《2021年勒索攻擊特征與趨勢研究白皮書》重磅發(fā)布

發(fā)布時間 2021-11-12

勒索軟件又稱為“贖金木馬”,勒索軟件攻擊是指網(wǎng)絡攻擊者通過鎖定設備或加密文件等方式阻止用戶對系統(tǒng)或數(shù)據(jù)的正常訪問,并要挾受害者支付贖金的行為。如同我們把錢放在保險箱,小偷沒有撬開保險箱偷錢,反而把放保險箱的房間加了把鎖。如果沒有房間的鑰匙,我們依然拿不到保險箱里的錢。隨著 AI、5G、物聯(lián)網(wǎng)等技術的快速普及和應用,以及加密貨幣的持續(xù)火爆,如今勒索攻擊呈現(xiàn)出持續(xù)高發(fā)態(tài)勢。勒索攻擊已經(jīng)成為未來一段時期網(wǎng)絡安全的主要威脅之一,如何有效防范勒索攻擊成為當前網(wǎng)絡安全領域關注和討論的焦點。

勒索攻擊成為全球新挑戰(zhàn)

產(chǎn)業(yè)互聯(lián)網(wǎng)時代,安全范疇進一步擴大。攻擊發(fā)起方已經(jīng)從過去個人、單點黑客行為向組織化、系統(tǒng)化、專業(yè)化方向快速蔓延。一方面基礎設施、物理資產(chǎn)、生命安全都將成為比特世界的潛在攻擊對象,安全保障能力成為行業(yè)發(fā)展的“生命線”。另一方面,數(shù)字化貫穿企業(yè)研發(fā)、制造、物流、服務等全流程,安全需求覆蓋全部環(huán)節(jié),安全能力的強弱程度逐漸成為企業(yè)持續(xù)發(fā)展的“天花板”。

微信截圖_20211224101617.png

(一)安全是產(chǎn)業(yè)互聯(lián)網(wǎng)的基石

一方面,產(chǎn)業(yè)數(shù)字化促使數(shù)字經(jīng)濟加快進入高級階段,生產(chǎn)效率的提高更加依賴數(shù)據(jù)深度挖掘和全流程打通。另一方面,傳統(tǒng)產(chǎn)業(yè)安全防護能力參差不齊,海量設備接入網(wǎng)絡當中,網(wǎng)絡安全、數(shù)據(jù)安全在全流程應用場景中均涉及。因此,網(wǎng)絡攻擊、勒索攻擊、DDoS 攻擊逐漸增多,攻擊面逐漸擴大化。

基礎設施成為攻擊重點

當前,網(wǎng)絡攻擊更加組織化、系統(tǒng)化、專業(yè)化,攻擊范圍向行業(yè)、基礎設施領域拓展,金融、交通、醫(yī)療、城市管理等領域都成為新的攻擊對象。一旦基礎設施遭受攻擊,將導致整個產(chǎn)業(yè)鏈的停擺或癱瘓,甚至影響社會穩(wěn)定。以醫(yī)療衛(wèi)生行業(yè)為例,醫(yī)療數(shù)字化一直是社會關注焦點,隨著大量數(shù)字化設備和醫(yī)療設備的廣泛應用,醫(yī)療效率、就醫(yī)體驗、服務精準度都有大幅提升,但也給安全防護和醫(yī)療數(shù)據(jù)安全保護帶來新的挑戰(zhàn)。

惡意攻擊實時化全面化

惡意攻擊不分時間和地點,隨時對目標發(fā)起攻擊,因此,安全投入資源不足、安全監(jiān)測能力較低、安全防御碎片化的企業(yè)和機構,將面臨較大風險。安全防護需要做到前置和未雨綢繆,不論是個人、企業(yè)、還是民用設施、基礎設施都可能成為惡意攻擊的跳板,鏈條中的薄弱環(huán)節(jié)將成為攻擊的重要突破口。

微信截圖_20211224101630.png

(二)技術破壞式創(chuàng)新帶來安全挑戰(zhàn)

技術創(chuàng)新確實在造福民眾和提升經(jīng)濟社會效率方面發(fā)揮牽引作用;但同時,新技術也是一把雙刃劍,容易引發(fā)新的安全風險,給現(xiàn)有安全保障措施帶來巨大挑戰(zhàn)。

