《2021年勒索攻击特征与趋势研究白皮书》重磅发布
发布时间 2021-11-12勒索软件又称为“赎金木马”,勒索软件攻击是指网络攻击者通过锁定设备或加密文件等方式阻止用户对系统或数据的正常访问,并要挟受害者支付赎金的行为。如同我们把钱放在保险箱,小偷没有撬开保险箱偷钱,反而把放保险箱的房间加了把锁。如果没有房间的钥匙,我们依然拿不到保险箱里的钱。随着 AI、5G、物联网等技术的快速普及和应用,以及加密货币的持续火爆,如今勒索攻击呈现出持续高发态势。勒索攻击已经成为未来一段时期网络安全的主要威胁之一,如何有效防范勒索攻击成为当前网络安全领域关注和讨论的焦点。
一、勒索攻击成为全球新挑战
产业互联网时代,安全范畴进一步扩大。攻击发起方已经从过去个人、单点黑客行为向组织化、系统化、专业化方向快速蔓延。一方面基础设施、物理资产、生命安全都将成为比特世界的潜在攻击对象,安全保障能力成为行业发展的“生命线”。另一方面,数字化贯穿企业研发、制造、物流、服务等全流程,安全需求覆盖全部环节,安全能力的强弱程度逐渐成为企业持续发展的“天花板”。
(一)安全是产业互联网的基石
一方面,产业数字化促使数字经济加快进入高级阶段,生产效率的提高更加依赖数据深度挖掘和全流程打通。另一方面,传统产业安全防护能力参差不齐,海量设备接入网络当中,网络安全、数据安全在全流程应用场景中均涉及。因此,网络攻击、勒索攻击、DDoS 攻击逐渐增多,攻击面逐渐扩大化。
基础设施成为攻击重点
当前,网络攻击更加组织化、系统化、专业化,攻击范围向行业、基础设施领域拓展,金融、交通、医疗、城市管理等领域都成为新的攻击对象。一旦基础设施遭受攻击,将导致整个产业链的停摆或瘫痪,甚至影响社会稳定。以医疗卫生行业为例,医疗数字化一直是社会关注焦点,随着大量数字化设备和医疗设备的广泛应用,医疗效率、就医体验、服务精准度都有大幅提升,但也给安全防护和医疗数据安全保护带来新的挑战。
恶意攻击实时化全面化
恶意攻击不分时间和地点,随时对目标发起攻击,因此,安全投入资源不足、安全监测能力较低、安全防御碎片化的企业和机构,将面临较大风险。安全防护需要做到前置和未雨绸缪,不论是个人、企业、还是民用设施、基础设施都可能成为恶意攻击的跳板,链条中的薄弱环节将成为攻击的重要突破口。
(二)技术破坏式创新带来安全挑战
技术创新确实在造福民众和提升经济社会效率方面发挥牵引作用;但同时,新技术也是一把双刃剑,容易引发新的安全风险,给现有安全保障措施带来巨大挑战。
海量终端与网络虚拟化带来更多攻击面
一方面,海量多样化终端接入网络。智能终端设备的接入规模、技术架构的异质化带来了安全管理难度和复杂度的提升。另一方面,新型网络架构导致安全边界模糊。新技术研发中广泛使用开源代码,带来了新的安全设计缺陷和安全漏洞。同时,基于网络切片端到端逻辑虚拟网络技术的垂直领域应用,在资源共享、跨领域安全、身份认证和权限控制等方面出现新的安全风险。
隐私保护与数据共享面临挑战
当前,数据已经成为企业的重要核心资产。能否对数据进行有效运用和深度挖掘,成为衡量一家企业能否创造价值的重要依据之一。技术溢出带来的风险、算法难解释性与黑箱性、数据质量导致计算结果可控性差、用户权益与隐私屡遭侵犯等是当前数据安全面临的巨大挑战。同时,隐私保护和信息共享缺乏统一技术标准和治理框架。
(三)勒索攻击带来的安全风险和挑战
