2021年勒索攻擊特征與趨勢研究白皮書-55正式版

顧 問丁珂、司曉、張顯龍、陳勝喜編委會李剛、劉瓊、柳雁軍、張雪琴、王融、董文輝、程虎編寫組騰訊研究院翟尤、宋揚、秦天雄、劉金松、袁媛、吳朋陽、周丹、竇淼磊、白惠天騰訊安全李鐵軍、胡龍、黃佩鈺、謝飛、恒海濤、劉穎、譚昱、付蓉潔、陳娟娟、王成、張靚《中國信息安全》雜志社王丹娜、向繼志、袁勝、李鑫、邱辰杰、彭琳、張婷CONTENTS目錄第一章勒索攻擊成為全球新挑戰(zhàn)一、科技競爭對國民經(jīng)濟安全帶來挑戰(zhàn)06二、產業(yè)數(shù)字化轉型帶來安全挑戰(zhàn)07三、技術破壞式創(chuàng)新帶來安全挑戰(zhàn)10四、勒索攻擊帶來的安全風險和挑戰(zhàn)11第二章勒索攻擊演進路徑與特征一、從勒索病毒向勒索攻擊的轉變12二、勒索攻擊形式與傳播渠道的變化14三、勒索攻擊事件數(shù)量不斷增加16四、勒索攻擊事件支付成本大幅攀升21五、各國加速調整反勒索相關立法22第三章勒索攻擊主要特點一、勒索攻擊行為隱蔽性強且危害顯著29二、勒索病毒變異較快且易傳播30三、勒索攻擊路徑和目標多元化發(fā)展38四、受勒索攻擊領域更加寬泛39第四章勒索攻擊七大發(fā)展趨勢一、影響社會正常運轉且難解密42二、勒索攻擊SaaS化44三、加密貨幣普及助推贖金快速增長44四、大型企業(yè)和基礎設施成為攻擊重點45五、“多重勒索”模式引發(fā)數(shù)據(jù)泄露風險47六、供應鏈成為勒索攻擊重要切入點48七、引發(fā)網(wǎng)絡保險行業(yè)的惡性循環(huán)49第五章防范勒索攻擊建議與思考一、聚焦安全前沿技術，提高防護能力50二、構建安全前置能力，提升“免疫力”51三、增強人員安全意識，降低攻擊風險53參考文獻54序言勒索軟件又稱為“贖金木馬”，勒索軟件攻擊是指網(wǎng)絡攻擊者通過鎖定設備或加密文件等方式阻止用戶對系統(tǒng)或數(shù)據(jù)的正常訪問，并要挾受害者支付贖金的行為。如同我們把錢放在保險箱，小偷沒有撬開保險箱偷錢，反而把放保險箱的房間加了把鎖。如果沒有房間的鑰匙，我們依然拿不到保險箱里的錢。如今，新型勒索攻擊事件層出不窮。勒索攻擊事件在全球各地頻頻發(fā)生，可歸因于三個方面：一是企業(yè)內部基礎設施建設落后，聯(lián)網(wǎng)后缺少有效的安全防護措施。美國國家漏洞庫NVD資料顯示，僅在2020年上半年就發(fā)現(xiàn)了多達365個工業(yè)控制系統(tǒng)相關的漏洞，比2019年上半年增長10.3％，其中，超過75％的漏洞被認定為嚴重等級，這些漏洞涉及53個廠商。而我國的情況也不容樂觀，《2020年上半年我國互聯(lián)網(wǎng)網(wǎng)絡安全監(jiān)測數(shù)據(jù)分析報告》數(shù)據(jù)顯示，我國工業(yè)控制系統(tǒng)的聯(lián)網(wǎng)信息持續(xù)遭受境外不法分子的窺探，日均掃描超2萬次，能源、制造、通信等行業(yè)的基礎設施及控制系統(tǒng)成為主要目標。二是對于網(wǎng)絡攻擊者來說，高額的贖金成為他們實施犯罪的極大動力。美國網(wǎng)絡安全公司PaloAltoNetworks公布的數(shù)據(jù)顯示，發(fā)生于2020年的勒索攻擊事件贖金平均為312,493美元，較上年增加171%。區(qū)塊鏈分析公司Chainalysis的報告也提到，2020年市面上各類活躍的勒索軟件共計獲利3.7億美元，較上年增長336%，其中僅DarkSide一家就獲得超過9000萬美元的贖金。三是遠程辦公增加安全風險。新冠肺炎疫情期間，犯罪分子利用遠程辦公帶來的安全漏洞，通過技術迭代、數(shù)據(jù)泄露、加密數(shù)據(jù)等方式不斷進化攻擊手法，開辟新的攻擊面，利用人們在危機期間的恐慌心理，持續(xù)增加勒索次數(shù)。例如，2020年6月，斯洛伐克安全公司發(fā)現(xiàn)了通過偽裝成“新冠病毒跟蹤應用程序”加密Android設備上文件的勒索軟件。2021年，勒索攻擊事件此起彼伏。例如，以色列HillelYaffe醫(yī)療中心遭到勒索攻擊。日本著名企業(yè)奧林巴斯遭遇2021年度的第二次勒索攻擊導致美洲地區(qū)的網(wǎng)絡系統(tǒng)被迫下線。中國臺灣知名電腦企業(yè)宏碁公司也遭遇了兩次勒索。最令人不可思議的是，在已經(jīng)遭遇過勒索攻擊后，卻沒見宏碁和奧林巴斯的網(wǎng)絡防御能力變得強大。其中，奧林巴斯兩次遭劫前后僅僅間隔一月有余。隨著AI、5G、物聯(lián)網(wǎng)等技術的快速普及和應用，以及加密貨幣的持續(xù)火爆，如今勒索攻擊呈現(xiàn)出持續(xù)高發(fā)態(tài)勢。勒索攻擊已經(jīng)成為未來一段時期網(wǎng)絡安全的主要威脅之一，如何有效防范勒索攻擊成為當前網(wǎng)絡安全領域關注和討論的焦點。各國都認識到，勒索軟件是一種不斷升級的全球安全威脅，會造成嚴重的經(jīng)濟和安全后果。勒索軟件對關鍵基礎設施、基本服務、公共安全、消費者保護和隱私構成重大風險，例如，勒索軟件針對當?shù)匦l(wèi)生服務提供者的惡意操作，危害了病人護理；針對限制其向公眾提供燃料、生活用品或其他商品能力的企業(yè)的操作，影響了企業(yè)運營。與其他網(wǎng)絡威脅一樣，勒索軟件的威脅是復雜的、全球性的，需要各國共同應對。勒索攻擊特征與趨勢研究白皮書（2021）01第一章勒索攻擊成為全球新挑戰(zhàn)數(shù)字技術應用的泛在化、融合化意味著更多終端暴露在網(wǎng)絡攻擊范圍之內，網(wǎng)絡攻擊隨時隨地可能發(fā)生，攻擊頻次和深度逐步加大。基礎設施逐漸成為被攻擊的主要對象，導致國家經(jīng)濟社會安全受到挑戰(zhàn)?？偟膩砜矗瑪?shù)字經(jīng)濟時代我們將面臨以下三個方面的安全挑戰(zhàn)。一、科技競爭對國民經(jīng)濟安全帶來挑戰(zhàn)后疫情時代，貿易、技術、人員流動面臨更多限制，區(qū)域性、雙邊性投資和貿易安排更加頻繁，全球產業(yè)鏈布局區(qū)域化特征凸顯。與此同時，為科學劃分國家經(jīng)濟安全邊界、保障產業(yè)鏈安全，全球主要經(jīng)濟體紛紛加快基礎性技術主導權戰(zhàn)略布局、構建產業(yè)安全邊界，搶占新一輪科技革命制高點。一方面，各國持續(xù)增厚科技實力“安全墊”。隨著科學技術體系日益復雜，單一技術難以引領新一輪科技革命。為維護國家安全，提高競爭實力，發(fā)達國家加快重大科技戰(zhàn)略制定成進程。例如，英國發(fā)布《未來科技貿易戰(zhàn)略》，對數(shù)字經(jīng)濟、科技創(chuàng)新投資進行戰(zhàn)略部署1。美國發(fā)布《改善國家網(wǎng)絡安全的行政命令》，明確指出要增強軟件供應鏈安全、成立網(wǎng)絡安全審查委員會，同時要求美國政府部門制

