針對我國勒索病毒攻擊趨勢的分析和防御建議

牟春旭 仇必青 張嘉歡

摘要：隨著5G、云計算、大數(shù)據(jù)、人工智能等新技術(shù)的快速普及和應(yīng)用，勒索病毒帶來的信息安全威脅和風(fēng)險也迅速增加。文章圍繞勒索病毒，并結(jié)合2022年典型的勒索病毒攻擊事件，分析了針對我國勒索病毒攻擊的趨勢和特點，提出了提升我國勒索防護能力的方法及建議。

關(guān)鍵詞：勒索病毒；漏洞；網(wǎng)絡(luò)安全；攻擊與防御

中圖法分類號：TP393 文獻標(biāo)識碼：A

１ 勒索病毒攻擊概述

１．１ 勒索病毒攻擊新特點

隨著５Ｇ、云計算、大數(shù)據(jù)、人工智能等新技術(shù)的快速普及和應(yīng)用，傳統(tǒng)企業(yè)通過上云用智，正式邁入數(shù)字化、數(shù)智化轉(zhuǎn)型時代。同時，將新興技術(shù)應(yīng)用到傳統(tǒng)ＩＴ 中也增加了組織數(shù)字環(huán)境的復(fù)雜性，給企業(yè)帶來的信息安全威脅和風(fēng)險也快速增加，尤其是當(dāng)前全球肆虐的勒索病毒。據(jù)ＳｏｎｉｃＷａｌｌ 發(fā)布的《２０２２ 年年中網(wǎng)絡(luò)威脅報告》顯示，僅２０２２ 年上半年全球遭遇勒索病毒攻擊次數(shù)已達２．３６１ 億次，２／３ 以上的企業(yè)至少經(jīng)歷過一次勒索病毒攻擊。隨著全球地緣沖突、經(jīng)貿(mào)沖突的持續(xù)發(fā)酵，勒索病毒攻擊不論從規(guī)模還是企業(yè)影響上都在向更深層次演進。《２０２２ 年全球網(wǎng)絡(luò)安全展望報告》指出，勒索病毒造成的損失預(yù)計將從２０１５ 年的３．２５ 億美元暴增到２０３１ 年的２ ６５０ 億美元。

勒索病毒是通過加密鎖定被感染者計算機、服務(wù)器的系統(tǒng)、文件或重要數(shù)據(jù)，并借此施以敲詐勒索的計算機程序。從攻擊形式來看，勒索病毒主要通過魚叉攻擊、漏洞利用、釣魚郵件、網(wǎng)頁掛馬、遠(yuǎn)程控制工具等形式入侵用戶系統(tǒng)，一旦入侵成功，將通過特殊的加密算法對用戶重要文件、敏感信息進行加密，受害者支付贖金才能收到密鑰，否則文件無法解密使用。近年來，隨著勒索病毒變種速度持續(xù)加快，勒索攻擊也出現(xiàn)了一些新的變化，其攻擊手法不斷進化、攻擊范圍愈發(fā)廣泛、攻擊模式愈發(fā)多樣，引發(fā)的事態(tài)持續(xù)升級，甚至需要動用國家力量方能與之抗衡，給全球組織和企業(yè)帶來巨大威脅。勒索攻擊整體呈現(xiàn)以下新的特點。

（１）加密手法由“單一全部加密”向“多元智能加密”轉(zhuǎn)變。勒索攻擊技術(shù)手段在不斷進化發(fā)展，總體來看呈現(xiàn)２ 個趨勢：一是間歇性加密技術(shù)已成為新加密手段，與傳統(tǒng)的完全加密相比，間歇性加密技術(shù)可根據(jù)被加密文件的大小編排加密，使加密文件的掛鐘處理時間得到極大縮短，更容易繞過傳統(tǒng)的基于統(tǒng)計分析檢測機制；二是勒索軟件可支持智能化加密模式，勒索病毒包含一些用于提升加密速度的邏輯代碼，根據(jù)受害者的平臺是否采用硬件加速，動態(tài)、智能地選擇算法對文件進行加密，這種混淆技術(shù)更容易讓勒索軟件在系統(tǒng)中進行持久潛伏，一旦發(fā)起攻擊，其破壞力更強。

