轉自：第一财經 作者： 呂倩

伴随5G、邊緣計算(suàn)、數字孿生等技術的(de)發展，傳統企業邁入數字化(huà)轉型時(shí)代，但與之相對(duì)的(de)，是同步進化(huà)的(de)勒索病毒與勒索團夥。

雲時(shí)代網絡安全解決方案提供商Palo Alto Networks（派拓網絡）近期發布的(de)《2022年Unit 42事件響應報告》顯示，投機的(de)網絡攻擊者大(dà)量利用(yòng)軟件漏洞和(hé)弱點實施攻擊。

從行業角度來(lái)看，金融和(hé)房(fáng)地産的(de)贖金金額位于第一梯隊，平均分(fēn)别被勒索近800萬美(měi)元和(hé)520萬美(měi)元。總體而言，勒索病毒和(hé)商業電子郵件洩露（BEC）是事件響應團隊在過去12個(gè)月(yuè)中做(zuò)出響應的(de)首要事件類型，約占事件響應案例的(de)70%。

伴随國家互聯網信息辦公室公開征求《關于修改〈中華人(rén)民共和(hé)國網絡安全法〉的(de)決定（征求意見稿）》，企業在推動技術轉型的(de)同時(shí)，也(yě)越發重視網絡安全與風險應對(duì)。

國内網絡安全廠商亞信安全認爲，大(dà)量“堆砌”的(de)安全産品和(hé)零散部署的(de)安全檢測技術無法與現代勒索病毒攻擊對(duì)抗，而應參考與APT（Advanced Persistent Threat高(gāo)級長(cháng)期威脅）對(duì)抗的(de)模式應對(duì)勒索病毒，企業對(duì)網絡安全防護既要有“意識”，也(yě)要有“投入”。

同步進化(huà)的(de)勒索病毒

亞信安全首席研發官吳湘甯表示，在數字化(huà)轉型過程中，企業IT水(shuǐ)平在不斷提升，這(zhè)也(yě)意味著(zhe)安全防護能力也(yě)需要伴随整個(gè)基礎建設同步進行。目前來(lái)看，大(dà)部分(fēn)行業客戶具備這(zhè)個(gè)意識，但距離“解決問題”尚有差距，這(zhè)個(gè)差距主要來(lái)源于對(duì)整個(gè)網絡安全的(de)認知還(hái)不到位，這(zhè)一點是目前行業客戶所面臨的(de)巨大(dà)挑戰。

亞信安全副總裁徐業禮認爲，2010年至2015年之間，是網絡安全的(de)真空期，這(zhè)期間網絡黑(hēi)産團夥主要利用(yòng)漏洞進行組織滲透、搞植入木(mù)馬與信息破壞。勒索病毒真正大(dà)範圍流行始于2016年，當時(shí)出現的(de)勒索病毒Cerber與Loki目前仍很流行。

在2016年，特别是2017年勒索病毒WannaCry出現過後，勒索技術與蠕蟲技術進行了(le)結合，出現衆多(duō)勒索攻擊的(de)前置木(mù)馬和(hé)工具條件。

2018年至2019年間，伴随挖礦軟件的(de)興起，部分(fēn)人(rén)員(yuán)轉向挖礦，勒索産業數量短暫地縮小。徐業禮稱，從這(zhè)點來(lái)看，整個(gè)網絡安全黑(hēi)産變化(huà)的(de)背後，實際是利益的(de)變化(huà)。

目前，伴随技術發展，勒索黑(hēi)産也(yě)在逐漸進化(huà)，勒索病毒攻擊已成爲網絡安全最大(dà)威脅，并已形成大(dà)量分(fēn)工細緻、專業化(huà)、職業化(huà)的(de)勒索團夥組織。徐業禮表示，勒索攻擊目前已正式進入到2.0時(shí)代，其攻擊特點高(gāo)度符合行業對(duì)APT攻擊的(de)認定标準。現代勒索攻擊轉變升級主要體現在作戰模式、攻擊目标和(hé)勒索方式上。

何爲RaaS團隊式攻擊

勒索的(de)作戰模式從傳統的(de)小型團夥單兵(bīng)作戰，轉變爲模塊化(huà)、産業化(huà)、專業化(huà)的(de)大(dà)型團夥作戰的(de)背後，是勒索模式運營的(de)進化(huà)——即RaaS的(de)興起。

RaaS的(de)盛行造成勒索攻擊覆蓋面更廣，危害程度顯著增加；其次，對(duì)于勒索攻擊的(de)目标，也(yě)從過往的(de)廣撒網蠕蟲式攻擊升級成爲針對(duì)政府、關鍵信息基礎設施、各類企業的(de)定向攻擊；另外，從勒索方式來(lái)看，現代勒索攻擊已經從傳統的(de)支付贖金恢複數據的(de)勒索方式，演化(huà)爲同時(shí)開展雙重勒索，甚至三重勒索。

