腾讯研究院李刚：2021年勒索攻击态势解读

勒索攻击已成为近年来增长最为快速的重大安全威胁，全球各地的关键基础设施正面临着前所未有的严峻考验，工厂停摆、数据泄露等等事故的发生甚至影响着一个国家的正常运作。


11月4日，2021腾讯数字生态大会·云安全专场最新发布《2021年勒索攻击特征与趋势研究白皮书》（以下简称白皮书），腾讯研究院副院长李刚先生现场解读2021年勒索攻击态势，帮助个人与企业全面了解当下勒索攻击的特征转变、发展趋势以及应对方向。


根据咨询机构埃森哲调查显示，2021年上半年，全球网络威胁活动较去年上升125%，其中勒索攻击就贡献了较大比重的增长。从20世纪80年代首个勒索病毒AIDS出现到2021年的30余年间，勒索攻击经历了从萌芽期（1989年-2020年）到活跃期（2010年-2015年）再到高发期（2015年后）的三个阶段，目前已形成分工明确的产业链条，受害用户和造成损失与日俱增。

发展至今，勒索攻击主要形成了文件加密、系统加密、屏幕锁定及数据泄露四种形式，擅长通过安全漏洞、‍‍移动介质、钓鱼软件、远程桌面等常见渠道进行传播，值得注意的是，软件供应链开始成为新的流行传播渠道。

据李刚介绍，一次完整的勒索攻击通常具备四个关键步骤：首先探测侦查，收集攻击目标信息发现安全隐患，然后使用攻击工具来获取访问权限，随后通过恶意账本、动态链接库DLL等部署病毒，最后实施勒索。不同于过去整个勒索流程的快速化，现在的勒索团伙胆子更大，潜伏进目标系统后往往按兵不动，找到最合适的时机再引爆，以达到病毒威力的最大化。

勒索攻击四大特征

不可否认，勒索攻击已成为未来一段时期网络安全的主要威胁，白皮书总结了四个显著特征：

隐蔽性强且危害显著：勒索攻击善于利用各种伪装达到入侵目的，它可能藏在垃圾邮件、网页广告、U盘或系统漏洞中，让你防不胜防。

变异较快且易传播：2015年，全球勒索软件变种数量只有29个，到2016年，该数量已上升至247，同比增长752%。如今大型勒索团伙自制病毒的变体更是数不胜数。

攻击路径多样化：随着系统架构开放性日益增加，设备中普遍存在的高危漏洞给了勒索攻击以可乘之机。并且攻击团伙也从过去守株待兔式的被动攻击转向朝设备众多、经济能力较强的大型集团发起主动进攻。

攻击目标多元化：无论是政府部门还是私营企业，他们的关键业务系统和服务器都成为了黑客攻击的目标。此外，当整个互联网从PC端走向移动端，勒索攻击也尾随而来。

勒索攻击七大趋势

影响经济社会正常运转：大型民生组织遭到攻击将严重影响民众的正常生活，比如今年5月美国最大燃油运输管道商Colonial Pipeline公司遭攻击后被迫暂停石油输送业务，对美国东海岸燃油供应造成严重影响。勒索攻击不但造成巨额经济损失，同时也威胁到病人生命安全。德国杜塞尔多夫医院服务器遭攻击后，一位病人被迫转送至其他医院后死亡，成为公开报道的第一起因勒索软件导致人死亡的事件。

SaaS化：随着云计算、人工智能等新技术的快速普及和应用，勒索软件即服务成为新模式。开发者可以提供一整套解决方案，包括利用加密货币进行赎金支付等服务，降低了犯罪门槛，让不懂技术的犯罪分子也能“开箱即用”。

加密货币普及助推赎金额度快速增长：高额赎金让犯罪分子赚得盆满钵满的同时，借此招揽更多人铤而走险加入勒索攻击行列。2017年，在全球140多个国家和地区蔓延的Wannacry勒索病毒赎金仅为300美元；到2020年，计算机巨头宏碁遭勒索被要求支付5000万美元的赎金。加密货币的匿名化导致监管部门很难对其进行管理。

基础设施成为攻击重点：近两年，我们目睹了波音、富士康、台积电等行业巨头遭遇勒索攻击，形势表明，政府、金融、交通、运营商、制造业、医疗保健等掌握大量有价值数据的行业企业容易遭受攻击，基础设施的安全性成为业界关注重点。

“多重勒索”引发数据泄露风险：自2019年11月首次公开报道勒索病毒窃取数据的时间以来，不到一年的时间里，已有超过20个勒索团伙加入数据窃取的行列。“双重勒索”模式成为攻击者实施勒索的重要手段。

供应链成为勒索攻击的重要切入点：攻击者开始针对特定企业有针对性地制定攻击策略，掌握大量有价值的数据的企业更容易遭到攻击。在REvil勒索组织针对远程IT服务管理软件Kaseya VSA发起的大规模供应链攻击中，瑞典一连锁超市全国800多家门店被迫关闭服务。这种“打击一点、击倒一片”的形式备受青睐。

引发网络保险行业的恶性循环：大量频发的勒索攻击已经造成了次生灾害。很多企业会购买网络保险，这却为攻击者提供了反向筛选机制——专挑那些已经投保的企业下手。一方面可证明其内部有值得被勒索的标的，另一方面有保险公司兜底，这些企业通常倾向于花钱了事。这会极大促进攻击者的收益，然后造成保费上涨，再导致攻击获利更高，造成更频繁的网络安全事故。

勒索攻击防范建议

由于勒索攻击高强度加密算法的难破解性和数字货币交易方式的隐蔽性，白皮书并不建议将防治重点放在遭受攻击后的，而应该着重做好预防工作，不给勒索病毒可乘之机。

个人方面：增强员工安全意识与加强数据备份，做到“四不一要”：不要打开来源不明的网站、不要点击来源不明的邮件‍、不要安装来源不明的软件、不要使用来源不明的存储介质，要做好本地磁盘和云服务器的数据备份。

企业方面：将安全能力前置，提升自身“免疫力”。云原生安全服务可以帮助构建模块化、敏捷化、弹性化的云上安全防御能力，成为兼顾成本、效率和安全的最优解。同时，要打好保障供应链安全的“组合拳”，加强代码审计与安全检查，采用零信任架构对每个试图访问网络资源的人、设备或应用都进行持续验证。