美國發(fā)布《加強國家網(wǎng)絡安全的行政命令》英國發(fā)布《未來科技貿易戰(zhàn)略》印度加快研究發(fā)布《新網(wǎng)絡安全戰(zhàn)略》1引自/s?id=1669290498915404046&wfr=spider&for=pc06第一章勒索攻擊成為全球新挑戰(zhàn)定實施零信任架構的計劃、加快云服務安全化的步伐等具體措施2。印度加快研究發(fā)布《新網(wǎng)絡安全戰(zhàn)略》，旨在確保安全、可靠、有彈性、充滿活力和值得信賴的網(wǎng)絡空間3。另一方面，細分領域技術優(yōu)勢影響產業(yè)鏈安全。部分核心技術和專利集中在少數(shù)國家或企業(yè)手中，對其他國家經(jīng)濟安全帶來較大影響。以芯片產業(yè)為例，韓國總統(tǒng)文在寅在參與“K—半導體戰(zhàn)略報告大會”時表示，半導體競爭已經(jīng)超越公司層面，成為國家角力的戰(zhàn)略領域4。二、產業(yè)數(shù)字化轉型帶來安全挑戰(zhàn)產業(yè)互聯(lián)網(wǎng)時代，安全范疇進一步擴大。攻擊發(fā)起方已經(jīng)從過去個人、單點黑客行為向組織化、系統(tǒng)化、專業(yè)化方向快速蔓延。一方面基礎設施、物理資產、生命安全都將成為比特世界的潛在攻擊對象，安全保障能力成為行業(yè)發(fā)展的“生命線”。另一方面，數(shù)字化貫穿企業(yè)研發(fā)、制造、物流、服務等全流程，安全需求覆蓋全部環(huán)節(jié)，安全能力的強弱程度逐漸成為企業(yè)持續(xù)發(fā)展的“天花板”。引自/6430922966/1807283053引自/articles/325584引自/baijia/2021-05/28/34883896.html07勒索攻擊特征與趨勢研究白皮書（2021）（一）安全是產業(yè)互聯(lián)網(wǎng)的基石數(shù)字經(jīng)濟時代，數(shù)字化加快推動傳統(tǒng)產業(yè)轉型升級。一方面，產業(yè)數(shù)字化促使數(shù)字經(jīng)濟加快進入高級階段，生產效率的提高更加依賴數(shù)據(jù)深度挖掘和全流程打通。另一方面，傳統(tǒng)產業(yè)安全防護能力參差不齊，海量設備接入網(wǎng)絡當中，網(wǎng)絡安全、數(shù)據(jù)安全在全流程應用場景中均涉及。因此，網(wǎng)絡攻擊、勒索攻擊、DDoS攻擊逐漸增多，攻擊面逐漸擴大化。以智能網(wǎng)聯(lián)汽車行業(yè)為例，智能化、網(wǎng)聯(lián)化、共享化、電動化成為行業(yè)主要發(fā)展趨勢，伴隨而來的是大量安全漏洞和遠程控制風險。攻擊者利用車輛自帶的安全系統(tǒng)漏洞對汽車軟硬件部分實施攻擊、竊取并發(fā)送信息甚至遠程控制車輛。一旦發(fā)生安全事故，將對消費者人身安全產生重大風險。（二）基礎設施成為攻擊重點當前，網(wǎng)絡攻擊更加組織化、系統(tǒng)化、專業(yè)化，攻擊范圍向行業(yè)、基礎設施領域拓展，金融、交通、醫(yī)療、城市管理等領域都成為新的攻擊對象。一旦基礎設施遭受攻擊，將導致整個產業(yè)鏈的停擺或癱瘓，甚至影響社會穩(wěn)定。以醫(yī)療衛(wèi)生行業(yè)為例，醫(yī)療數(shù)字化一直08第一章勒索攻擊成為全球新挑戰(zhàn)是社會關注焦點，隨著大量數(shù)字化設備和醫(yī)療設備的廣泛應用，醫(yī)療效率、就醫(yī)體驗、服務精準度都有大幅提升，但也給安全防護和醫(yī)療數(shù)據(jù)安全保護帶來新的挑戰(zhàn)。11%據(jù)媒體報道，2020年，法國有11%的網(wǎng)絡攻擊目標是醫(yī)院系統(tǒng)。2021年2月，法國兩家醫(yī)院連接遭到大規(guī)模勒索攻擊，造成醫(yī)院信息系統(tǒng)癱瘓，部分外科手術被迫推遲，甚至需要手工繪制醫(yī)院排班圖表5。（三）惡意攻擊實時化全面化惡意攻擊不分時間和地點，隨時對目標發(fā)起攻擊，因此，安全投入資源不足、安全監(jiān)測能力較低、安全防御碎片化的企業(yè)和機構，將面臨較大風險。安全防護需要做到前置和未雨綢繆，不論是個人、企業(yè)、還是民用設施、基礎設施都可能成為惡意攻擊的跳板，鏈條中的薄弱環(huán)節(jié)將成為攻擊的重要突破口。美國燃油運輸管道商科洛尼爾遭到勒索攻擊來源：ColonialPipelineCompany