如果勒索攻击没有得到有效解决,将会带来大量潜在风险。一是监管风险,以欧盟《通用数据保护条例》(GDPR)为例,备份和灾难恢复是 GDPR 的必选项,如果被攻击的机构没有按照法规定期对数据进行备份,将会面临罚款等惩罚措施。二是服务风险,数据或文件被加密或泄露,机构将被迫停止其经营活动,如果受害机构没有可以恢复正常运营的备份数据,可能会导致客户的投诉和不满,最终失去客户。三是经济风险,数据恢复流程长、复杂度高,费用昂贵。恢复已遭破坏的数据时需要重新收集数据,这使得机构信誉受到质疑,对机构品牌带来较大损害。
二、勒索攻击的主要特点
(一)勒索攻击行为隐蔽性强且危害显著
隐蔽性是勒索攻击的典型攻击策略。勒索攻击善于利用各种伪装达到入侵目的,常见的传播手段有垃圾邮件、网页广告、系统漏洞、U 盘等。调查发现,某些勒索攻击事件的制造者利用尚未被发现的网络攻击策略、技术和程序,不仅将后门偷偷嵌入代码中,而且可以与被感染系统通信而不被发现。
此外,勒索攻击一般具有明确的攻击目标和强烈的勒索目的,勒索目的由获取钱财转向窃取商业数据和政治机密,危害性日益增强。
(二)勒索病毒变异较快且易传播
目前,活跃在市面上的勒索攻击病毒种类繁多,而且每个家族的勒索病毒也处于不断地更新变异之中。很多勒索软件编写者知道安全人员试图对其软件进行“逆向工程”,从而不断改进勒索软件变体以逃避侦查。以下是 VirusTotal 对勒索样本更新速度的追踪趋势图,由此可见大部分时候,勒索软件作者都实现了对样本的快速更新,总是使用新的样本进行攻击投递,以躲避检测。
(三)勒索攻击路径和目标多元化发展
早期大部分勒索软件以垃圾邮件、程序木马、网页挂马等方式进行传播,然而,近年来,越来越多的攻击事件表明,勒索攻击正在由被动式攻击转为主动式攻击。
勒索攻击目标呈现多元化发展。第一,是从电脑端到移动端。勒索病毒大多以电脑设备为攻击目标,其中 Windows 操作系统是重灾区。但是,随着移动互联网的普及,勒索攻击的战场从电脑端蔓延至移动端,并且有愈演愈烈的趋势。第二,是从个人用户到企业设备。个人设备在勒索软件攻击目标中一直占据较高比例,但是,随着传统勒索软件盈利能力的持续下降,对更高利润索取的期待驱使网络攻击者将目标重点聚焦在政府或企业的关键业务系统和服务器上。
(四)受勒索攻击领域更加宽泛
勒索软件攻势愈演愈烈,受到勒索攻击的领域和行业也覆盖关键基础设施等,涉及金融、医疗、教育、食品等行业。2021 年的几次勒索攻击事件致使关键燃料管道、大型肉类加工企业以及其他对于民众日常生活与安全至关重要的基础设施陷入瘫痪。这也使越来越多的普通民众可以感受到勒索攻击造成的影响。
三、勒索攻击七大发展趋势
在后疫情时代,勒索攻击手段日趋成熟、攻击目标越发明确,模式多种多样,攻击愈发隐蔽,更加难以防范,危害也日益增大。随着勒索攻击专业化、团队化运作,勒索攻击逐渐发展出新的攻击趋势。
(一)影响社会正常运转且难解密
解密勒索攻击使用的加密手段越来越复杂多样,绝大多数不能被解密,因其所采用的非对称加密算法的密钥长度长且很难被反向破解。业内专家普遍认为遭受勒索攻击之后,没有“特效药”。受害者往往需要在支付巨额赎金和数据恢复重建中做出选择。
(二)勒索软件即服务成为网络攻击新模式
随着云计算、人工智能等新技术的快速普及和应用,勒索软件即服务(SaaS)成为当前网络攻击的新模式。
勒索攻击从制作、传播、攻击到收益呈现系统化、便捷化趋势,开发者可以提供一整套解决方案,甚至包括利用加密货币进行赎金支付等服务。
(三)加密货币普及助推赎金快速增长