（２）攻擊方式由傳統(tǒng)互聯(lián)網(wǎng)平臺向移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)平臺等多平臺轉(zhuǎn)變。據(jù)有關(guān)統(tǒng)計數(shù)據(jù)顯示，２０２２ 年受勒索病毒影響最普遍的除了Ｗｉｎｄｏｗｓ，Ｌｉｎｕｘ，Ｍａｃ 外，對移動互聯(lián)網(wǎng)和智能終端的新型勒索攻擊也呈逐年遞增的態(tài)勢。尤其是隨著一些跨平臺編程語言的出現(xiàn)，攻擊者可以利用一份代碼編譯出支持Ｗｉｎｄｏｗｓ，Ｌｉｎｕｘ，Ｍａｃｏｓ，Ａｒｍ，Ａｎｄｒｏｉｄ 等多個操作系統(tǒng)運行的程序，大幅降低了跨平臺勒索攻擊的技術(shù)門檻。同時，接入網(wǎng)絡(luò)的設(shè)備日益增加、數(shù)據(jù)快速增長，管理難度持續(xù)加大，只要有一個環(huán)節(jié)存在弱點，就會給勒索病毒可乘之機，可以預(yù)見，未來針對多平臺的攻擊事件將持續(xù)增多。

（３）勒索形式由普通勒索向破壞勒索轉(zhuǎn)變。相較于傳統(tǒng)勒索病毒只加密文件進行勒索的模式，新發(fā)現(xiàn)的勒索軟件中４０％采用“雙重勒索”的模式，即攻擊者采用“加密＋竊密”的勒索形式，若受害者不支付贖金，攻擊者則會將竊取的數(shù)據(jù)放到暗網(wǎng)上進行公開。而近期勒索模式又出現(xiàn)新的演化———“三重勒索”，即先加密數(shù)據(jù)，再泄露數(shù)據(jù)，最后發(fā)起ＤＤｏＳ 攻擊的破壞勒索模式。隨著經(jīng)濟、貿(mào)易等因素的相互交織，勒索病毒已經(jīng)成為未來阻礙企業(yè)全球化商業(yè)發(fā)展的攔路虎。

（４）作戰(zhàn)模式由小團體單兵作戰(zhàn)向ＳａａＳ 化、ＡＰＴ化轉(zhuǎn)變。早期的勒索病毒攻擊大都通過批量掃描發(fā)現(xiàn)可被利用漏洞，目標(biāo)分散，不具備針對性，而且一旦入侵成功立馬釋放病毒，此種模式下，勒索攻擊者要統(tǒng)籌考慮病毒制作、入侵傳播、勒索分銷等環(huán)節(jié)，因此勒索門檻也較高。但近年來，勒索攻擊呈現(xiàn)ＳａａＳ 化、ＡＰＴ 化的新特點：一是勒索組織層級分明、分工明確、全鏈條協(xié)作，攻擊不計成本、不擇手段，企業(yè)定向精準(zhǔn)；二是勒索組織通常從企業(yè)產(chǎn)業(yè)鏈的薄弱環(huán)節(jié)入手，展開長久、持續(xù)性地滲透攻擊，直到控制企業(yè)核心服務(wù)器才釋放病毒。另外，勒索組織會在第一時間基于多種技術(shù)手段，實現(xiàn)對受害企業(yè)針對性的數(shù)據(jù)竊取，并且企業(yè)擁有的數(shù)據(jù)價值越大越容易被勒索組織攻擊。

１．２ 勒索病毒攻擊鏈

通過對勒索安全事件的事前、事中、事后的分析研究發(fā)現(xiàn)，勒索攻擊鏈大致可分為“初始入侵、病毒注入、內(nèi)網(wǎng)滲透、命令控制、竊密與加密、執(zhí)行勒索”６ 個階段。具體如圖１ 所示。

第１ 階段，初始入侵，獲得用戶網(wǎng)絡(luò)訪問權(quán)限。

此階段主要通過ＲＤＰ ／ ＳＳＨ 遠(yuǎn)程桌面爆破、弱口令爆破、釣魚郵件、高危漏洞利用以及惡意附件投遞等方式入侵客戶端或服務(wù)器，從而取得系統(tǒng)控制權(quán)。

第２ 階段，病毒注入，通過ｗｅｂｓｈｅｌｌ、代理隧道、內(nèi)存碼等方式將攻擊者計算機中提前寫好的勒索病毒注入宿主系統(tǒng)中。

第３ 階段，內(nèi)網(wǎng)滲透，首先通過域查詢、網(wǎng)絡(luò)掃描、域滲透等網(wǎng)絡(luò)發(fā)現(xiàn)工具進行內(nèi)網(wǎng)的掃描、探測，然后通過ＭＩｍｉｋａｔｚ、ＳＡＭ 注冊表、ｎｔｄｓ．ｄｌｔ 文件等內(nèi)網(wǎng)滲透工具或手段橫向擴張，以感染更多的服務(wù)器［１～３］ 。

第４ 階段，命令控制，黑客利用命令手段獲得域內(nèi)ＦＴＰ 服務(wù)器、云存儲文件等關(guān)鍵存儲數(shù)據(jù)的控制權(quán)，從而對其進行控制。

第５ 階段，竊密與加密，黑客一方面通過完全加密或間歇加密等方式加密磁盤文件，另一方面通過篩選最有價值的數(shù)據(jù)進行竊密，并將竊取的數(shù)據(jù)回傳到自己團隊的服務(wù)器，并安裝遠(yuǎn)程控制軟件、留置后門，以便日后發(fā)起勒索。

