勒索軟件（ransomware）是一種惡意軟件，通過騷擾、恐嚇甚至采用綁架用戶文件等方式，使用戶數據資產或計算資源無法正常使用，并以此為條件向用戶勒索錢財。 

新冠疫情的發生加速了數字化時代的到來，使企業、機構等各種業務運營模式發生了重大改變，同時也帶來了更多的安全風險，這也無疑成為導致勒索軟件攻擊顯著增加的重要因素。 

勒索軟件成“頭號”威脅 

據 IBM X-Force 報告顯示，近三年來，勒索軟件一直占據主要攻擊類型的榜首， 2021 年也不例外，在X-Force 事件響應團隊修復的攻擊中有 21% 是勒索軟件攻擊。  

2021 年，亞洲首次成為攻擊的重災區，在 X-Force 所觀察到的攻擊總量中占到了 26%。歐洲和北美緊隨其后，分別占攻擊總量的 24% 和 23%，而中東和非洲與拉丁美洲所占比重則分別為 14% 和 13%，勒索軟件成為全球面臨的最主要的攻擊類型，而制造、金融和保險等行業成為近年來勒索軟件的的重點攻擊對象。 

另外，由美國、澳大利亞及英國網絡安全當局撰寫的聯合網絡安全咨詢報告顯示，全球范圍內以關鍵基礎設施相關組織為目標的高復雜度、高影響力勒索軟件攻擊正在持續增加。 

據美國聯邦調查局（FBI）、網絡安全與基礎設施安全局（CISA）與國家安全局（NSA）觀察顯示，全美16個關鍵基礎設施部門中有14個曾經遭遇勒索軟件事件，涵蓋國防工業基地、緊急服務、食品與農業、政府設施與信息技術等多個部門。 

澳大利亞網絡安全中心（ACSC）也觀察到，勒索軟件正持續將矛頭指向澳大利亞的醫療保健、金融服務與市場、高等教育與研究、能源部門等各關鍵基礎設施實體。 

英國國家網絡安全中心（NCSC）也將勒索軟件視為英國面臨的最大網絡威脅，并表示地方各級政府及衛生部門內各企業、教育領域、慈善機構、法律界乃至公共服務機構都成為勒索軟件攻擊者的目標。 

勒索軟件攻擊策略持續升級 

相比于傳統的線下勒索，勒索軟件攻擊更具隱蔽性和便捷性，攻擊者更容易逃避制裁，而受害者卻苦不堪言。攻擊者為了索取贖金一般會采用加密數據勒索、鎖定系統勒索、威脅恐嚇勒索、數據泄漏勒索等手段。 

從普通勒索到“雙重勒索”，勒索軟件一直在不斷地尋求更具創新性的商業模式，變得愈加猖獗。2021年，勒索軟件攻擊已經隨著運營模式升級到了“三重勒索”，受影響的范圍也越來越大。在“三重勒索”的攻擊中，攻擊者不僅加密并竊取數據，還威脅會對受影響的組織發起分布式拒絕服務 (DDoS) 攻擊。這種攻擊會使受害者的網絡同時被兩種惡意攻擊所劫持，而數據失竊會進一步加重其受害程度。  

與此同時，隨著全球數字化進程的不斷推進，數據價值的越發凸顯，對數據強行加密的勒索手段成為最常用且有效的攻擊方式。

據賽迪研究院網絡安全研究所研究分析顯示，全球數據勒索攻擊呈現了一些新特點：攻擊目的由單純經濟牟利轉向實施數據破壞、竊取戰略機密、謀取政治訴求等多重企圖，勒索意圖愈加復雜化；攻擊對象由無差別的個人設備轉向政府及公共部門、大型企業等具有關鍵信息基礎設施屬性的定向機構，且勒索策略日趨精準化；攻擊主體由個人或單個黑客團伙攻擊轉向層級分明、分工明確的黑色產業活動，勒索行為日益專業化；攻擊模式由單一加密勒索轉向多重勒索獲利，勒索手段趨于多樣化。 