2021年5月，美國最大的燃油運輸管道商科洛尼爾公司遭到勒索攻擊，導致5500英里輸油管系統(tǒng)被迫停運，該管線供應了美國東海岸45%的燃料。網(wǎng)絡攻擊者在短時間內獲取企業(yè)約100G數(shù)據(jù)，并鎖定相關服務器等設備要求支付贖金。能源運輸管道作為國家重要基礎設施，成為越來越多犯罪分子攻擊對象。安全風險逐步從小范圍局部向基礎設施大范圍進行擴散。5引自/omn/20210406/20210406A00LHJ00.html09勒索攻擊特征與趨勢研究白皮書（2021）三、技術破壞式創(chuàng)新帶來安全挑戰(zhàn)一方面，技術創(chuàng)新在造福民眾和提升經(jīng)濟社會效率方面發(fā)揮牽引作用；另一方面，新技術也是一把雙刃劍，容易引發(fā)新的安全風險，給現(xiàn)有安全保障措施帶來巨大挑戰(zhàn)。數(shù)字經(jīng)濟時代，安全的價值和重要性愈發(fā)突出，安全的內涵也在不斷豐富。（一）海量終端與網(wǎng)絡虛擬化帶來更多攻擊面一方面，海量多樣化終端接入網(wǎng)絡。智能終端設備的接入規(guī)模、技術架構的異質化帶來了安全管理難度和復雜度的提升。另一方面，新型網(wǎng)絡架構導致安全邊界模糊。SDN、NFV、云計算和邊緣計算等技術和技術框架的應用帶來了新的攻擊面，在這些新技術研發(fā)中廣泛使用開源代碼，帶來了新的安全設計缺陷和安全漏洞。同時，基于網(wǎng)絡切片端到端邏輯虛擬網(wǎng)絡技術的垂直領域應用，在資源共享、跨領域安全、身份認證和權限控制等方面出現(xiàn)新的安全風險。例如5G的開放性網(wǎng)絡容易遭受攻擊、虛擬化模糊了物理邊界、海量數(shù)據(jù)連接帶來安全風險。（二）破壞式技術創(chuàng)新帶來負面影響技術在給經(jīng)濟社會帶來大量便利和效率提升的同時，破壞式創(chuàng)新也帶來不利影響。一方面，犯罪分子使用新技術工具逐漸增多，對個人、企業(yè)和政府部門帶來損害。根據(jù)世界經(jīng)濟論壇發(fā)布的《2021年全球技術治理報告：在疫情時代利用第四次工業(yè)革命技術》，比特幣支付占2019年第一季度全球勒索事件贖金交付方式的90％以上，尤其是區(qū)塊鏈技術的匿名性使得監(jiān)管部門難以溯源打擊違法犯罪分子。另一方面，新技術應用安全風險難以界定。例如，隨著自動駕駛技術的進一步普及，相關技術落地后產生的安全風險難以界定。自動駕駛汽車發(fā)生交通事故，如何判斷責任方是一個較為復雜的過程，其中涉及汽車制造商、軟件研發(fā)人員、網(wǎng)絡服務商、汽車所有者、使用者以及乘客等多方。10第一章勒索攻擊成為全球新挑戰(zhàn)（三）隱私保護與數(shù)據(jù)共享面臨挑戰(zhàn)當前，數(shù)據(jù)已經(jīng)成為企業(yè)的重要核心資產。能否對數(shù)據(jù)進行有效運用和深度挖掘，成為衡量一家企業(yè)能否創(chuàng)造價值的重要依據(jù)之一。需要意識到，數(shù)據(jù)安全在企業(yè)價值體現(xiàn)面前具有“一票否決”權。技術溢出帶來的風險、算法難解釋性與黑箱性、數(shù)據(jù)質量導致計算結果可控性差、用戶權益與隱私屢遭侵犯等是當前數(shù)據(jù)安全面臨的巨大挑戰(zhàn)。同時，隱私保護和信息共享缺乏統(tǒng)一技術標準和治理框架。四、勒索攻擊帶來的安全風險和挑戰(zhàn)如果勒索攻擊沒有得到有效解決，將會帶來大量潛在風險。一是監(jiān)管風險，以歐盟《通用數(shù)據(jù)保護條例》（GDPR）為例，備份和災難恢復是GDPR的必選項，如果被攻擊的機構沒有按照法規(guī)定期對數(shù)據(jù)進行備份，將會面臨罰款等懲罰措施。二是服務風險，數(shù)據(jù)或文件被加密或泄露，機構將被迫停止其經(jīng)營活動，如果受害機構沒有可以恢復正常運營的備份數(shù)據(jù)，可能會導致客戶的投訴和不滿，最終失去客戶。三是經(jīng)濟風險，數(shù)據(jù)恢復流程長、復雜度高，費用昂貴。恢復已遭破壞的數(shù)據(jù)時需要重新收集數(shù)據(jù)，這使得機構信譽受到質疑，對機構品牌帶來較大損害。重大威脅勒索軟件應用到的關鍵技術6趙子鵬、張奇.解讀重大勒索攻擊事件下的網(wǎng)絡安全態(tài)勢及應對[J].中國信息安全，2021(6):64-67.11勒索攻擊特征與趨勢研究白皮書（2021）02第二章勒索攻擊演進路徑與特征20世紀80年代首個勒索病毒AIDS出現(xiàn)到2021年的30余年間，勒索攻擊經(jīng)歷了萌芽期、活躍期和高發(fā)期三個階段。已經(jīng)形成了分工明確的產業(yè)鏈條，受害用戶和造成的損失與日俱增。世界范圍內，勒索攻擊主要針對能源、電信、醫(yī)療、教育等國民經(jīng)濟重要行業(yè)，已經(jīng)成為網(wǎng)絡安全的主要威脅。一、從勒索病毒向勒索攻擊的轉變1989年，哈佛大學學生約瑟夫·L·波普制作了全球首個勒索病毒—AIDS木馬。這位哈佛高材生將勒索病毒隱藏在軟盤中并分發(fā)給國際衛(wèi)生組織艾滋病大會的參會者。此款勒索病毒會記錄用戶設備重啟次數(shù)，一旦超過90次就會對設備中存儲的文件進行加密，并要求郵寄189美元才能解密重新訪問系統(tǒng)。雖然“名牌大學生惡作劇+郵寄支付贖金”的標簽在今天看來既沒有多大危害，也不夠專業(yè)，但是，該勒索病毒所建立的對經(jīng)濟社會的攻擊模式，在此后的30多年中逐漸演變?yōu)樽屓寺勚兊木W(wǎng)絡攻擊浪潮。21%根據(jù)咨詢機構埃森哲調查顯示，2021年上半年，全球網(wǎng)絡威脅活動16%較去年增長125%。其中，消費品10%與服務、工業(yè)制造業(yè)、銀行業(yè)和旅9%游與酒店業(yè)成為主要被攻擊對象，占比分別為21%、16%、10%、23%9%。聚焦在勒索攻擊領域，勒索攻17%擊最常針對的行業(yè)是保險、消費品和服務、電信，占比分別為23%、16%17%、16%，三者總計占比達到56%。受害企業(yè)按照年收入分布來看，10-99億美元的公司占比超過10-9945%45%，年收入在100-200億美元的20%企業(yè)占比20%。100-20012第二章勒索攻擊演進路徑與特征勒索攻擊發(fā)展歷程并不長，在30多年的發(fā)展過程中，主要經(jīng)歷三個階段：萌芽期。1989至2009年是勒索攻擊的萌芽期。在這20年中，勒索攻擊處于起步階段，勒索攻擊軟件數(shù)量增長較為緩慢，且攻擊力度小、危害程度低。