勒索攻击深观察①：勒索软件何以成为全球安全威胁？

原标题：勒索攻击深观察①：勒索软件何以成为全球安全威胁？

南方财经全媒体记者 吴立洋 实习生褚陈静 北京报道

近日，继窃取7万多份英伟达员工信息后，勒索组织Lapsus$再次声称，已获取三星电子大量机密数据和源代码，并已公布190GB的数据信息。而在此之前，育碧、英伟达、巴西卫生部等公司和政府部门已先后遭到该黑客组织的勒索软件攻击，Lapsus$一时风头无二。

而在此背后，是近年来勒索软件攻击的高速增长。据Corvus保险公司的统计，2021年下半年，勒索软件攻击“进入旺季”，从第三季度开始勒索软件攻击的数量和赎金金额快速增长。

多位网络安全领域专家和网络安全从业者在接受记者采访时表示，勒索软件已成为一种不断升级的全球安全威胁，无论是对个人、企业、产业链还是公共管理部门，都可能造成严重的安全和经济风险，如何有效防范勒索软件攻击已成为网络安全领域的焦点问题。

隐患频现

“2021年，每11秒将发生一次勒索攻击。”

这是腾讯研究院《2021勒索攻击特征与白皮书》中公布的数据。近年来，全球勒索软件攻击案件数量呈指数级上升，随着数字经济时代数据信息成为企业的重要核心资产，“勒索攻击成为产业互联网时代的‘流行病’” 。

21世纪经济报道记者梳理了2020年至2022年3月数起较为严重的勒索软件攻击事件（如表1所示）。观察遭受攻击的对象可以发现，近两年勒索软件在各领域“遍地开花”，服务业、能源、制造业、金融等行业都在攻击者的目标范围内：三星、育碧、英伟达等大型科技公司，北美大型天然气供应商Superior、巴西能源公司Light S.A等传统企业，政府部门、大学、律所、医疗机构……均遭受到不同形式的勒索攻击，勒索软件威胁成为笼罩在互联网世界上空一团挥之不去的阴云。

（表一：2020年至今重点勒索软件攻击事件汇总。数据来源：公开报道、报告，有关企业社交媒体官方账号；制表：21世纪经济报道）

以影响最大的美国输油管道停运事件为例。2021年5月，美国最大的输油管道公司Colonial Pipeline因Darkside勒索软件团伙攻击而被迫关闭管道，导致美国政府于次日首次因遭遇网络攻击宣布进入国家紧急状态。不久后，该公司首席执行官证实已向发起攻击的黑客支付440万美元赎金，以恢复汽油管道供应系统运行。

尽管此前勒索软件多以政府和大型企业为主要目标，但近年来，中小企业同样面对网络安全风险。据美国国土安全部2021年5月发布的消息，过去一年中美国遭到的勒索软件攻击约有50%-70%是针对中小企业，攻击数同比增加300%，共造成3.5亿美元的损失。

“在全球防疫环境下，远程办公兴起，但不同工作场景下的网络安全设施却并不一定都能做到完善，给勒索软件更多可乘之机。”北京某网络安全行业资深从业者告诉记者，当前网络安全治理的难点之一，在于结合现在企业的生产状况，有效保证不同类型的生产设备、生产活动的安全。

据咨询机构埃森哲调查数据显示，2021年上半年全球网络威胁活动同比增长125%，在勒索攻击领域，保险、消费品与服务、电信是其攻击最多的行业，占比分别为23%、17%与16%。

同样的问题不止出现在企业生产中，部分医疗机构和公益组织也未能幸免。2021年5月，爱尔兰卫生服务执行局遭Conti勒索团伙攻击，造成全国多家医院的电子系统和存储信息无法正常使用；今年1月，红十字国际委员会一家位于瑞士的数据存储承包商遭到了网络攻击，超过 51.5万名“高度脆弱”受害者的个人信息遭到泄露，平均每日可帮助12名和家庭失去联系的求助者与家人重逢的公益项目“家庭团聚”被迫关停。据飞利浦公司与医疗安全服务商CyberMDX于2021年发布的一项调查报告显示，2021上半年约有48%的美国医院曾因勒索软件攻击而被迫中断网络。

“现在整个网络安全行业基本已经形成共识，勒索软件的攻击愈发猖獗，对企业的威胁也越来越大，各行业的企业与组织都需要考虑组建专门的安全防护团队，或者与专业公司进行安全方面的合作。”腾讯安全首席工程师李铁军在接受21世纪经济报道记者采访时表示，从根本上解决勒索软件问题，不仅需要网安行业的努力，也需要社会各界的重视与配合。

威胁升级

当30年前的哈佛大学高材生Joseph L. Popp创造出世界上第一个cryptor（一种加密软件类型）加密软件时，其可能并不会预料到他所开创的这一类型恶意软件会给世界带来如此大的麻烦。

彼时，Joseph将装有加密程序的软盘伪装为艾滋病信息，寄送给世界卫生组织艾滋病大会参会者和《PC Business World》杂志的订阅者，只要启用该软盘，恶意软件就会被转移至使用者电脑的硬盘驱动器，经历一定次数的重启后，软件就会对受感染计算机上的文件进行加密，要求支付189美元年费或378美元买断费才可正常使用。