第６ 階段，執(zhí)行勒索，在受害者設(shè)備上運行勒索病毒，使目標(biāo)網(wǎng)絡(luò)或服務(wù)癱瘓，并留下勒索信件，威脅受害者在暗網(wǎng)發(fā)布失陷企業(yè)敏感數(shù)據(jù)，以實施勒索。

２ ２０２２ 年勒索病毒攻擊事件分析

２０２２ 年，從國際地緣紛爭到經(jīng)濟貿(mào)易發(fā)展以及社會生產(chǎn)生活，勒索病毒無處不在，ＳａａＳ 化、ＡＰＴ 化勒索組織頻現(xiàn)，這些組織呈現(xiàn)分工明確、全鏈條協(xié)作、勒索專業(yè)、攻擊覆蓋面廣、定向攻擊強、勒索金額龐大的特點。

專業(yè)的勒索組織繼續(xù)增加，作為攻擊的一方，在攻防兩端中優(yōu)勢更加明顯。而組織和企業(yè)作為防守者，如何協(xié)同頂尖的安全力量組織有效的應(yīng)變措施，以更快適應(yīng)勒索變化，是組織和企業(yè)面臨的重大考驗。

隨著我國全面進入數(shù)字化轉(zhuǎn)型的新時代，業(yè)務(wù)環(huán)境的變化、新技術(shù)的廣泛采用給企業(yè)帶來收益的同時，也大大增加了企業(yè)數(shù)字環(huán)境的復(fù)雜性，致使我國已經(jīng)成為勒索病毒攻擊的重點目標(biāo)。疫情防控期間，遠(yuǎn)程辦公模式給人帶來便利的同時，也給網(wǎng)絡(luò)安全帶來了更大的攻擊面、更多的線上敏感數(shù)據(jù)被泄露等安全隱患，勒索病毒攻擊范圍迅速向全行業(yè)蔓延。據(jù)有關(guān)數(shù)據(jù)顯示，２０２２ 年北上廣深等一二線城市及部分?jǐn)?shù)字經(jīng)濟發(fā)達地區(qū)和人口密集地區(qū)仍是勒索病毒攻擊的主要對象。從對我國的行業(yè)影響來看，受勒索病毒攻擊最嚴(yán)重的行業(yè)分別是ＩＴ、制造業(yè)、醫(yī)療衛(wèi)生、教育。同時，能源、地產(chǎn)、物流等行業(yè)也逐步啟動上云用智，邁入數(shù)字化轉(zhuǎn)型階段，但其安全投入、安全能力建設(shè)、技術(shù)積累、人才儲備等方面明顯落后于其數(shù)字化轉(zhuǎn)型的進程，致使安全隱患頻出，這些正處于數(shù)字化轉(zhuǎn)型中的行業(yè)將逐步成為勒索病毒攻擊的重點目標(biāo)。

３ 勒索防護建議

地緣沖突、國際動蕩、貿(mào)易制裁等都嚴(yán)重阻礙企業(yè)全球化商業(yè)發(fā)展，給全球的供應(yīng)鏈、產(chǎn)業(yè)鏈帶來了前所未有的挑戰(zhàn)。后疫情時代，基于國家級和社會面的網(wǎng)絡(luò)戰(zhàn)將越演越烈，如何統(tǒng)籌發(fā)展與安全是擺在組織和企業(yè)面前亟待解決的核心問題。本文建議從以下幾個方面入手，全面構(gòu)建良性的網(wǎng)絡(luò)安全產(chǎn)業(yè)循環(huán)生態(tài)。

（ １）加強國家、省份、企業(yè)三級聯(lián)動，完成對勒索病毒攻擊的全面感知。利用我國成型的網(wǎng)絡(luò)安全“產(chǎn)、學(xué)、研”模式，以及高校、科研機構(gòu)、重點實驗室、行業(yè)領(lǐng)軍企業(yè)等資源，構(gòu)建國家一級、省份二級、企業(yè)三級的勒索監(jiān)控檢測共享平臺，形成對勒索病毒攻擊事前的全面感知，及時發(fā)現(xiàn)針對我國的勒索病毒攻擊并作出響應(yīng)。

（２）強化網(wǎng)絡(luò)安全技術(shù)創(chuàng)新，提高勒索產(chǎn)品和服務(wù)供給能力。加快面向移動互聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、區(qū)塊鏈、人工智能等新技術(shù)、新產(chǎn)品、新應(yīng)用的研發(fā)及技術(shù)攻關(guān)，實現(xiàn)供給側(cè)的優(yōu)化升級，面向市場需求，尤其是中小企業(yè)現(xiàn)實需求，提供兼顧成本、效率和安全的勒索病毒安全防護的產(chǎn)品體系，實現(xiàn)事前預(yù)防、事中攔截、事后查殺的一體化防御，能夠真正為企業(yè)網(wǎng)絡(luò)安全保駕護航。