海量終端與網(wǎng)絡虛擬化帶來更多攻擊面

一方面,海量多樣化終端接入網(wǎng)絡。智能終端設備的接入規(guī)模、技術架構的異質(zhì)化帶來了安全管理難度和復雜度的提升。另一方面,新型網(wǎng)絡架構導致安全邊界模糊。新技術研發(fā)中廣泛使用開源代碼,帶來了新的安全設計缺陷和安全漏洞。同時,基于網(wǎng)絡切片端到端邏輯虛擬網(wǎng)絡技術的垂直領域應用,在資源共享、跨領域安全、身份認證和權限控制等方面出現(xiàn)新的安全風險。

隱私保護與數(shù)據(jù)共享面臨挑戰(zhàn)

當前,數(shù)據(jù)已經(jīng)成為企業(yè)的重要核心資產(chǎn)。能否對數(shù)據(jù)進行有效運用和深度挖掘,成為衡量一家企業(yè)能否創(chuàng)造價值的重要依據(jù)之一。技術溢出帶來的風險、算法難解釋性與黑箱性、數(shù)據(jù)質(zhì)量導致計算結果可控性差、用戶權益與隱私屢遭侵犯等是當前數(shù)據(jù)安全面臨的巨大挑戰(zhàn)。同時,隱私保護和信息共享缺乏統(tǒng)一技術標準和治理框架。

(三)勒索攻擊帶來的安全風險和挑戰(zhàn)

如果勒索攻擊沒有得到有效解決,將會帶來大量潛在風險。一是監(jiān)管風險,以歐盟《通用數(shù)據(jù)保護條例》(GDPR)為例,備份和災難恢復是 GDPR 的必選項,如果被攻擊的機構沒有按照法規(guī)定期對數(shù)據(jù)進行備份,將會面臨罰款等懲罰措施。二是服務風險,數(shù)據(jù)或文件被加密或泄露,機構將被迫停止其經(jīng)營活動,如果受害機構沒有可以恢復正常運營的備份數(shù)據(jù),可能會導致客戶的投訴和不滿,最終失去客戶。三是經(jīng)濟風險,數(shù)據(jù)恢復流程長、復雜度高,費用昂貴?;謴鸵言馄茐牡臄?shù)據(jù)時需要重新收集數(shù)據(jù),這使得機構信譽受到質(zhì)疑,對機構品牌帶來較大損害。

二、勒索攻擊的主要特點

(一)勒索攻擊行為隱蔽性強且危害顯著

隱蔽性是勒索攻擊的典型攻擊策略。勒索攻擊善于利用各種偽裝達到入侵目的,常見的傳播手段有垃圾郵件、網(wǎng)頁廣告、系統(tǒng)漏洞、U 盤等。調(diào)查發(fā)現(xiàn),某些勒索攻擊事件的制造者利用尚未被發(fā)現(xiàn)的網(wǎng)絡攻擊策略、技術和程序,不僅將后門偷偷嵌入代碼中,而且可以與被感染系統(tǒng)通信而不被發(fā)現(xiàn)。

此外,勒索攻擊一般具有明確的攻擊目標和強烈的勒索目的,勒索目的由獲取錢財轉(zhuǎn)向竊取商業(yè)數(shù)據(jù)和政治機密,危害性日益增強。

(二)勒索病毒變異較快且易傳播

目前,活躍在市面上的勒索攻擊病毒種類繁多,而且每個家族的勒索病毒也處于不斷地更新變異之中。很多勒索軟件編寫者知道安全人員試圖對其軟件進行“逆向工程”,從而不斷改進勒索軟件變體以逃避偵查。以下是 VirusTotal 對勒索樣本更新速度的追蹤趨勢圖,由此可見大部分時候,勒索軟件作者都實現(xiàn)了對樣本的快速更新,總是使用新的樣本進行攻擊投遞,以躲避檢測。

微信截圖_20211224102004.png

(三)勒索攻擊路徑和目標多元化發(fā)展

早期大部分勒索軟件以垃圾郵件、程序木馬、網(wǎng)頁掛馬等方式進行傳播,然而,近年來,越來越多的攻擊事件表明,勒索攻擊正在由被動式攻擊轉(zhuǎn)為主動式攻擊。

