从2020年十大勒索攻击事件聊聊企业安全(2)-丰禾体育娱乐

从2020年十大勒索攻击事件聊聊企业安全(2)

时间:2021-01-04

 

持续“进化”革新，勒索病毒的“疯狂”模式才刚刚开启

 

众所周知，勒索病毒实际上是一种通过劫持企业或个人数据文件和系统以索要赎金的恶意软件。其能通过电子邮件、远程桌面协议（rdp）网站木马、弹窗、可移动存储介质等载体，实现对用户文件、数据库、源代码等数据资产的加密劫持，从而以此为条件向用户索要赎金以换取解密密匙。

 

从最初的“艾滋病木马”（或pc cyborg）软盘到2017年的wannacry、notpetya，勒索病毒攻击表现出的变种繁多且难以查杀、传染性极强且难以追踪等特点，使其以“势不可挡”之势在全球范围内“肆虐”。在2018年短暂“醉心”挖矿之后，受加密货币价值变化无常和企业级攻击利益攀升的双重影响，勒索软件携带着日趋成熟的手段革新和愈发隐蔽、复杂的“进化”能力，在后疫情时代开启了“重装上阵”的疯狂模式。

 

无论是从攻击频率、势头，还是在攻击技术和策略的复杂程度，以及引发的成本损益，“疯狂”模式下的勒索软件较之以往都表现出了持续“进化”后的新特征。企业及机构不得不认清一个事实：正如全球知名安全公司赛门铁克（symantec）在最新报告中提及的，2021年针对性勒索软件仍是最大威胁。

 

从赎金换密钥到数据盗取，双重勒索渐成主流

 

特斯拉、波音、spacex供应商拒付赎金遭机密泄露、佳能勒索软件攻击者因未收到赎金公开泄露了2.2gb美国公司数据等事件的发生，都在指向勒索软件攻击策略的同一演进趋势，即“双重勒索”。

 

这一“业务创新”最早是由maze勒索病毒团队在2019年率先实施，至今已为sodinokibi、lockbit等勒索团队所效仿。与传统基本信守支付赎金即提供解密密钥的策略不同，双重勒索采取先窃取政企机构敏感数据，再对企业资产进行加密的攻击路径。如若相关政企机构一旦拒绝缴纳赎金，攻击者将以在暗网公开部分数据威胁实施进一步勒索。若失败，则将直接公开所有窃取数据。

 

这一趋势似乎是攻击者对抗企业数据备份方案增多、避免勒索失败而进行的策略“进化”。在数字化加速推进的当下，这无疑将迫使政企机构面临更大的数据泄露压力。换言之，被攻击者不仅要面临数据泄露带来的经济损失，还需要承受赎金支付后数据仍被公开的不确定性，以及相关数据泄露法规的处罚和声誉影响。从暗网中持续增多的勒索攻击数据泄露网站上看，双重勒索正渐成为勒索软件攻击的新主流。

 

从个人到企业，目标精准的扩延“战术”

 

安全公司malwarebytes 2019《勒索软件回顾》报告显示，2019年，针对企业的勒索软件攻击数量首次超过了针对消费者的数量，且与2018年第二季度相比，2019第二季度同比增长了363％。换句话说，勒索软件攻击已由最初面向个人消费者的“广撒网式”安全威胁，完成了向具有高度针对性和定向性的企业级安全威胁的演变。

 

据腾讯安全《2020上半年勒索病毒报告》分析，受企业级安全攻击高回报率的诱惑，越来越多的活跃勒索病毒团伙将高价值大型政企机构作为重点打击对象。勒索病毒产业链针对政企目标的精确打击、不断革新的加密技能、规模化的商业运作，正在世界范围内持续产生严重危害。腾讯安全专家分析发现，日本汽车制造商本田集团在今年6月遭受到的snake勒索团伙攻击，就是勒索团队精准定向攻击演变趋势的一大例证。简言之，未来，政企机构将面临比个人更为严峻的勒索病毒攻击局势。

 

从2020年勒索攻击事件辐射的范畴上看，当前勒索软件攻击显然已跳出了瞄准医疗行业的局限。费城天普大学研究团队通过针对全球关键基础设施的勒索软件攻击跟踪发现，近两年来，各行业遭受的勒索病毒攻击频次逐年上升。其中，仅2020年前8个月就有241起与关键基础设施相关的勒索软件攻击事件，涉及科技、航运交通、金融、商业、教育、政务等各个行业领域及其远程办公、在线业务等场景。以航运业为例，法国达飞公司一周之内连遭两次勒索攻击事件，再次佐证了勒索软件攻击广领域覆盖的发展趋势。

 

此外，工程师hron在2019年6月通过修改固件，成功将一台智能咖啡机改造成了勒索软件机器等类似事件的发生，还映射出了勒索软件攻击的一大新发展方向。即伴随着物联网的普及应用，各类iot设备或将为黑客实施勒索攻击提供新突破口和跳板。事实上，相关事实显示，早在2017年，就出现了首个针对联网设备的勒索软件攻击报告：55个交通摄像头感染了wannacry勒索软件。换言之，新技术的应用普及也将衍生出更多的攻击变化。

 

赎金之外，持续攀升的攻击损失

 

联邦调查局（fbi）在rsa 2020会议上公布的最新统计数据显示，在过去6年中，勒索软件受害者已向攻击者支付了超过1.4亿美元的赎金。很显然，动辄成百上千万级美元的赎金是勒索软件攻击带来的最直接的损失。然而，伴随着“双重勒索”策略的常态化，在高额赎金带来的巨大经济损失之外，遭受攻击的企业及机构还将面临包括机会成本、产效降低、品牌和信誉损失、风险事故处理成本、内部士气损害等方面的损耗挑战。

 

一方面，勒索软件的攻击往往会造成政企机构的网络系统和资源陷入瘫痪、宕机。而由此引发的业务中断，势必给政企机构的产能和生产效率带来大幅削减、降低的影响。以丹麦航运公司马士基遭受notpetya 勒索软件攻击为例，因勒索攻击暂时关闭了该公司的运营系统，导致其因运营中断遭受到了高达 30 亿美元的业务损失。

 

另一方面，随着勒索攻击加密性能、投毒方式、定向攻击、商业合作等技术和策略上的升级，相关政企机构还需要面临事故处理成本增加投入的问题。这一投入包括时间和人力上的双重挑战。mcafee最新调查报告《the hidden costs of cybercrime》中支持，对于大多数组织来说，勒索攻击事件发生后，平均需要安排8个人，用时 19 个小时对it系统或服务进行恢复补救。这显然不仅增加了被攻击方的风险处理成本，还或因外部援助和风险保险等方面需求的激增，衍生出新的成本增长点。