勒索攻击这场“硬仗”只能“软打”

在过去，物理世界和数字世界是完全独立的领域，安全也是。

现实世界我们只要锁好门关好窗，一把锁就可以防盗。

随着互联网、5G、大数据、云计算等技术的发展，数字世界与物理世界深度融合，安全被重新定义。

网络攻击可以触达任何一个角落，安全风险遍布在工业生产、能源、交通、医疗、金融，以及城市和社会治理等所有场景之中，直接影响到数字经济发展，甚至危害到社会和国家安全。

信息时代，谁控制了信息网络，谁就控制了政治、经济、军事、较量的“制高点”，网络空间成为各国争夺的重要战略空间。过去海、陆、空、天等自然空间是国家安全战略重要的关注点，如今网络安全已经上升为国家安全，“没有网络安全，就没有国家安全”。

但是同样也诞生了一批黑客，这批人专门制造一些网络武器，或者利用系统漏洞来攻击我们的网络从而窃取信息，获得利益。其中，网络安全事件中勒索攻击占比居高不下，黑客利用技术手段将勒索病毒植入到系统里，然后对系统所有文件进行加密，并弹出需要支付赎金才会给解密密钥的对话框，进而获得利益。国家和企业经济都受到极大威胁。

那么问题来了面对勒索攻击问题到底怎么破？腾讯研究院《2021年勒索攻击特征与趋势研究白皮书》（以下简称《白皮书》）中从全球网络产业态势、勒索攻击特点、趋势以及如何防范等方面进行分析，我们或许可以从全球的趋势中窥见其中利害，从而更好的应对。

一、勒索攻击正演变为全球性的安全问题

勒索病毒影响的不仅是网络安全还包括产业安全和基础设施安全，影响全球的生产与经济。

有相关数据显示，自从新冠肺炎疫情在全球蔓延以来，勒索攻击的案件数量和勒索金额都在迅速提升。勒索软件攻击俨然成为全球范围内增长速度最快的网络安全威胁之一，其攻击对象既包括各类企业与组织，也包含个体网络用户，影响范围之广。

就在几天前，美国最大电视台运营商之一的Sinclair广播集团发布声明称，该公司遭到勒索软件攻击，其部分服务器和工作站数据被勒索软件挟持，办公室网络和运营网络也被迫中断。

同时今年5月7日，美国输油管道公司Colonial Pipeline遭受勒索软件攻击，导致其东海岸液体燃料被迫停止运营。

而此前中国境内遭受的大规模勒索软件攻击，较为著名的是2017年的“永恒之蓝”事件。“永恒之蓝”是从美国NSA漏洞库中泄露的漏洞，一个月后不法分子通过改造永恒之蓝制作了WannaCry勒索病毒，致使美国、英国、俄罗斯、中国等至少150个国家，30万名用户中招，多国企业、政府机构和高校遭受勒索病毒袭击，多地电力系统、通讯系统、能源企业等基础设施受到波及，据统计造成了约80亿美元的损失。

至此全球敲响了网络安全防护的警钟，也正是从永恒之蓝开始勒索病毒真正进入公众的视野。

勒索攻击为什么能演变成全球性的安全问题？

《白皮书》中指出：数字经济时代，科技竞争、行业应用和技术破坏式创新给全球网络产业带来安全挑战。

疫情加速产业链回流和产业链重构的大背景下，数字经济促进产业融合升级脚步加快。在数字经济时代，数字化推动了传统产业转型升级。传统产业大量设备接入网络，安全和数据保护能力薄弱，使得网络攻击面扩大。例如智能联网汽车，软件安全问题一直都在从未解决，黑客可以利用软件漏洞，获取车辆驾驶员信息甚至远程控制汽车，隐私和生命安全都受到威胁。

不仅如此，像新型基础设施领域，包括金融、交通、医疗、城市管理等领域都成为新的攻击对象。《白皮书》提出，恶意攻击已经开始向实时化全面化演变，恶意攻击不分时间和地点，随时对目标发起攻击，因此对于安全投入资源不足、安全监测能力较低、安全防御碎片化的企业和机构将面临较大风险。