勒索攻擊目標呈現(xiàn)多元化發(fā)展。第一,是從電腦端到移動端。勒索病毒大多以電腦設備為攻擊目標,其中 Windows 操作系統(tǒng)是重災區(qū)。但是,隨著移動互聯(lián)網(wǎng)的普及,勒索攻擊的戰(zhàn)場從電腦端蔓延至移動端,并且有愈演愈烈的趨勢。第二,是從個人用戶到企業(yè)設備。個人設備在勒索軟件攻擊目標中一直占據(jù)較高比例,但是,隨著傳統(tǒng)勒索軟件盈利能力的持續(xù)下降,對更高利潤索取的期待驅(qū)使網(wǎng)絡攻擊者將目標重點聚焦在政府或企業(yè)的關鍵業(yè)務系統(tǒng)和服務器上。

微信截圖_20211224102022.png

(四)受勒索攻擊領域更加寬泛

勒索軟件攻勢愈演愈烈,受到勒索攻擊的領域和行業(yè)也覆蓋關鍵基礎設施等,涉及金融、醫(yī)療、教育、食品等行業(yè)。2021 年的幾次勒索攻擊事件致使關鍵燃料管道、大型肉類加工企業(yè)以及其他對于民眾日常生活與安全至關重要的基礎設施陷入癱瘓。這也使越來越多的普通民眾可以感受到勒索攻擊造成的影響。

三、勒索攻擊七大發(fā)展趨勢

在后疫情時代,勒索攻擊手段日趨成熟、攻擊目標越發(fā)明確,模式多種多樣,攻擊愈發(fā)隱蔽,更加難以防范,危害也日益增大。隨著勒索攻擊專業(yè)化、團隊化運作,勒索攻擊逐漸發(fā)展出新的攻擊趨勢。

(一)影響社會正常運轉(zhuǎn)且難解密

解密勒索攻擊使用的加密手段越來越復雜多樣,絕大多數(shù)不能被解密,因其所采用的非對稱加密算法的密鑰長度長且很難被反向破解。業(yè)內(nèi)專家普遍認為遭受勒索攻擊之后,沒有“特效藥”。受害者往往需要在支付巨額贖金和數(shù)據(jù)恢復重建中做出選擇。

(二)勒索軟件即服務成為網(wǎng)絡攻擊新模式

隨著云計算、人工智能等新技術的快速普及和應用,勒索軟件即服務(SaaS)成為當前網(wǎng)絡攻擊的新模式。

勒索攻擊從制作、傳播、攻擊到收益呈現(xiàn)系統(tǒng)化、便捷化趨勢,開發(fā)者可以提供一整套解決方案,甚至包括利用加密貨幣進行贖金支付等服務。

微信截圖_20211224102034.png

(三)加密貨幣普及助推贖金快速增長

勒索攻擊的制造者對贖金的要求越來越高。高額贖金不僅讓網(wǎng)絡攻擊者賺得盆滿缽滿,同時,勒索攻擊者可以借此招攬更多人鋌而走險加入勒索攻擊行列。對于網(wǎng)絡攻擊者來說,勒索模式和網(wǎng)絡入侵相結合是一種較為便利的套現(xiàn)模式。隨著加密貨幣成為近年來社會關注的焦點,尤其是加密貨幣的匿名化和難以追溯性導致監(jiān)管部門很難對其進行管理。

(四)基礎設施成為攻擊重點

近年來,勒索攻擊對象涉及面越來越廣,目前主要針對掌握大量數(shù)據(jù)的大型企業(yè),且定向精準攻擊趨勢愈發(fā)明顯,勒索攻擊日趨 APT 化。所謂 APT 化,即攻擊不計成本、不擇手段,從低權限賬號入手,持續(xù)滲透攻擊,直到控制企業(yè)核心服務器,再釋放勒索病毒,使巨型企業(yè)徹底癱瘓。

有報告顯示,2020 年,美國有約 2400 家醫(yī)療機構、學校和政府部門遭受勒索攻擊,新冠肺炎疫情導致越來越多的人依賴遠程辦公,這在某種程度上進一步增加了勒索攻擊的頻次和概率。