（３）增強各行業(yè)的自主網(wǎng)絡(luò)安全意識，提升自身免疫力。摒棄“重發(fā)展、輕安全”的錯誤觀念，增強安全意識，加大資源投入，實現(xiàn)安全能力前置，提高企業(yè)安全基線。同時，加大企業(yè)安全風(fēng)險評估、攻防演練、應(yīng)急演練等力度，做好勒索病毒應(yīng)對與全員的安全培訓(xùn)。

（ ４）監(jiān)管部門積極推動勒索病毒防護標(biāo)準(zhǔn)體系建設(shè)，加大網(wǎng)絡(luò)安全法規(guī)的檢查力度。圍繞移動互聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等關(guān)鍵業(yè)務(wù)場景、關(guān)鍵環(huán)節(jié)，從評估準(zhǔn)備、風(fēng)險識別、風(fēng)險分析、風(fēng)險評價等角度出臺勒索病毒防護實施指南，推動重要數(shù)據(jù)和核心數(shù)據(jù)的重點保護，形成集網(wǎng)絡(luò)安全風(fēng)險發(fā)現(xiàn)、風(fēng)險問題責(zé)任追究、考核評價于一體的企業(yè)評價體系，推動第三方測試評估認(rèn)證服務(wù)的開展，加大對各行業(yè)網(wǎng)絡(luò)安全、數(shù)據(jù)安全法規(guī)的檢查力度。

（５）加強網(wǎng)絡(luò)安全人才隊伍建設(shè)，建立多層次人才培養(yǎng)體系。聯(lián)合高校、科研院所、網(wǎng)絡(luò)安全企業(yè)等建立多維度的網(wǎng)絡(luò)安全人才梯隊，加快推動網(wǎng)絡(luò)安全高層次人才和緊缺人才的培養(yǎng)，建設(shè)網(wǎng)絡(luò)安全特殊人才國家儲備庫。同時，深入推進網(wǎng)絡(luò)安全、數(shù)據(jù)安全的全民素質(zhì)教育，加快推進安全“進校園”活動，以提升大中小學(xué)生的網(wǎng)絡(luò)安全意識。

參考文獻：

［１］ ＫＩＮＧＳＬＥＹ Ｈ． Ｒａｎｓｏｍｗａｒｅ： ａ ｇｒｏｗｉｎｇ ｇｅｏｐｏｌｉｔｉｃａｌ ｔｈｒｅａｔ［Ｊ］．Ｎｅｔｗｏｒｋ Ｓｅｃｕｒｉｔｙ，２０２１，２０２１（８）：１１?１３．

［２］ ＲＯＹ Ｋ Ｃ，ＣＨＥＮ Ｑ．ＤｅｅｐＲａｎ：Ａｔｔｅｎｔｉｏｎ?ｂａｓｅｄ ＢｉＬＳＴＭ ａｎｄＣＲＦ ｆｏｒ Ｒａｎｓｏｍｗａｒｅ Ｅａｒｌｙ Ｄｅｔｅｃｔｉｏｎ ａｎｄ Ｃｌａｓｓｉｆｉｃａｔｉｏｎ［Ｊ］． Ｉｎｆｏｒｍａｔｉｏｎ Ｓｙｓｔｅｍｓ Ｆｒｏｎｔｉｅｒｓ，２０２０，２３：１?１７．

［３］ ＸＩＡ Ｔ Ｒ，ＳＵＮ Ｙ Ｙ，ＳＨＡＦＩＱＵＥ Ｋ，ｅｔ ａｌ．Ｔｏｗａｒｄ Ａ Ｎｅｔｗｏｒｋ?Ａｓｓｉｓｔｅｄ Ａｐｐｒｏａｃｈ ｆｏｒ Ｅｆｆｅｃｔｉｖｅ Ｒａｎｓｏｍｗａｒｅ Ｄｅｔｅｃｔｉｏｎ［Ｊ］． ＥＡＩ Ｅｎｄｏｒｓｅｄ Ｔｒａｎｓａｃｔｉｏｎｓ ｏｎ Ｓｅｃｕｒｉｔｙ ａｎｄ Ｓａｆｅｔｙ，２０２１，７（２４）：１１?２０．

作者簡介：

牟春旭（１９８６—），碩士，高級信息系統(tǒng)項目管理師，研究方向：網(wǎng)絡(luò)安全、數(shù)據(jù)安全。

張嘉歡（１９９０—），碩士，工程師，研究方向：網(wǎng)絡(luò)和數(shù)據(jù)安全領(lǐng)域法律法規(guī)、安全防護、應(yīng)急處置（通信作者）。