勒索攻击深观察①：勒索软件何以成为全球安全威胁？

近日，继窃取7万多份英伟达员工信息后，勒索组织Lapsus$再次声称，已获取三星电子大量机密数据和源代码，并已公布190GB的数据信息。而在此之前，育碧、英伟达、巴西卫生部等公司和政府部门已先后遭到该黑客组织的勒索软件攻击，Lapsus$一时风头无二。

而在此背后，是近年来勒索软件攻击的高速增长。据Corvus保险公司的统计，2021年下半年，勒索软件攻击“进入旺季”，从第三季度开始勒索软件攻击的数量和赎金金额快速增长。

隐患频现

“2021年，每11秒将发生一次勒索攻击。”

这是腾讯研究院《2021勒索攻击特征与白皮书》中公布的数据。近年来，全球勒索软件攻击案件数量呈指数级上升，随着数字经济时代数据信息成为企业的重要核心资产，“勒索攻击成为产业互联 时代的‘流行病’” 。

以影响最大的美国输油管道停运事件为例。2021年5月，美国最大的输油管道公司Colonial Pipeline因Darkside勒索软件团伙攻击而被迫关闭管道，导致美国政府于次日首次因遭遇 络攻击宣布进入国家紧急状态。不久后，该公司首席执行官证实已向发起攻击的黑客支付440万美元赎金，以恢复汽油管道供应系统运行。

尽管此前勒索软件多以政府和大型企业为主要目标，但近年来，中小企业同样面对 络安全风险。据美国国土安全部2021年5月发布的消息，过去一年中美国遭到的勒索软件攻击约有50%-70%是针对中小企业，攻击数同比增加300%，共造成3.5亿美元的损失。

据咨询机构埃森哲调查数据显示，2021年上半年全球 络威胁活动同比增长125%，在勒索攻击领域，保险、消费品与服务、电信是其攻击最多的行业，占比分别为23%、17%与16%。

同样的问题不止出现在企业生产中，部分医疗机构和公益组织也未能幸免。2021年5月，爱尔兰卫生服务执行局遭Conti勒索团伙攻击，造成全国多家医院的电子系统和存储信息无法正常使用；今年1月，红十字国际委员会一家位于瑞士的数据存储承包商遭到了 络攻击，超过 51.5万名“高度脆弱”受害者的个人信息遭到泄露，平均每日可帮助12名和家庭失去联系的求助者与家人重逢的公益项目“家庭团聚”被迫关停。据飞利浦公司与医疗安全服务商CyberMDX于2021年发布的一项调查 告显示，2021上半年约有48%的美国医院曾因勒索软件攻击而被迫中断 络。

威胁升级

当30年前的哈佛大学高材生Joseph L. Popp创造出世界上第一个cryptor（一种加密软件类型）加密软件时，其可能并不会预料到他所开创的这一类型恶意软件会给世界带来如此大的麻烦。

彼时，Joseph将装有加密程序的软盘伪装为艾滋病信息，寄送给世界卫生组织艾滋病大会参会者和《PC Business World》杂志的订阅者，只要启用该软盘，恶意软件就会被转移至使用者电脑的硬盘驱动器，经历一定次数的重启后，软件就会对受感染计算机上的文件进行加密，要求支付189美元年费或378美元买断费才可正常使用。

其后，随着互联 技术的不断进步，经过互联 黑客、白帽间的 络攻防以及自身的迭代升级，勒索软件演变出Cerber、Locky、Jigsaw等攻击方式、破坏力各不相同的家族，其勒索形式更是手段迭出，无孔不入。

据李铁军介绍，最早的勒索软件主要是对用户的系统和数据进行加密，通过让用户不能访问文件，业务中断，从而向其施压要求其支付赎金，但随着大部分企业开始普及数据备份工作，单纯进行文件加密的勒索方式已经难以对有所防范的公司产生威胁。

由此，勒索者不再满足于对数据进行加密，其开始通过勒索软件识别和窃取被攻击者系统中的关键数据，并以将关键数据公开为威胁，要求企业支付赎金，这便是当前较为普遍的“双重勒索”模式。

“此外，除了公开关键数据，攻击者还有可能将数据卖给受害者的竞争对手，或者卖给专门炒股做空的机构，威胁做空公司股票，以此逼迫企业掏钱。”李铁军表示，随着“双重勒索”乃至“多重勒索”被广泛应用，受害者在遭到勒索软件攻击后往往面临更高的压力，尤其是较为知名的企业，如被曝出存在 络安全问题，不仅要面临直接的经济损失，更有可能对其商誉和企业形象产生影响。

“过去恶意软件的运行模式也较为简单，比如有一些挟持计算机进行比特币挖矿的软件，只要找到其运行的脚本并将其删除即可，但当前一些软件可以做到在内存里跑，对于缺乏基本 络安全知识的工作人员，处理起来就会棘手很多。”他说。

病因待解

首先是以比特币为代表的加密数字货币的普及。李铁军指出，加密数字货币的主要特征之一是不便于追踪，勒索者在要求受害者以比特币等形式支付赎金后，往往能消失得无影无踪，当前的事后溯源机制很难追踪到赎金的取向和勒索者的身份，大大降低了其受到追捕和制裁的风险。

今年1月14日，俄罗斯联邦安全局官 公告称，在一次突击搜捕的行动中，先后抓获了REvil勒索组织的14名成员并予以逮捕。在2021年11月初，美国当局曾悬赏1500万美金，换取勒索DarkSide核心成员信息，之后又悬赏1000万美金征集REvil的信息。据悉，本次对REvil的抓捕行动调动了多国安全部门参与合作，在开出高额悬赏金，动用多种情 手段，美俄两国联手的情况下，才最终捣毁了这一策划多起影响深远勒索软件攻击的黑客团伙，对相关组织进行追捕的难度可见一斑。

其次是勒索软件的获取和使用门槛的降低。吴建平表示，在互联 信息爆炸时代，普通人也可以通过搜索软件或者一些隐蔽论坛找到勒索病毒的软件和脚本，就算不是非常了解计算机安全原理的，也可通过 络途径学会如何进行勒索软件攻击，使得攻击成本和门槛大幅降低。

“由于勒索软件攻击面较为广泛，没有一蹴而就的解决方式，因此需要全面的解决方案才能予以应对。”王凤周说。

更多内容请下载21财经APP