勒索軟件攻擊事件回顧 

近幾年勒索軟件的猖獗已是有目共睹，尤其在2021年達到爆發高峰。據《2021年度勒索病毒態勢報告》顯示，2021年全網勒索攻擊總次數超過2234萬次，影響面從企業業務到關鍵基礎設施，從業務數據安全到國家安全與社會穩定。 

接下來回顧一下2021年和2022上半年的重要勒索軟件攻擊事件： 

• 2021年1月14日，泛亞大型零售連鎖運營商牛奶集團（Dairy Farm Group）受到REvil勒索軟件攻擊，被勒索高達3000萬美元的贖金。 
• 2021年1月15日，蘇格蘭環境保護局（SEPA）披露，該機構在平安夜受到勒索軟件Conti攻擊，造成嚴重網絡中斷，勒索團伙還竊取了1.2GB的數據。 
• 2021年1月，據路透社報道，美國知名IT公司SolarWinds旗下的Orion網絡監控軟件更新服務器遭黑客入侵并植入惡意代碼，本次供應鏈攻擊事件，波及范圍極廣，包括政府部門，關鍵基礎設施以及多家全球500強企業。 
• 2021年2月13日，UL LLC遭受了勒索軟件攻擊，該攻擊對其服務器進行了加密，并導致服務器在恢復時關閉了系統。 
• 2021年3月20日，電腦巨頭宏碁(acer)遭遇REvil勒索軟件攻擊，攻擊者向其索要5000萬美元的贖金，折合人民幣3.25億元。 
• 2021年3月20日，加拿大的物聯網（IoT）解決方案供應商Sierra Wireless的內部IT系統遭到勒索軟件攻擊，不僅造成內部運行受損，官網曾一度呈停擺狀態，也暫時關閉了該公司所有的生產基地。
• 2021年3月21日，美國最大的保險公司之一CNA 金融公司（CNA Financial Corporation）遭到了一起復雜的網絡安全攻擊，導致網絡中斷，并影響了CNA的某些系統，被黑客勒索了4000萬美元。
• 2021年3月30日，Applus Technologies的車輛排放測試平臺遭受了惡意軟件攻擊，導致IT系統被斷開。 
• 2021年4月，蘋果筆記本代工廠廣達遭勒索軟件REvil攻擊，黑客索要5000萬美元天價贖金，并警告稱，如果廣達電腦不支付贖金，“所有Apple設備的圖紙以及其員工和客戶的所有個人數據將被發布”。 
• 2021年5月7日，美國最大的成品油管道運營商Colonial Pipeline受到勒索軟件攻擊，黑客通過非法軟件控制其電腦系統或數據，Colonial Pipeline被迫關閉其位于美國東部沿海各州供油的關鍵燃油網絡。 
• 2021年5月31日，全球最大的肉類供應商JBS向外界表示，公司服務器遭到黑客有組織的攻擊，受影響的系統包括美國分部和澳大利亞分部，部分工廠暫停作業，JBS最終妥協向黑客支付了1100萬美金。 
• 2021年6月，REvil 勒索軟件團伙攻擊了基于 Kaseya 云的 MSP platfor 軟件供應商 Kaseya，并宣稱約 60家 Kaseya 客戶和 1500 家企業受到了勒索軟件攻擊的影響。
• 2021年8月，西經濟部發表聲明稱，其國庫內部網絡在8月13日遭遇勒索軟件攻擊，巴西國庫秘書處已立即采取遏制措施，并召集聯邦警察協助調查。
• 2021年7月2日，Kaseya遭受了勒索軟件組織REvil的供應鏈攻擊。Kaseya表示，它“知道受攻擊影響的客戶不足60家”，但影響范圍涉及“1500家下游企業”。
• 2021年8月，全球咨詢公司埃森哲遭受了勒索軟件攻擊，部分客戶系統遭到破壞，部分私密的公司數據被竊取和泄露。
• 2021年10月，辛克萊廣播集團遭受了勒索軟件攻擊和數據泄露，這次攻擊對“某些辦公室和運營網絡”造成了破壞，辛克萊的一些廣播網絡業務中斷。 
• 2021年11月，加密貨幣交易平臺BTC-Alpha受到勒索軟件攻擊，關閉了BTC-Alpha的網站及其應用程序，該應用程序在11月20日之前一直處于停用狀態。 
• 2021年11月7日至11月8日期間，電子零售巨頭MediaMarkt遭到勒索軟件攻擊，其服務器及工作站等設備數據被加密，最終公司只能關閉IT系統以阻止事態蔓延，此次攻擊影響了整個歐洲的眾多零售店。 
• 2022年1月5日，新墨西哥州最大的縣發現自己已淪為勒索軟件攻擊的受害者，多個公共事業部門和政府辦公室系統下線。 
• 2022年2月至3月期間，三家豐田供應商遭到黑客攻擊。當豐田供應商Kojima Industries遭到網絡攻擊時，這家巨頭不得不停止其14家日本工廠的運營，據悉此次黑客攻擊導致該公司每月的生產能力下降了5%。 
• 2022年2月底，全球知名的半導體芯片公司英偉達被爆遭到勒索軟件攻擊，攻擊者在線泄露了員工憑據和私密信息，勒索軟件組織Lapsus$聲稱對此次攻擊負責，并表示他們可以訪問1TB的企業數據。 
• 2022年4月中旬起，Conti組織對哥斯達黎加進行了兩波重大的勒索軟件攻擊，使該國多項基本服務陷入癱瘓，政府陷入混亂，無法做出有效響應。 