北(běi)京郵電大(dà)學網絡空間安全學院教授、副院長(cháng)彭海朋表示，勒索病毒的(de)攻擊能力十分(fēn)驚人(rén)，一方面勒索病毒的(de)作者在延續開發周期，其制作新變種的(de)更新速度和(hé)攻擊方式變化(huà)極快(kuài)，加強軟件彈性、駐留能力、無文件、免殺逃逸等額外功能也(yě)将成爲勒索病毒的(de)标配。另一方面，RaaS的(de)攻擊形式進一步增強了(le)攻擊的(de)隐蔽性，且勒索攻擊已由個(gè)人(rén)或單個(gè)黑(hēi)客團夥攻擊轉向層級分(fēn)明(míng)、分(fēn)工明(míng)确的(de)黑(hēi)色産業活動，勒索行爲日益專業化(huà)。

亞信安全報告顯示，2022年度包括RaaS團夥在内的(de)勒索病毒家族數量逐漸遞增，截至目前已有65個(gè)，預計至今年年底将增加到90個(gè)左右。

徐業禮表示，2018年底，行業内出現了(le)一家新的(de)勒索攻擊組織——Maze。以前的(de)勒索攻擊方式是破壞企業系統，但并不去進行對(duì)外洩露。而Maze的(de)攻擊方式是先将企業數據偷走，再将企業本地計算(suàn)機内的(de)文件進行加密，進行雙重勒索。之前的(de)勒索病毒贖金一般在100美(měi)元至十萬美(měi)元之間，但如今的(de)勒索攻擊贖金動辄百萬美(měi)元，有的(de)甚至達到兩三個(gè)億的(de)規模。

徐業禮表示，2019年，傳統勒索病毒從業者紛紛轉行至RaaS，且該模式也(yě)在逐漸進化(huà)升級，采用(yòng)加盟模式，但是開發和(hé)運營RaaS的(de)門檻也(yě)很高(gāo)，核心人(rén)員(yuán)多(duō)爲頂尖的(de)人(rén)員(yuán)，因此家族數量并不多(duō)，但造成的(de)負面影(yǐng)響卻極大(dà)。

例如強大(dà)如科技巨頭英特爾、三星等，也(yě)均遭遇過勒索病毒攻擊。2022年2月(yuè)，新興的(de)勒索組織Lapsus$公開承認盜取英偉達近1TB的(de)數據；3月(yuè)，Lapsus$攻擊三星電子，并将盜取的(de)近190GB數據拆分(fēn)爲三個(gè)壓縮文件對(duì)外洩露。

企業如何提高(gāo)網絡安全意識

派拓網絡大(dà)中華區(qū)總裁陳文俊表示，目前整個(gè)金融服務業都在向數字化(huà)轉型，業務數據量爆發，迅猛增長(cháng)。同時(shí)，企業也(yě)開始使用(yòng)一些公有雲服務，與客戶溝通(tōng)的(de)類型也(yě)在發生轉變——以前客戶會到分(fēn)行裏辦理(lǐ)業務，如今，客戶更注重體驗和(hé)互動，如通(tōng)過銀行服務。行業員(yuán)工也(yě)因疫情時(shí)常居家辦公，人(rén)員(yuán)逐漸移動化(huà)，開始使用(yòng)網上銀行。

在此背景下(xià)，陳文俊表示，金融行業面臨非常大(dà)的(de)挑戰，也(yě)是網絡攻擊的(de)首要目标，因爲金融行業的(de)客戶擁有大(dà)量的(de)金融資産和(hé)數據資産，受到攻擊後，黑(hēi)客能夠比較容易地獲得(de)更多(duō)利益，因此目前來(lái)看，金融行業是遭遇安全事件和(hé)數據洩露最多(duō)的(de)行業之一。

廣告

整體來(lái)講，不論面向哪個(gè)行業，勒索病毒攻擊均可(kě)以分(fēn)爲六個(gè)階段——初始入侵、持續駐留、内網滲透、命令控制、信息外洩、執行勒索。亞信安全認爲，單一防禦安全體系很難對(duì)這(zhè)種有别于傳統病毒的(de)“殺傷鏈”發揮作用(yòng)，如現代勒索攻擊團夥在入侵後會潛伏幾天、幾周甚至數月(yuè)，在真正運行勒索病毒加密删除文件之前都會偷偷尋找有價值的(de)文件或數據，并将其外傳。另外，在勒索加密代碼真正啓動之前，一般都會進行免殺處理(lǐ)，以此讓防毒軟件失效。

爲此，亞信安全通(tōng)過終端、雲端、網絡、邊界、身份、數據的(de)檢測與響應以及威脅數據、行爲數據、資産數據、身份數據、網絡數據等的(de)聯動分(fēn)析，形成了(le)針對(duì)勒索病毒治理(lǐ)全鏈條，覆蓋“事前、事中、事後”運營處置，爲貫穿勒索病毒事件應急響應全流程的(de)關鍵動作提供了(le)支撐。

徐業禮對(duì)記者表示，随著(zhe)企業每一次在網絡攻擊面前遭受攻擊，他(tā)們越來(lái)越認識到黑(hēi)灰産業所造成的(de)破壞力，逐漸增強對(duì)網絡的(de)安全意識。企業及早防護所做(zuò)出的(de)投入，比受到攻擊後所造成的(de)停産、停業、停機的(de)成本要少得(de)多(duō)。

“網絡安全公司一定是對(duì)各個(gè)行業的(de)企業或者部門的(de)數字化(huà)轉型起到基本的(de)輔助作用(yòng)，關鍵還(hái)是需要企業本身有這(zhè)個(gè)意識。”吳湘甯對(duì)記者表示。