擊轉為主動式攻擊。

勒索攻擊目標呈現多元化發展。第一,是從電腦端到移動端。勒索病毒大多以電腦設備為攻擊目標,其中 Windows 操作系統是重災區。但是,隨著移動互聯網的普及,勒索攻擊的戰場從電腦端蔓延至移動端,并且有愈演愈烈的趨勢。第二,是從個人用戶到企業設備。個人設備在勒索軟件攻擊目標中一直占據較高比例,但是,隨著傳統勒索軟件盈利能力的持續下降,對更高利潤索取的期待驅使網絡攻擊者將目標重點聚焦在政府或企業的關鍵業務系統和服務器上。

微信截圖_20211224102022.png

(四)受勒索攻擊領域更加寬泛

勒索軟件攻勢愈演愈烈,受到勒索攻擊的領域和行業也覆蓋關鍵基礎設施等,涉及金融、醫療、教育、食品等行業。2021 年的幾次勒索攻擊事件致使關鍵燃料管道、大型肉類加工企業以及其他對于民眾日常生活與安全至關重要的基礎設施陷入癱瘓。這也使越來越多的普通民眾可以感受到勒索攻擊造成的影響。

三、勒索攻擊七大發展趨勢

在后疫情時代,勒索攻擊手段日趨成熟、攻擊目標越發明確,模式多種多樣,攻擊愈發隱蔽,更加難以防范,危害也日益增大。隨著勒索攻擊專業化、團隊化運作,勒索攻擊逐漸發展出新的攻擊趨勢。

(一)影響社會正常運轉且難解密

解密勒索攻擊使用的加密手段越來越復雜多樣,絕大多數不能被解密,因其所采用的非對稱加密算法的密鑰長度長且很難被反向破解。業內專家普遍認為遭受勒索攻擊之后,沒有“特效藥”。受害者往往需要在支付巨額贖金和數據恢復重建中做出選擇。

(二)勒索軟件即服務成為網絡攻擊新模式

隨著云計算、人工智能等新技術的快速普及和應用,勒索軟件即服務(SaaS)成為當前網絡攻擊的新模式。

勒索攻擊從制作、傳播、攻擊到收益呈現系統化、便捷化趨勢,開發者可以提供一整套解決方案,甚至包括利用加密貨幣進行贖金支付等服務。

微信截圖_20211224102034.png

(三)加密貨幣普及助推贖金快速增長

勒索攻擊的制造者對贖金的要求越來越高。高額贖金不僅讓網絡攻擊者賺得盆滿缽滿,同時,勒索攻擊者可以借此招攬更多人鋌而走險加入勒索攻擊行列。對于網絡攻擊者來說,勒索模式和網絡入侵相結合是一種較為便利的套現模式。隨著加密貨幣成為近年來社會關注的焦點,尤其是加密貨幣的匿名化和難以追溯性導致監管部門很難對其進行管理。

(四)基礎設施成為攻擊重點

近年來,勒索攻擊對象涉及面越來越廣,目前主要針對掌握大量數據的大型企業,且定向精準攻擊趨勢愈發明顯,勒索攻擊日趨 APT 化。所謂 APT 化,即攻擊不計成本、不擇手段,從低權限賬號入手,持續滲透攻擊,直到控制企業核心服務器,再釋放勒索病毒,使巨型企業徹底癱瘓。

有報告顯示,2020 年,美國有約 2400 家醫療機構、學校和政府部門遭受勒索攻擊,新冠肺炎疫情導致越來越多的人依賴遠程辦公,這在某種程度上進一步增加了勒索攻擊的頻次和概率。

微信截圖_20211224102042.png

(五)“多重勒索”模式引發數據泄露風險

時至今日,勒索攻擊已經逐漸演變成先竊取商業信息和內部機密,而后威脅企業不繳納贖金將公開數據,在此基礎上,攻擊者還威脅受害者如果不支付贖金就會發動“拒絕阻斷服務攻擊”,使得受害者服務器超負荷運轉,直至服務器癱瘓。這種新模式也被稱為“多重勒索”。

在這種情況下,如果受害者不支付贖金,不僅僅數據難以解密,還將面臨信息被公布或者被拍賣出去的危險,給企業或機構造成較為復雜的外部危害。越來越多的勒索攻擊事件表明,“多重勒索”模式已成為現今網絡攻擊者實施攻擊的重要手段。

微信截圖_20211224102055.png

(六)供應鏈成為勒索攻擊重要切入點

隨著產業鏈上下游企業數字化水平和效率的提升,更多企業打通上下游數據鏈條,合作程度加深,產業鏈安全防護能力取決于產業鏈中安全最薄弱環節或企業。安全風險開始向更廣范圍和更基礎領域擴散。

(七)引發網絡保險行業的惡性循環

高額的網絡攻擊成本催生了對網絡風險保險的龐大需求市場,近年來,還出現了勒索攻擊談判公司,這些公司專門負責與攻擊者進行談判,期望將贖金壓低。這些公司通常是保險公司找來的。

然而,網絡保險行業欣欣向榮的表象下,卻潛藏著巨大的惡性循環危機。由于最近幾個月來全球幾大公司接連遭到災難性的勒索攻擊,越來越多的企業向網絡保險和再保險公司尋求幫助,網絡攻擊者特意挑選投保了網絡保險的公司作為攻擊目標,更加有針對性地實施勒索攻擊,使得網絡犯罪的成功率大幅提升,整體網絡環境面臨加速惡化的窘境。

四、防范勒索攻擊建議與思考

防范勒索攻擊的重點應在事前防御環節而不是放在遭受攻擊后的解密環節。從企業和個人層面看,防范勒索攻擊需要提升網絡安全能力、進行數據備份、提高人員意識等多個方面,從總體上不斷提升安全防護能力,不給勒索攻擊以可乘之機。

(一)構建安全前置能力, 提升“免疫力”

因此,對于企業來說,首先,要利用人工智能、大數據、云計算等新技術實現安全能力在業務環節的前置,提前預判潛在安全風險;其次,要對安全專家或人才能力進行量化,使過往積累的安全經驗與能力標準化、流程化,以實現安全能力的量化部署;定期開展風險評估,及時修復安全漏洞,定期更新殺毒軟件,關停不必要的服務和端口。

(二)增強人員安全意識 ,降低攻擊風險

應對勒索攻擊,增強員工安全意識與加強數據備份同等重要:對從業人員的安全意識、安全素養的訓練是長久、持續的過程。

增強安全意識

企業要加強安全知識的宣傳力度,使從業人員對各種可能出現的可疑情況保持高度警惕。不點擊來歷不明的郵件;不打開來源不可靠網站;不安裝來源不明軟件;不插拔來歷不明存儲介質等

加強數據備份

必須在平日里就做好重要數據的備份工作,且最好使用本地存儲和云端雙備份的策略。同時,應嚴格限制對備份系統的訪問權限,防止勒索攻擊橫移對備份數據進行加密。


微信截圖_20211224102104.png