其后，随着互联网技术的不断进步，经过互联网黑客、白帽间的网络攻防以及自身的迭代升级，勒索软件演变出Cerber、Locky、Jigsaw等攻击方式、破坏力各不相同的家族，其勒索形式更是手段迭出，无孔不入。

据李铁军介绍，最早的勒索软件主要是对用户的系统和数据进行加密，通过让用户不能访问文件，业务中断，从而向其施压要求其支付赎金，但随着大部分企业开始普及数据备份工作，单纯进行文件加密的勒索方式已经难以对有所防范的公司产生威胁。

由此，勒索者不再满足于对数据进行加密，其开始通过勒索软件识别和窃取被攻击者系统中的关键数据，并以将关键数据公开为威胁，要求企业支付赎金，这便是当前较为普遍的“双重勒索”模式。

“此外，除了公开关键数据，攻击者还有可能将数据卖给受害者的竞争对手，或者卖给专门炒股做空的机构，威胁做空公司股票，以此逼迫企业掏钱。”李铁军表示，随着“双重勒索”乃至“多重勒索”被广泛应用，受害者在遭到勒索软件攻击后往往面临更高的压力，尤其是较为知名的企业，如被曝出存在网络安全问题，不仅要面临直接的经济损失，更有可能对其商誉和企业形象产生影响。

梆梆安全服务中心实验室负责人吴建平告诉21记者，除了通过钓鱼邮件发送病毒软件或恶意链接的形式，当前勒索软件还主要通过云桌面或安全漏洞对系统进行远程入侵，企业的业务系统甚至官网首页存在漏洞，都有可能被黑客发现和利用，进入到企业内网进行病毒的批量传播。

攻击精准度和隐蔽性的提升也是勒索攻击愈发难以防范的原因之一。南京某软件开发公司网络安全专员告诉记者，除了政府部门和大型企业，有海外业务、掌握核心数据或关乎基础设施运作的企业和组织近年来开始更多被黑客关注，前者主要因为受害者维权困难，后者则是因为拒绝支付赎金还可能要承担高昂的社会治理成本。

“过去恶意软件的运行模式也较为简单，比如有一些挟持计算机进行比特币挖矿的软件，只要找到其运行的脚本并将其删除即可，但当前一些软件可以做到在内存里跑，对于缺乏基本网络安全知识的工作人员，处理起来就会棘手很多。”他说。

病因待解

勒索软件问题由来已久，但为何近年来其攻击手段不断升级，攻击数量增长速度显著提升？多位安全领域专家在接受记者采访时指出，加密数字货币普及、勒索软件的获取和使用门槛的降低、犯罪流程的产业化是其背后的主要原因。

首先是以比特币为代表的加密数字货币的普及。李铁军指出，加密数字货币的主要特征之一是不便于追踪，勒索者在要求受害者以比特币等形式支付赎金后，往往能消失得无影无踪，当前的事后溯源机制很难追踪到赎金的取向和勒索者的身份，大大降低了其受到追捕和制裁的风险。

今年1月14日，俄罗斯联邦安全局官网公告称，在一次突击搜捕的行动中，先后抓获了REvil勒索组织的14名成员并予以逮捕。在2021年11月初，美国当局曾悬赏1500万美金，换取勒索DarkSide核心成员信息，之后又悬赏1000万美金征集REvil的信息。据悉，本次对REvil的抓捕行动调动了多国安全部门参与合作，在开出高额悬赏金，动用多种情报手段，美俄两国联手的情况下，才最终捣毁了这一策划多起影响深远勒索软件攻击的黑客团伙，对相关组织进行追捕的难度可见一斑。

其次是勒索软件的获取和使用门槛的降低。吴建平表示，在互联网信息爆炸时代，普通人也可以通过搜索软件或者一些隐蔽论坛找到勒索病毒的软件和脚本，就算不是非常了解计算机安全原理的，也可通过网络途径学会如何进行勒索软件攻击，使得攻击成本和门槛大幅降低。

最后是犯罪流程的产业化。李铁军指出，现在在勒索软件攻击已经形成一套“勒索即服务”的RaaS营销体系。具体而言，在一次勒索攻击过程中，有人专门负责编写新的勒索软件程序变种，有人负责通过手中的僵尸网站、邮箱地址等渠道将病毒投放到对应目标，最后有人负责对勒索获得的比特币等加密数字货币进行洗钱交易。每个模块的参与者都可以只负责自己领域的内容，一方面，分工确实提升了攻击的准确性和破坏力；另一方面，模块化降低了参与犯罪的门槛；此外，将不同犯罪过程进行区隔也加大了安全人员和安全部门溯源追捕的难度。

快速变化升级的勒索软件等网络攻击形式也对各行业网络防护能力提出了更高要求。绿盟科技产品总监王凤周在接受21世纪经济报道记者采访时表示，由于勒索攻击方法持续进化，以及勒索变种类型快速演进，传统防御手段面对日益复杂的勒索攻击日渐失效，应对勒索攻击要对其攻击形式进行全面且持续地研究，推出更适合企业自身特点的防御手段。

“由于勒索软件攻击面较为广泛，没有一蹴而就的解决方式，因此需要全面的解决方案才能予以应对。”王凤周说。

更多内容请下载21财经APP