2020年9月，德国杜塞尔多夫医院30多台内部服务器遭到勒索攻击，一位前来寻求紧急治疗的妇女被迫转送至其他医院后死亡。勒索攻击的毒手让医疗行业也难以幸免。

技术在给经济社会带来大量便利和效率提升的同时，破坏式创新也带来不利影响。根据世界经济论坛发布的《2021 年全球技术治理报告:在疫情时代利用第四次工业革命技术》显示，比特币支付占2019年第一季度全球勒索事件赎金交付方式的90％以上，尤其是区块链技术的匿名性使得监管部门难以溯源打击违法犯罪分子。再比如SDN、NFV、云计算和边缘计算等技术和技术框架的应用带来了新的攻击面，在这些新技术研发中广泛使用开源代码，带来了新的安全设计缺陷和安全漏洞。

二、企业苦网络勒索久已

勒索病毒自诞生以来，企业都是最主要的受害者。“有钱能使鬼推磨”，因为企业能够支付勒索组织想要的赎金，传统企业往往因为安全防护能力薄弱，成为勒索攻击的主要目标，大部分公司为了防止引发客户对其安全防护能力的质疑和对自身利益的担忧，也担心数据信息会流落到竞争对手手上，往往选择不会公开遭到攻击的事实，而是选择私下交钱息事宁人。

2021年5月全球最大的肉类供应商JBS遭到勒索病毒攻击，部分牛羊屠宰加工厂停摆，美国肉类批发价格出现上涨，使得本就受到疫情冲击的全球食品供应链雪上加霜。

据数据显示，2021年，亚太地区企业每周遭受1,338次攻击，与今年初相比增长了13%。美国企业则平均每周遭受443次攻击，增长了17%；拉丁美洲地区增长约19%。在欧洲、中东及非洲地区，每个企业平均每周承受攻击次数为777次，增长了36%；若单看欧洲地区，增长为27%。全球2021上半年针对企业的勒索软件攻击次数，与去年同期相比增加了93%。

此前2017年全球最大的航运企业马士基集团曾遭到Petya勒索病毒攻击，公司系统内部被迫关闭，波及全球76个港口的运营，作为占全球货轮贸易18%左右的最大集装箱船运企业这次攻击导致整个海运业都受到了影响，货轮无法通过系统进行定位最追踪，货主不知道他们的财务流向何方，跟据马士基后来发布的财报显示，这次攻击事件最终导致损失2亿到3亿美元。

2018年全球酒店20强的华住酒店集团发生严重信息泄露事件，泄露范围包括：身份证、手机号、邮箱、账号、登录密码、入住登记身份信息、酒店开房记录等等。几批数据加起来总量高达141.5G，4.93亿条，涉及约1.3亿人信息。这些数据信息被黑客挂到暗网黑市售卖，标价8个比特币约合人民币30万元。

还有很多数据泄露的事件，微博5.38亿用户信息泄露在暗网出售、Facebook5.33亿用户个人信息泄露等等或是因为安全漏洞、或是因为黑客攻击、或是内外勾结，都让企业和个人遭受很大的损失。

勒索攻击让企业“哑巴吃黄连”，企业也只能敢怒不敢言。

根据相关调查数据显示，有83%的企业认为他们没有有效的手段来应对黑客们的威胁。或者是从第三方才知道出现数据泄露。

互联网时代绑架数据比绑架肉票来钱还快，使得这些黑客组织肆无忌惮。

《白皮书》认为勒索病毒已经演变为勒索攻击。自1989年，哈佛大学学生约瑟夫·L·波普制作了全球首个勒索病毒—AIDS 木马，到现在逐渐演变为对经济社会发起攻击的勒索攻击软件（又称:赎金木马），经过30多年的演变已经让人闻之色变。像文章开头提到的WannaCry勒索攻击就是影响范围极广的一次勒索攻击。

而且，勒索攻击已转变为专业化、组织化的网络攻击，主要呈现出以下四个特点：隐蔽性强且危害显著、变异较快且易传播、攻击路径多样化、攻击目标多元化。

隐蔽性是勒索攻击的典型攻击策略。勒索攻击善于利用各种伪装达到入侵目的，常见的传播手段有垃圾邮件、网页广告、系统 漏洞、U 盘等。攻击者往往发动攻击之前就已经控制代码仓库，潜伏几个月甚至更长时间才引入第一个恶意软件版本，勒索攻击极具高隐蔽性。