微信截圖_20211224102042.png

(五)“多重勒索”模式引發(fā)數(shù)據(jù)泄露風險

時至今日,勒索攻擊已經(jīng)逐漸演變成先竊取商業(yè)信息和內(nèi)部機密,而后威脅企業(yè)不繳納贖金將公開數(shù)據(jù),在此基礎上,攻擊者還威脅受害者如果不支付贖金就會發(fā)動“拒絕阻斷服務攻擊”,使得受害者服務器超負荷運轉(zhuǎn),直至服務器癱瘓。這種新模式也被稱為“多重勒索”。

在這種情況下,如果受害者不支付贖金,不僅僅數(shù)據(jù)難以解密,還將面臨信息被公布或者被拍賣出去的危險,給企業(yè)或機構造成較為復雜的外部危害。越來越多的勒索攻擊事件表明,“多重勒索”模式已成為現(xiàn)今網(wǎng)絡攻擊者實施攻擊的重要手段。

微信截圖_20211224102055.png

(六)供應鏈成為勒索攻擊重要切入點

隨著產(chǎn)業(yè)鏈上下游企業(yè)數(shù)字化水平和效率的提升,更多企業(yè)打通上下游數(shù)據(jù)鏈條,合作程度加深,產(chǎn)業(yè)鏈安全防護能力取決于產(chǎn)業(yè)鏈中安全最薄弱環(huán)節(jié)或企業(yè)。安全風險開始向更廣范圍和更基礎領域擴散。

(七)引發(fā)網(wǎng)絡保險行業(yè)的惡性循環(huán)

高額的網(wǎng)絡攻擊成本催生了對網(wǎng)絡風險保險的龐大需求市場,近年來,還出現(xiàn)了勒索攻擊談判公司,這些公司專門負責與攻擊者進行談判,期望將贖金壓低。這些公司通常是保險公司找來的。

然而,網(wǎng)絡保險行業(yè)欣欣向榮的表象下,卻潛藏著巨大的惡性循環(huán)危機。由于最近幾個月來全球幾大公司接連遭到災難性的勒索攻擊,越來越多的企業(yè)向網(wǎng)絡保險和再保險公司尋求幫助,網(wǎng)絡攻擊者特意挑選投保了網(wǎng)絡保險的公司作為攻擊目標,更加有針對性地實施勒索攻擊,使得網(wǎng)絡犯罪的成功率大幅提升,整體網(wǎng)絡環(huán)境面臨加速惡化的窘境。

四、防范勒索攻擊建議與思考

防范勒索攻擊的重點應在事前防御環(huán)節(jié)而不是放在遭受攻擊后的解密環(huán)節(jié)。從企業(yè)和個人層面看,防范勒索攻擊需要提升網(wǎng)絡安全能力、進行數(shù)據(jù)備份、提高人員意識等多個方面,從總體上不斷提升安全防護能力,不給勒索攻擊以可乘之機。

(一)構建安全前置能力, 提升“免疫力”

因此,對于企業(yè)來說,首先,要利用人工智能、大數(shù)據(jù)、云計算等新技術實現(xiàn)安全能力在業(yè)務環(huán)節(jié)的前置,提前預判潛在安全風險;其次,要對安全專家或人才能力進行量化,使過往積累的安全經(jīng)驗與能力標準化、流程化,以實現(xiàn)安全能力的量化部署;定期開展風險評估,及時修復安全漏洞,定期更新殺毒軟件,關停不必要的服務和端口。

(二)增強人員安全意識 ,降低攻擊風險

應對勒索攻擊,增強員工安全意識與加強數(shù)據(jù)備份同等重要:對從業(yè)人員的安全意識、安全素養(yǎng)的訓練是長久、持續(xù)的過程。

增強安全意識

企業(yè)要加強安全知識的宣傳力度,使從業(yè)人員對各種可能出現(xiàn)的可疑情況保持高度警惕。不點擊來歷不明的郵件;不打開來源不可靠網(wǎng)站;不安裝來源不明軟件;不插拔來歷不明存儲介質(zhì)等。

加強數(shù)據(jù)備份

必須在平日里就做好重要數(shù)據(jù)的備份工作,且最好使用本地存儲和云端雙備份的策略。同時,應嚴格限制對備份系統(tǒng)的訪問權限,防止勒索攻擊橫移對備份數(shù)據(jù)進行加密。


微信截圖_20211224102104.png