推進勒索軟件攻擊治理 

針對數據的勒索攻擊已成為全球網絡攻擊的主角，給多國造成了機密數據泄露、社會系統癱瘓等重大危害，嚴重威脅了國家安全。據賽迪研究院網絡安全研究所研究顯示，各國已紛紛從立法層面推進勒索攻擊治理，并重點關注以下四個方面的制度建設：一是建立強制性勒索攻擊事件報告機制；二是規范勒索贖金支付，防止繳納大額勒索贖金引發的重復攻擊；三是賦予執法人員“數據中斷”權利，以幫助勒索攻擊受害者在不支付贖金的情況下防止潛在的數據泄露風險；四是對勒索攻擊者實施更嚴厲的懲罰，增強勒索犯罪活動威懾力。 

美國網絡安全和基礎設施安全局（CISA）發布的《保護敏感信息和個人信息免受勒索軟件導致的數據泄露》指出，為防止成為勒索軟件攻擊的受害者，企業應采取如下步驟：解決面向互聯網的漏洞和錯誤配置，減少攻擊者利用這一攻擊面的可能性；制定、維護和行使基本的網絡事件響應計劃、彈性戰略和相關的通信計劃；保持數據的離線、加密副本，并定期驗證備份；減少收到網絡釣魚郵件的可能性；堅持正確的網絡健康準則。 

另外，我國國家互聯網應急中心（CNCERT）于2021年7月發布的《勒索軟件防范指南》提出，防范勒索軟件要做到“九要”和“四不要”。 

“九要”：

1.要做好資產梳理與分級分類管理；

2.要備份重要數據和系統；

3.要設置復雜密碼并保密；

4.要定期安全風險評估；

5.要常殺毒、關端口；

6.要做好身份驗證和權限管理；

7.要嚴格訪問控制策略；

8.要提高人員安全意識；

9.要制定應急響應預案。 

“四不要”：

1.不要點擊來源不明郵件；

2.不要打開來源不可靠網站；

3.不要安裝來源不明軟件；

4.不要插拔來歷不明的存儲介質。 

《指南》還強調，當機器感染勒索軟件后，不要驚慌，可立即開展隔離網絡、分類處置、及時報告、排查加固、專業恢復等應急工作，降低勒索軟件產生的危害。 

隨著技術的發展以及未來的不可預見性，安全守護者與勒索軟件的較量終究是一場持久戰... ?