安全419盘点｜2022年第三季度勒索软件攻击形势与应对建议

大多数安全机构已将勒索软件定义为全球商业组织和政府的头 公敌，比如有安全机构就观察了LockBit勒索组织今年3月到8月公开的勒索攻击事件，仅仅这一家勒索组织就有高达430起记录在案的勒索攻击记录，可见威胁的广泛程度。安全419总结Q3期间相关事件发现勒索软件有如下发展趋势：

勒索软件威胁显见 安全企业未曾幸免

从Q3的一些勒索软件攻击事件可以发现，勒索软件威胁既真实又普遍，且难以防范。安全机构Sophos分享的应急案例就极为典型，某企业在短短一个月时间内，竟然遭到三大勒索软件组织的轮番攻击。

在该案例场景下，其中前两个勒索组织部署的勒索软件竟同时在同一主机系统上检索加密，更加具有嘲讽意味的是当应急团队还在焦头烂额之际，另外一个勒索组织也参与了进来。

Q3勒索软件攻击广泛针对政府、教育、医疗、商业机构的同时，还出现了以往不同的情况，当然我们仍然能够看到一些科技巨鳄受到了勒索软件攻击，但鲜见的是，就算是 络安全企业，也没能在广泛威胁之下幸免于难。

典型案例就是思科、Entrust、SHI International这三家，他们全部具有科技和安全背景，很难想象他们会成为勒索软件攻击受害者。

北美知名IT解决方案提供商SHI International的攻击案例还让我们想到了此前针对埃森哲的勒索软件攻击，他们都能为企业提供一揽子的IT咨询建议和解决方案， 络安全自然也是其中最重要的一部分。所以当他们成为勒索软件攻击受害者，这就像消防队失火一般极具讽刺意味。

对抗持续升级 推出数款免费解锁工具

安全机构公开的研究数据表明，勒索团队与安全团队对抗持续升级，勒索软件为绕过安全工具的监测能力，不断升级变种，Q3公开披露变种的勒索软件程序近百种。另外勒索软件RaaS发展之下，不断有新的勒索组织出现。另外勒索组织不会消失，只会以重组的方式重现。

7月初，新西兰 络安全公司Emsisoft发布了一个免费的解密工具，该工具可以帮助AstraLocker和Yashma勒索软件受害者在不支付赎金的情况下恢复他们的文件。在此之前，韩国 络安全机构KISA也曾发布Hive免费勒索软件加密解密器，适用于该勒索软件v1到v4版本。

No More Ransom是一个成立于2016年的对抗勒索软件攻击的联合组织，成员包括执法机构和IT安全公司（卡巴斯基和麦卡菲）。该组织在成立六周年之际，已为165种勒索软件提供了136种免费解锁工具，包括Gandcrab、REvil/Sodinokibi、Maze/Egregor/Sekhmet等。

9月中旬，罗马尼亚 络安全公司Bitdefender与执法机构合作发布了一款免费解密软件，可以帮助LockerGoga勒索软件受害者在不支付赎金的情况下恢复他们的文件。数据表明，LockerGoga参与了针对全球至少1800个组织的勒索软件攻击，由LockerGoga加密的文件将具有“.locked”文件扩展名。在一次执行行动中，该勒索软件团伙的12名参与者已被逮捕。

勒索软件攻击未来将向移动端转移

据安全机构Cleafy披露，他们对安卓银行木马程序SOVA v5版本采样分析发现，最新的5.0版本增加了勒索软件模块，SOVA新版本的这一次更新，正将自己定位为移动勒索软件领域尚未开发的先驱之一。

这也意味着未来我们个人手机、平板电脑均有可能成为勒索加密对象。据Cleafy称，即使是目前尚未完成的版本，SOVA v5也可以大规模部署，因此建议所有安卓用户保持警惕。

就勒索软件攻击角度而言，商业机构一侧的敏感数据固然更具价值，或是重要基础设施服务的连续性不容有失，这些领域也是勒索组织主要光顾的目标，但移动端表现出的用户数量庞大，渗透率高等特点，其潜在威胁可能不亚于服务器、PC一侧。

安全专家还指出，鉴于移动设备逐渐成为个人和商业数据的存储中心，提升安全意识和防护水平势在必行。

避免成为勒索软件攻击受害者

为应对勒索软件攻击，我们汇总了以下建议：

1、企业不断地成长和新技术的广泛应用，进一步加剧了安全风险和暴露面，鉴于安全重要性正在日益提升，设立专职岗位（如CSO）负责统筹全面的IT安全风险管理，是应对以勒索攻击为首的 络安全建设的重要前提；

2、真实勒索案例中，绝大多数勒索攻击源于员工的意识疏忽所造成。企业一方面需系统地开展安全意识培训工作，同时应针对具体的安全事件进行日常演练，以在攻击发生时最大化降低企业生产运营损失；

3、同时安全意识应延伸至企业外部，这对大型生产制造业尤为重要，比如企业将IT运维承包给第三方机构，还有涉及庞大供应链当中的任何一环。可以以安全合约为抓手，建立安全责任制，强化外部的安全风险管理；

4、安全基线必不可少，利用专业安全厂商提供的防御、检测类产品为勒索病毒设置重重障碍，可降低80%以上被勒索攻击的可能性。其中终端安全更是重中之重，大量案例证明，特别是国内，终端缺乏安全防护是造成勒索加密的主要原因；安全基线产品或服务以威胁情 建立防御机制，也是应对勒索组织不断变化趋势的有力抓手；

5、勒索攻击最终指向的是系统、应用和数据，对于处于数字经济时代的我们，如何让数据在各业务线上安全流通已成当务之急。《数据安全法》催生了数据安全产业的迅猛发展，以数据保护为抓手，应对勒索攻击已是可行方案；

6、产品服务化趋势，企业限于没有专业的运维人员来管理 络安全，会存在即使部署了安全产品也没有得到有效利用，这是广泛存在的现状问题，大中型企业尚能自行解决问题，小型企业问题更为明显。现在安全企业也注意到了这一问题，安全托管服务可以帮助企业解决这一难题；

7、企业应该认识到针对性地勒索攻击致使数据加密，当前技术上是无法恢复的，应该立即着手数据备份工作，且强化数据备份的隔离加密，始终让备份数据保持高可用性。对于生产经营性质企业，为了追求业务的持续运营，容灾备份解决方案已成为他们的最佳选择，该方案在保证数据高可用前提下，可支持系统在异地迅速再生；

8、企业承担勒索攻击所致损失的程度并不相同，为了避免遭受灭顶之灾，可以考虑从 络安全保险一侧切入防范。 络安全保险在国外相对成熟，在国内发展尚处起步阶段，但未来应用的趋势明显。