2006年甚至更早，出現(xiàn)了使用RSA非對稱加密算法的勒索病毒GPcode，其密碼長度更長，在此基礎上還衍生出諸如Gpcode.AK的變種，使得勒索病毒的破解難度急劇增加。同年，中國大陸首次遭到名為“Redplus”的勒索病毒的入侵，勒索金額從70到200元不等。活躍期。2010年以后，勒索攻擊進入活躍期，幾乎每年都有勒索軟件的變種出現(xiàn)，其攻擊范圍不斷擴大、攻擊手段持續(xù)翻新，此階段的勒索攻擊事件大多分散發(fā)生，勒索軟件本身并不具有主動擴散的能力。2013年9月，Cryptolocker勒索病毒的出現(xiàn)標志著以比特幣為贖金支付方式時代的來臨，此后很長一段時間內沒有有效的解密被感染文件的手段，黑客團伙據(jù)此賺取近41000枚比特幣（市值為10億美元）。自此之后，越來越多的攻擊者要求以比特幣形式支付贖金。2014年，出現(xiàn)了第一個真正意義上針對Android平臺的勒索攻擊軟件，標志著攻擊者的注意力開始向移動互聯(lián)網(wǎng)和智能終端轉移。高發(fā)期。勒索攻擊在2015年后進入高發(fā)期，此階段勒索攻擊已呈現(xiàn)產業(yè)化、家族化的特點，勒索軟件作者、勒索者、傳播

198920092010201413勒索攻擊特征與趨勢研究白皮書（2021）渠道商和解密代理四個角色分工明確，共同2015發(fā)起一次完整的勒索攻擊事件。2017年，WannaCry勒索攻擊在全球范圍內大規(guī)模爆發(fā)，至少150個國家、30萬名用戶受害，共計造成超過80億美元的損失，至此勒索攻擊正式走入大眾視野并引發(fā)全球關注。二、勒索攻擊形式與傳播渠道的變化在勒索攻擊形式方面，目前主要有文件加密、數(shù)據(jù)竊取、系統(tǒng)加密和屏幕鎖定等四種主要的形式。一是文件加密，這是最典型的攻擊形式，攻擊者通過對用戶文件進行加密來索要贖金，文件一旦被感染極難恢復。二是數(shù)據(jù)竊密，數(shù)據(jù)竊密與文件加密相類似，即使用多種加密算法來給用戶數(shù)據(jù)加密，攻擊者以威脅公開重要數(shù)據(jù)來脅迫受害者支付贖金。三是系統(tǒng)加密，主要是通過加密算法對系統(tǒng)磁盤主引導記錄、卷引導記錄進行加密來阻止用戶訪問磁盤，影響用戶正常使用設備。四是屏幕鎖定，相對其他三種攻擊形式，屏幕鎖定危害較輕，主要迫使用戶無法登錄和使用設備，數(shù)據(jù)具備可恢復的可能。勒索攻擊形式14第二章勒索攻擊演進路徑與特征在勒索攻擊傳播方面，釣魚郵件、安全漏洞、網(wǎng)站掛馬、移動介質是較為常見的方式， 勒索攻擊傳播同時，軟件供應鏈、遠程桌面也成為新的傳播渠道。具體來看，一是安全漏洞，攻擊者通過弱口令、遠程代碼執(zhí)行等安全漏洞來入侵受害者內部網(wǎng)絡，從而發(fā)起攻擊。二是釣魚郵件，攻擊者把勒索軟件內嵌在郵件文檔、圖片等附件中，或者將勒索惡意鏈接寫入釣魚郵件正文，誘發(fā)用戶點擊。三是移動介質，攻擊者通過U盤、移動硬盤等移動存儲介質，并創(chuàng)建移動介質盤符或圖標等快捷方式，誘導用戶進行點擊。四是軟件供應鏈，攻擊者利用用戶對軟件供應商的信任關系，通過軟件供應鏈的分發(fā)和更新等機制來發(fā)起勒索攻擊。五是遠程桌面，攻擊者利用弱口令暴力破解等方式獲取攻擊目標服務器遠程登錄信息，進而通過遠程桌面登錄服務器植入勒索病毒。在勒索攻擊實施階段方面，探測偵查、攻擊入侵、病毒植入和實施勒索4個方面是勒索攻擊實施階段 主要的攻擊階段。一是探測偵查，攻擊者首先需要收集攻擊目標，一般通過主動掃描、網(wǎng)絡釣魚以及暗網(wǎng)購買等方式，來收集攻擊目標信息，從而發(fā)現(xiàn)被攻擊者存在的安全隱患。二是攻擊入侵，攻擊者根據(jù)發(fā)現(xiàn)的漏洞作為網(wǎng)絡攻擊突破口，并部署相應的攻擊資源。同時，采用合適的攻擊工具來獲取訪問權限。三是病毒植入，攻擊者通過惡意賬本、動態(tài)鏈接庫DLL等部署勒索病毒，以此來規(guī)避軟件監(jiān)測，并利用文件共享協(xié)議等方式來橫向移動，擴大感染范圍。四是實施勒索，攻擊者通過加載勒索信息來索要數(shù)據(jù)，勒索信息包括聯(lián)系方式、支付贖金等內容。15勒索攻擊特征與趨勢研究白皮書（2021）三、勒索攻擊事件數(shù)量不斷增加如今，勒索軟件已經(jīng)成為一個全球性問題，而且勒索攻擊事件的數(shù)量也不斷攀升，自2018年以來，勒索軟件攻擊數(shù)量猛增了350%。根據(jù)澳大利亞信息專員辦公室（OAIC）的一份報告，與2020年下半年相比，2021年上半年，由勒索軟件攻擊引起的數(shù)據(jù)泄露事件增長了24%。勒索攻擊不僅帶來了代價高昂的服務中斷，還直接威脅政治安全、經(jīng)濟安全、科技安全等各個方面。近年來全球典型勒索攻擊匯總表名稱出現(xiàn)時間特點典型受害企業(yè)WannaCry2017.5蠕蟲擴散傳播和勒索軟件全球150多個國家和地區(qū)的20萬臺電腦設備受感染。加密文件雙重功能，比特美國波音飛機生產工廠、全球知名半導體廠商臺積電幣支付NotPetya2017.6加密和鎖死整個硬盤，從全球領先的助聽器制造商Demant、航運巨頭馬士基、內存提取密碼快遞服務商聯(lián)邦快遞、俄羅斯最大石油企業(yè)RosneftBitPaymer2017針對大型公司，攻擊行業(yè)全球知名自動化工具生產商之一皮爾茲（Pilz）、蘇的供應鏈解決方案提供商格蘭醫(yī)院、美國阿拉斯加自治市政府、美國飲料供應商-亞利桑那飲料公司Ryuk2018.8對大型企業(yè)定向攻擊全球知名自動化工具生產商之一皮爾茲（Pilz）、蘇格蘭醫(yī)院、美國阿拉斯加自治市政府、美國飲料供應商-亞利桑那飲料公司Ryuk2018.8對大型企業(yè)定向攻擊美國通用健康服務公司、法國IT巨頭SopraSteriaMaze2019.4針對專業(yè)部門，攻擊北美美國跨國IT服務商Cognizant、美國軍事承包商和歐洲組織WestechInternationl、佳能Sodinokibi2019.5通過混合方式發(fā)動攻擊，阿根廷電信公司、美國烈酒和葡萄酒行業(yè)Brown-對國內系統(tǒng)做定制化操作Forman公司NetWalker2019.8針對政企、醫(yī)療組織和遠阿根廷移民局程辦公員工，利用系統(tǒng)內工具攻擊Ekans2019.12依靠釣魚郵件傳播澳大利亞航運及物流公司W(wǎng)astedLocker2020.4針對高價值企業(yè)健身追蹤器、智能手表和GPS產品制造商Garmin16第二章勒索攻擊演進路徑與特征名稱出現(xiàn)時間特點典型受害企業(yè)Avaddon2020.6以垃圾郵件傳播保險巨頭安盛集團Revil-加密所有文件，通過比特智利國家銀行、中國臺灣PC巨頭宏基(Acer）、幣支付贖金全球最大肉制品供應商JBS、美國核武供應商SolOwriens公司、日本富士、美國IT管理軟件開發(fā)商KaseyaDarkside2020.8以RaaS模式運作，具有美國最大的燃料管道運營商ColonialWindows和Linux雙平臺攻擊能力，只針對大型盈利性公司RansomEXX 2020.6 通過購買憑證、暴力破解RDP服務器、利用安全漏洞等方式入侵，出現(xiàn)Linux版本

巴西政府網(wǎng)絡、得克薩斯州交通部（TxDOT）、柯尼卡美能達、IPGPhotonics、TylerTechnologies、厄瓜多爾最大網(wǎng)絡運營商CNT數(shù)據(jù)來源：根據(jù)公開信息整理2021年以來，勒索攻擊事件頻發(fā)。以美國為例，2021年5月以來，美國頻繁遭遇勒索病毒攻擊，有媒體甚至用“囂張”兩個字形容這一現(xiàn)象。而且，勒索的攻擊對象范圍不斷擴大，醫(yī)院、交通、食品、管道運輸?shù)刃袠I(yè)和領域，都成為其攻擊的對象。2021.012021年1月，首款2021年面世的勒索軟件BabukLocker在新年伊始攻擊了5家企業(yè)。其開出的贖金價格（要求以比特幣支付）在60,000美元到85,000美元之間。60,000 85,0002021.022021年2月，據(jù)BleepingComputer報道，起亞汽車美國公司（KMA）疑似遭受了DoppelPaymer團伙的勒索軟件攻擊，攻擊者要求提供2000萬美元贖金解密數(shù)據(jù)，以及防止被盜數(shù)據(jù)泄露。此前，BleepingComputer報道起亞汽車美國正在遭受全國性IT系統(tǒng)中斷，受影響系統(tǒng)包括移動UVOLink應用程序、電話服務、支付系統(tǒng)、用戶門戶以及經(jīng)銷商使用的內部站點。17勒索攻擊特征與趨勢研究白皮書（2021）2021.032021年3月，REvil勒索軟件團伙在其數(shù)據(jù)泄露站點上宣布，他們已經(jīng)成功入侵宏碁電腦公司的系統(tǒng)，并同時公布了幾張作為證據(jù)的被盜文件截圖，包括關于財務電子表格、銀行結余以及銀行往來信息的文檔等。3月，澳大利亞最大的電視網(wǎng)絡之一九號電視臺，在官方網(wǎng)站上披露遭受網(wǎng)絡攻擊，導致生產系統(tǒng)被迫下線。2021.042021年4月，荷蘭BakkerLogistiek公司遭遇勒索軟件攻擊，業(yè)務網(wǎng)絡上的設備被對方加密，食品運輸與配送體系也隨之癱瘓，多地超市發(fā)生食品斷貨。4月，BabukLocker勒索團伙宣稱，他們已經(jīng)從美國哥倫比亞特區(qū)警局的服務器上總計下載到超250GB數(shù)據(jù)。該團伙隨后主動聯(lián)系警局，要求對方三天之內回應勒索要求。如果不支付贖金，他們將對外公布該警局的秘密檔案。4月，REvil勒索軟件團伙向蘋果公司提出贖金要求，否則就將機密信息發(fā)上暗網(wǎng)。REvil團伙稱，他們已經(jīng)成功入侵中國臺灣廣達電腦公司。遵循勒索活動的一貫套路，REvil團伙在某暗網(wǎng)門戶網(wǎng)站上發(fā)表帖子，表示廣達電腦拒絕贖回這批失竊數(shù)據(jù)，因此REvil決定轉而將矛頭指向信息內容涉及的各家主要客戶。REvil團伙共發(fā)布了21張MacBook產品設計圖，并威脅除非蘋果或廣達電腦支付贖金，否則他們將每天披露更多新數(shù)據(jù)。此外，該勒索軟件團伙還暗示，他們有意將這批數(shù)據(jù)出售給多家公司。4月，英國城市鐵路運營商默西鐵路（Merseyrail）證實，遭受勒索軟件攻擊。攻擊方甚至使用該公司內部電子郵件系統(tǒng)，向員工及記者發(fā)送了關于勒索活動的說明郵件。2021.052021年5月，美國最大燃油管道商Colonial遭受勒索攻擊后被迫關閉。5月，美國水務公司W(wǎng)SSCWater稱，其系統(tǒng)遭到了勒索軟件攻擊。5月，專為歐洲能源及基礎設施企業(yè)提供技術方案的挪威公司Volue遭遇勒索軟件攻擊。勒索軟件關閉了挪威國內200座城市的供水與水處理設施的應用程序，影響范圍覆蓋全國約85%的居民。182021.062021.072021.08

第二章勒索攻擊演進路徑與特征2021年6月，據(jù)美國華盛頓“?？怂?5”電視臺報道，華盛頓大都會警察局（MPD）的服務器被名為Babuk的黑客團伙入侵。Babuk向警方索要400萬美元的贖金，否則將公布250GBMPD機密文件。6月，全球最大肉類生產商巴西JBS集團美國分公司的CEO表示，該公司向網(wǎng)絡犯罪分子支付了價值1100萬美元的比特幣贖金，以解決所遭受的網(wǎng)絡攻擊，這次攻擊迫使該公司暫時關閉了加工美國約五分之一肉類產品的工廠。6月，中國臺灣內存和存儲制造商威剛表示，在5月下旬網(wǎng)絡被攻擊后，勒索軟件的再次攻擊迫使其系統(tǒng)脫機。6月，美國最大傳媒集團之一考克斯媒體集團（CoxMedia）旗下廣播和電視臺遭遇勒索軟件攻擊，導致直播流被迫中斷。這次事件影響到考克斯媒體資產中的內部網(wǎng)絡與實時流媒體功能，令網(wǎng)絡流媒體與移動應用業(yè)務無法正常運轉。