勒索攻击的制造者对赎金的要求越来越高。高额赎金不仅让网络攻击者赚得盆满钵满,同时,勒索攻击者可以借此招揽更多人铤而走险加入勒索攻击行列。对于网络攻击者来说,勒索模式和网络入侵相结合是一种较为便利的套现模式。随着加密货币成为近年来社会关注的焦点,尤其是加密货币的匿名化和难以追溯性导致监管部门很难对其进行管理。
(四)基础设施成为攻击重点
近年来,勒索攻击对象涉及面越来越广,目前主要针对掌握大量数据的大型企业,且定向精准攻击趋势愈发明显,勒索攻击日趋 APT 化。所谓 APT 化,即攻击不计成本、不择手段,从低权限账号入手,持续渗透攻击,直到控制企业核心服务器,再释放勒索病毒,使巨型企业彻底瘫痪。
有报告显示,2020 年,美国有约 2400 家医疗机构、学校和政府部门遭受勒索攻击,新冠肺炎疫情导致越来越多的人依赖远程办公,这在某种程度上进一步增加了勒索攻击的频次和概率。
(五)“多重勒索”模式引发数据泄露风险
时至今日,勒索攻击已经逐渐演变成先窃取商业信息和内部机密,而后威胁企业不缴纳赎金将公开数据,在此基础上,攻击者还威胁受害者如果不支付赎金就会发动“拒绝阻断服务攻击”,使得受害者服务器超负荷运转,直至服务器瘫痪。这种新模式也被称为“多重勒索”。
在这种情况下,如果受害者不支付赎金,不仅仅数据难以解密,还将面临信息被公布或者被拍卖出去的危险,给企业或机构造成较为复杂的外部危害。越来越多的勒索攻击事件表明,“多重勒索”模式已成为现今网络攻击者实施攻击的重要手段。
(六)供应链成为勒索攻击重要切入点
随着产业链上下游企业数字化水平和效率的提升,更多企业打通上下游数据链条,合作程度加深,产业链安全防护能力取决于产业链中安全最薄弱环节或企业。安全风险开始向更广范围和更基础领域扩散。
(七)引发网络保险行业的恶性循环
高额的网络攻击成本催生了对网络风险保险的庞大需求市场,近年来,还出现了勒索攻击谈判公司,这些公司专门负责与攻击者进行谈判,期望将赎金压低。这些公司通常是保险公司找来的。
然而,网络保险行业欣欣向荣的表象下,却潜藏着巨大的恶性循环危机。由于最近几个月来全球几大公司接连遭到灾难性的勒索攻击,越来越多的企业向网络保险和再保险公司寻求帮助,网络攻击者特意挑选投保了网络保险的公司作为攻击目标,更加有针对性地实施勒索攻击,使得网络犯罪的成功率大幅提升,整体网络环境面临加速恶化的窘境。
四、防范勒索攻击建议与思考
防范勒索攻击的重点应在事前防御环节而不是放在遭受攻击后的解密环节。从企业和个人层面看,防范勒索攻击需要提升网络安全能力、进行数据备份、提高人员意识等多个方面,从总体上不断提升安全防护能力,不给勒索攻击以可乘之机。
(一)构建安全前置能力, 提升“免疫力”
因此,对于企业来说,首先,要利用人工智能、大数据、云计算等新技术实现安全能力在业务环节的前置,提前预判潜在安全风险;其次,要对安全专家或人才能力进行量化,使过往积累的安全经验与能力标准化、流程化,以实现安全能力的量化部署;定期开展风险评估,及时修复安全漏洞,定期更新杀毒软件,关停不必要的服务和端口。
(二)增强人员安全意识 ,降低攻击风险
应对勒索攻击,增强员工安全意识与加强数据备份同等重要:对从业人员的安全意识、安全素养的训练是长久、持续的过程。
增强安全意识
企业要加强安全知识的宣传力度,使从业人员对各种可能出现的可疑情况保持高度警惕。不点击来历不明的邮件;不打开来源不可靠网站;不安装来源不明软件;不插拔来历不明存储介质等。
加强数据备份
必须在平日里就做好重要数据的备份工作,且最好使用本地存储和云端双备份的策略。同时,应严格限制对备份系统的访问权限,防止勒索攻击横移对备份数据进行加密。