目前活跃在市面上的勒索攻击病毒种类繁多，每个家族的勒索病毒也都在不断变异当中。同时，蠕虫式传播型勒索病毒可进行自我复制、自主传播，传播速度更快，波及范围更广。

早期大部分勒索软件以垃圾邮件、程序木马、网页挂马等方式进行传播，然而现在勒索攻击已经从被动式攻击转变主动攻击。攻击路径多样化。

近些年攻击目标已经从电脑端转变到了移动端，从个人用户转变到了企业设备。攻击目标多元化。

值得一提的是，去年10月根据俄罗斯技术媒体Russia OSINT报道，REvil勒索软件开发商公布财报，该勒索软件犯罪团伙一年赚了超过一亿美元，顺便还定了个小目标，通过勒索软件再赚20亿美元，亮眼业绩的背后代表的是黑客勒索行业已经进行了业态升级，完成了从个人行为到团队产业的演变，从病毒制作到入侵攻击再到解密沟通都由不同的专业人士负责运营，呈现分布式团伙作案。

勒索攻击逐渐演变为一个产业，但是勒索攻击如果一直得不到解决，企业和社会所面临的的风险是不可预估的，监管、服务、经济都面临很大的风险和挑战。

三、勒索攻击难题如何破？

目前勒索攻击呈现出七大趋势：影响社会正常运转且难解密、勒索攻击SaaS化、加密货币普及助推赎金快速增长、大型企业和基础设施成为攻击重点、“双重勒索”模式引发数据泄露风险、供应链成为勒索攻击重要切入点、引发网络保险行业的恶性循环。

面对勒索攻击我们不仅要了解它的特点还要了解它发展的趋势，这样才能更好的预防。

业内专家普遍认为遭受勒索攻击之后，没有“特效药”。破解难度之大可见一斑。

勒索软件黑色产业已经形成一整个产业链条，从研发、拓展渠道到分销都能从中瓜分利润，使得勒索攻击快速传播。同时加密货币的匿名性和难追溯性都使得监管部门难以管理，勒索攻击的行径变现迅速，难以追踪。赎金也越来越高的离谱。

举一个例子，2021年7月，美国软件开发商 Kaseya 遭勒索攻击，网络攻击团伙索要高达7000万美元的赎金，有评论称此次事件可能成为2021年影响最大的供应链攻击事件。如果供应链的上游像大型软件供应商服务器被攻陷，那么中下游的企业、政府都会受到波及，引发连环效应。

由于勒索攻击高强度加密算法的难破解性和数字货币交易方式的隐蔽性，并不建议将防治重点放在遭受攻击后的解密环节，而应该着重做好预防工作，不给勒索攻击以可乘之机。

从个人层面来说：增强安全意识，加强数据备份。从企业方面：构建“安全能力前置”，提升自身免疫力；构建云上安全，加强供应链安全。

值得一提的是，《白皮书》中提到，未来零信任架构有望成为阻止勒索攻击的有效途径。零信任设定的前提是所有的身份、设备、行为都是不安全的，因此即使攻陷了企业的一台服务器，也无法致使勒索攻击扩散到到其他服务器。

此前腾讯安全就发布过防勒索安全解决方案以此帮助企业应对勒索攻击，从事前、事中、事后构建三道防线。事前防患于未然做好风险监测修复和备份，事中精准狙击、及时警告响应和拦截，事后快速备份还原，进行溯源分析短板。

腾讯作为大型互联网企业，不仅本身自己需要面对很多安全问题，同时也在不断实践的过程中对外赋能，面对勒索攻击也形成了自己的一套的策略方法和工具。

结语：

勒索攻击以一己之力，让网络安全走进人们的视野。

随着今年《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》以及之前的《网络安全法》的发布，网络安全行业也必将迎来更好的前景。

但是，旧的勒索病毒不断变种，新的勒索病毒不断涌现。勒索病毒猖獗的网络世界，企业、组织和个人，不仅需要有像奥特曼一样不断打怪升级的精神，同时也要有“猥琐发育”的策略，提前做好预防，让勒索病毒无缝可入。

勒索攻击之战是必是一场持久战和硬战，而这场战争的硝烟未来还会弥漫到更多的行业和领域。

前路漫漫，数字化时代下，网络安全之路任重而道远。（雷锋网）