6月，勒索軟件攻擊令美國馬薩諸塞州的最大輪渡服務商SteamshipAuthority遭遇班次延誤與中斷，擾亂了馬撒葡萄園島與楠塔基特群島同美國大陸之間的輪渡交通。6月，日本富士公司宣布正在調查勒索軟件攻擊，并關閉了部分網(wǎng)絡以防止攻擊蔓延。2021年7月，為4萬多家組織提供服務的美國IT管理軟件廠商Kaseya披露，它們已經(jīng)淪為“復雜網(wǎng)絡攻擊”的受害者。這導致包括瑞典最大雜貨零售品牌在內的全球數(shù)百家企業(yè)，啟動緊急應急響應，以應對潛在的違規(guī)漏洞。7月，英國地方公共鐵路運營商北方鐵路（NorthernTrains）遭遇服務宕機，自助售票亭無法正常運行，官方稱遭到了勒索軟件的突然襲擊。7月，厄瓜多爾最大的網(wǎng)絡運營商國家電信（CNT）遭遇勒索軟件攻擊，業(yè)務運營、支付門戶及客戶支持全部陷入癱瘓。2021年8月，勒索軟件團伙LockBit發(fā)布公告稱，已攻破咨詢巨頭埃森哲內網(wǎng)，竊取了一批內部數(shù)據(jù)；埃森哲隨后承認，確實遭到勒索軟件攻擊，但公司運營未受到影響，相關系統(tǒng)已通19勒索攻擊特征與趨勢研究白皮書（2021）過備份副本恢復。8月，日本跨國保險公司東京海上控股（TokioMarineHoldings）披露稱，新加坡分公司新加坡東京海上保險（TMiS）遭受勒索軟件攻擊。8月，巴西政府發(fā)布聲明稱，巴西國庫（NationalTreasury）遭遇勒索軟件攻擊。巴西經(jīng)濟部表示，他們立即采取了相關措施，以遏制網(wǎng)絡攻擊引發(fā)的影響。8月，美國醫(yī)療連鎖機構MemorialHealthSystem遭遇勒索軟件攻擊，致使IT系統(tǒng)癱瘓，旗下三家醫(yī)院無法正常運營。8月，中國臺灣電腦巨頭技嘉遭勒索軟件攻擊，上百GB數(shù)據(jù)失竊。2021.092021年9月，南非司法與憲法發(fā)展部所有系統(tǒng)被勒索軟件攻擊者加密，所有系統(tǒng)被鎖死，內部員工及公眾均無法使用，運營陷入“手動”。9月，歐洲呼叫中心巨頭Covisian的西班牙與南美洲分部GSS遭勒索，多個關基組織客服中斷。9月，美國第二家農業(yè)合作社CrystalValley系統(tǒng)遭遇到勒索軟件攻擊，位于愛荷華州的農場服務供應商NEWCooperative也遇到勒索軟件攻擊。9月，日本科技巨頭奧林巴斯遭到勒索攻擊導致部分網(wǎng)絡關閉。2021.102021年10月，蘇格蘭跨國工程企業(yè)偉爾集團（WeirGroup）披露了一項“勒索軟件攻擊企圖”，稱該事件導致了今年9月的“重大臨時中斷”。從上述勒索攻擊事件可以看出，勒索攻擊事件發(fā)生的頻率不斷攀高，其所涉及的行業(yè)和領域也不斷擴展，例如金融領域已經(jīng)成為勒索攻擊的重災區(qū)之一。根據(jù)美國財政部當?shù)貢r間2021年10月15日發(fā)布的一份報告，截至2021年6月，金融機構已經(jīng)向金融犯罪執(zhí)法網(wǎng)絡報告了635起與勒索軟件相關的可疑活動，比2020年報告的所有活動增加了30%。20第二章勒索攻擊演進路徑與特征四、勒索攻擊事件支付成本大幅攀升勒索軟件攻擊不僅變得越來越頻繁，而且成本也越來越高。遭遇勒索攻擊的當事方出于各種原因，不得不選擇交付贖金以重新恢復正常的秩序。勒索攻擊交易數(shù)額導致受攻擊對象支付成本增加。根據(jù)美國財政部當?shù)貢r間2021年10月15日發(fā)布的一份報告，2021年報告的總價值為5.9億美元，平均每月6640萬美元，2020年全年的總價值為4.16億美元。網(wǎng)絡保險公司的數(shù)據(jù)表明，勒索軟件攻擊不僅變得越來越頻繁，而且成本也越來越高，遭勒索且索賠的案件也呈上升趨勢。據(jù)報道，今年5月，REvil公司因攻擊全球肉類供應商JBS公司獲得了1100萬美元贖金收入。隨后，該組織在7月攻擊了軟件公司卡西亞（Kaseya），導致這家公司數(shù)百名客戶無法工作，有些甚至長達數(shù)月。另一個組織“黑暗面”（DarkSide）的黑客敲詐了美國燃料供應商科洛尼爾（ColonialPipeline）數(shù)百萬美元，引發(fā)了對可能出現(xiàn)的天然氣短缺的恐慌。勒索攻擊事件增加促使各國加大應對勒索攻擊財政投入。勒索攻擊事件導致的支付成本增加，促使各國政府不得不考慮通過增加財政投入改善網(wǎng)絡安全狀況，甚至考慮幫助受到勒索攻擊方恢復正常秩序。為應對風險，澳大利亞政府已通過澳大利亞《2020年網(wǎng)絡安全戰(zhàn)略》批準了為期十年的16.7億澳元（12.3億美元）的投資，其中勒索軟件計劃是該項投資的一部分。在這部分投資中，有大約一半的份額用于雇傭另外100名AFP特工。新的工作組將承擔識別、調查和鎖定網(wǎng)絡犯罪分子的角色。在澳大利亞政府尋求通過的《2021年監(jiān)視立法修正案》中，在支持受害者內容方面，還包括610萬澳元（450萬美元），用于幫助企業(yè)從災難性的網(wǎng)絡攻擊中恢復，并培訓中小企業(yè)如何改善其網(wǎng)絡安全狀況。21勒索攻擊特征與趨勢研究白皮書（2021）五、各國加速調整反勒索相關立法勒索軟件造成的數(shù)據(jù)安全事件頻發(fā)，成為各國共同面臨的挑戰(zhàn)，對勒索軟件進行立法規(guī)制的需要已經(jīng)刻不容緩。2016.09美國加州通過參議院第1137號法案（SenateBillNo.1137-Chapter725）修訂了《刑法典》第節(jié)2017.09美國國家標準技術研究院發(fā)布幫助遭受勒索軟件攻擊的企業(yè)制定數(shù)據(jù)恢復計劃的專門指南2020.09NIST發(fā)布了新的《數(shù)據(jù)完整性恢復指南（SP）1800-11》2021.03美國商務部《確保信息和通信技術及服務供應鏈安全》

（一）美國2016年9月，美國加州通過參議院第1137號法案（SenateBillNo.1137-Chapter725），修訂了《刑法典》第523節(jié)，在法律層面明確了實施勒索軟件行為的刑事責任，規(guī)定以獲取錢財或其他利益為目的，直接放置或感染勒索軟件，或者指使、引誘他人這樣做，從而將勒索軟件感染到計算機、計算機系統(tǒng)或計算機網(wǎng)絡中，在獲取利益后為受感染者提供移除或其他方式的恢復服務的，將視情節(jié)處以2至4年的監(jiān)禁。2017年9月，美國國家標準技術研究院（NationalInstituteofStandardsandTechnology，NIST）發(fā)布了幫助遭受勒索軟件攻擊的企業(yè)制定數(shù)據(jù)恢復計劃的專門指南，提供了包括高級架構、實現(xiàn)案例、安全特性分析等正確處理勒索軟件攻擊的方法建議。2020年9月，NIST發(fā)布了新的《數(shù)據(jù)完整性恢復指南（SP）1800-11》7，幫助組織制定從影響數(shù)據(jù)完整性的攻擊中恢復的策略，恢復并維持運營及管理企業(yè)風險。在遭遇“太陽風”（SolarWinds）大型供應鏈安全事件后，美國又緊急出臺了一系列有關供應鏈安全的政策法規(guī)。2021年月，美國商務部《確保信息和通信技術及服務供應鏈安全》（SecuringtheInformationandCommunicationsTechnologyandServicesSupplyChain）8生效，要求對半導體芯片等四類供應鏈產品開展審查，并在一年內完成對美國國防、通信科技、能源等六大部門的生產供應鏈進行風險評估，提出改善措施。/nistpubs/SpecialPublications/NIST.SP.1800-11.pdf8/content/pkg/FR-2021-01-19/pdf/2021-01234.pdf22第二章勒索攻擊演進路徑與特征2021.04美國網(wǎng)絡安全基礎設施安全局和NIST聯(lián)合發(fā)布《防御軟件供應鏈攻擊》2021.05美國總統(tǒng)簽署《關于改善國家網(wǎng)絡安全的行政命令》2021.06美國參議院通過《2021年美國創(chuàng)新和競爭法案》網(wǎng)絡安全的行政命令》美國白宮針對企業(yè)發(fā)布避免勒索軟件備忘錄美國司法部提交《關于勒索軟件和數(shù)字勒索調查和案件的指導意見》備忘錄2021.07美國眾議院通過《國土安全部工業(yè)控制系統(tǒng)能力增強法案》

2021年4月，美國網(wǎng)絡安全和基礎設施安全局（CybersecurityandInfrastructureSecurityAgency，CISA）和NIST聯(lián)合發(fā)布《防御軟件供應鏈攻擊》（DefendingAgainstSoftwareSupplyChainAttacks）9報告，描述了與軟件供應鏈攻擊相關的信息、關聯(lián)風險及緩解措施。2021年5月，美國總統(tǒng)簽署的《關于改善國家網(wǎng)絡安全的行政命令》（ExecutiveOrderonImprovingtheNation’sCybersecurity）10要求，聯(lián)邦政府采取行動確保軟件供應鏈的安全性和完整性，其中包括要求向政府出售的軟件必須符合基準安全標準，并引入軟件物料清單。2021年6月，美國參議院在通過的《2021年美國創(chuàng)新和競爭法案》（TheUnitedStatesInnovationandCompetitionActof2021）11也提到要推進“彈性供應鏈戰(zhàn)略”、幫助美國公司“獲得穩(wěn)定可控的全球供應鏈”等，從而確保美國在供應鏈安全方面的領導地位，減少網(wǎng)絡攻擊的產生。同月，美國白宮針對企業(yè)發(fā)布避免勒索軟件備忘錄，總統(tǒng)府助理、負責網(wǎng)絡和新興技術的副國家安全顧問安妮·諾伊伯格（AnneNeuberger）指出：“所有組織都必須認識到，任何公司都不能成為勒索軟件的目標”，敦促商界領袖“立即召集他們的領導團隊討論勒索軟件的威脅”，并在他們受到攻擊時加強安全措施和連續(xù)性計劃，并列出了一系列最佳實踐和建議，從創(chuàng)建數(shù)據(jù)備份到及時的系統(tǒng)補丁、第三方網(wǎng)絡安全審查和分段網(wǎng)絡。同月，美國司法部提交《關于勒索軟件和數(shù)字勒索調查和案件的指導意見》備忘錄，旨在通過一系列安全指令實踐來阻止勒索軟件感染、數(shù)據(jù)盜竊和向網(wǎng)絡犯罪集團支付巨額款項等違法行為。2021年7月，美國眾議院通過了一系列涉及反勒索軟件的立法。一是《國土安全部工業(yè)控制系統(tǒng)能力增強法案》（HR1833-DHSIndustrialControlSystemsCapabilitiesEnhancementActof/sites/default/files/publications/defending_against_software_supply_chain_attacks_508.pdf/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity//imo/media/doc/USICA%20Summary%205.18.21.pdf23勒索攻擊特征與趨勢研究白皮書（2021）《網(wǎng)絡安全漏洞修補法案》《CISA網(wǎng)絡演習法案》《州和地方網(wǎng)絡安全改善法案》《國土安全關鍵領域法案》2021.08美國國土安全部CISA發(fā)布《保護敏感信息和個人信息免受勒索軟件導致的數(shù)據(jù)泄露》

2021）12。目前，該法案已在參議院獲得兩黨支持。該法案要求國土安全部的網(wǎng)絡安全和基礎設施安全局（CISA）帶頭更好地識別和減輕對ICS基礎設施的威脅。二是《網(wǎng)絡安全漏洞修補法案》（HR2980-CybersecurityVulnerabilityRemediationAct）13，重點關注關鍵基礎設施。該法案旨在授權美國國土安全部（DHS）的網(wǎng)絡安全和基礎設施安全局(CISA)協(xié)助關鍵基礎設施的所有者和運營商制定針對嚴重漏洞的緩解策略。該法案涵蓋了IT和OT系統(tǒng)中的漏洞，以及不再被支持的硬件或軟件中的安全漏洞。它還授權國土安全部為識別IT和ICS產品漏洞的補救方案引入競爭機制。三是《CISA網(wǎng)絡演習法案》（HR3223-CISACyberExerciseAct）14。該法案在CISA內部建立了一個項目，旨在促進對針對關鍵基礎設施的網(wǎng)絡攻擊的準備和恢復能力的定期測試和評估。演習將模擬網(wǎng)絡攻擊對政府或關鍵基礎設施網(wǎng)絡的重大影響，并將幫助組織提高準備和事件響應能力。四是《州和地方網(wǎng)絡安全改善法案》(HR3138-StateandLocalCybersecurityImprovementAct)15。該法案將創(chuàng)建一個每年5億美元的撥款項目，由國土安全部運營，以幫助各州和地方政府改善網(wǎng)絡安全。該法案還將創(chuàng)建一個州和地方網(wǎng)絡安全彈性委員會，以確保國土安全部的網(wǎng)絡安全和基礎設施安全局與州、地方、部落和地區(qū)政府之間就其網(wǎng)絡需求進行持續(xù)的對話。五是《國土安全關鍵領域法案》（HR3264-theDomainsCriticaltoHomelandSecurityAct）16。該法案授權國土安全部識別對經(jīng)濟安全至關重要的領域的供應鏈風險。雖然它沒有特別提到網(wǎng)絡，但它可能適用于這個領域。該法案的摘要解釋說，“該法案將美國經(jīng)濟安全的關鍵領域定義為對美國經(jīng)濟安全至關重要的關鍵基礎設施和其他相關產業(yè)、技術和知識產權，或它們的任何組合?！?021年8月，美國國土安全部CISA發(fā)布有關如何防止勒索軟件數(shù)據(jù)泄露的指南，名為《保護敏感信息和個人信息免受勒索/billsthisweek/20210719/BILLS-117hr1833-SUS.pdf/billsthisweek/20210719/BILLS-117hr2980-SUS.pdf/billsthisweek/20210719/BILLS-117hr3223-SUS.pdf/billsthisweek/20210719/BILLS-117hr3138-SUS.pdf/billsthisweek/20210719/BILLS-117hr3264-SUS.pdf24第二章勒索攻擊演進路徑與特征2021.10美國參議員提出《贖金披露法草案》2021.05.24澳洲政府公開表示正在考慮制定政策2021.08.12澳大利亞工黨在參議院重新提出《勒索軟件法案》

軟件導致的數(shù)據(jù)泄露》17。該文件建議公司如果成為勒索軟件攻擊的目標，不要支付贖金。根據(jù)該機構的文件，為防止成為勒索軟件攻擊的受害者，企業(yè)應采取如下步驟：解決面向互聯(lián)網(wǎng)的漏洞和錯誤配置，減少攻擊者利用這一攻擊面的可能性；制定、維護和行使基本的網(wǎng)絡事件響應計劃、彈性戰(zhàn)略和相關的通信計劃；保持數(shù)據(jù)的離線、加密副本，并定期驗證備份；減少收到網(wǎng)絡釣魚郵件的可能性；堅持正確的網(wǎng)絡健康準則。2021年10月，美國參議員伊麗莎白·沃倫（ElizabethWarren）和眾議員德博拉·羅斯（DeborahRoss）提出《贖金披露法草案》（RansomDisclosureAct）18。草案要求勒索軟件受害者（不包括個人）在支付贖金之日起48小時內披露有關贖金支付的信息，包括要求和支付的贖金金額、用于支付贖金的貨幣類型以及有關勒索軟件的任何已知信息；要求贖金的實體；要求國土安全部公開上一年披露的信息，不包括支付贖金實體的身份信息；要求國土安全部建立個人可以自愿報告贖金支付情況的網(wǎng)站；指示國土安全部部長對勒索軟件攻擊之間的共性以及加密貨幣促進這些攻擊的程度進行研究，并為保護信息系統(tǒng)和加強網(wǎng)絡安全提供建議。（二）澳大利亞2021年5月24日，澳洲政府公開表示正在考慮制定政策，要求因遭到網(wǎng)絡攻擊而支付贖金的企業(yè)向政府報告。2021年8月12日，澳大利亞工黨在參議院重新提出《勒索軟件法案》19，如果該法案獲得通過，將要求企業(yè)和政府在為應對網(wǎng)絡攻擊而支付勒索軟件費用之前通知澳大利亞網(wǎng)絡安全中心。為了進一步加強調查和破壞勒索軟件攻擊的能力，澳大利亞/sites/default/files/publications/CISA_Fact_Sheet-Protecting_Sensitive_and_Personal_Information_from_Ransomware-Caused_Data_Breaches-508C.pdf/imo/media/doc/DUN21766.pdf/knews/24/1140.html25勒索攻擊特征與趨勢研究白皮書（2021）針對敲詐勒索信息網(wǎng)絡技術支持和幫助、制作傳播計算機病毒等危害網(wǎng)絡安全方面的規(guī)定較為完善1997.03《刑法》及后續(xù)歷次修正案2000.04《計算機病毒防治管理辦法》2005《治安管理處罰法》29條

政府還在尋求通過《2021年監(jiān)視立法修正案》以獲得新的權力。根據(jù)這項新立法，澳大利亞聯(lián)邦警察（AFP）和澳大利亞刑事情報委員會（ACIC）將有權刪除或刪除與涉嫌犯罪活動有關的數(shù)據(jù)，允許訪問設備和網(wǎng)絡，甚至允許為了調查目的接管在線賬戶。這些新權限將允許執(zhí)法部門刪除在勒索軟件攻擊中竊取的數(shù)據(jù)，以及存儲在攻擊者操作的服務器上用于雙重勒索的數(shù)據(jù)。通過刪除這些數(shù)據(jù)，執(zhí)法部門希望在受害者不支付贖金的情況下防止?jié)撛诘臄?shù)據(jù)泄露。（三）中國在我國，勒索攻擊事件頻發(fā)，對人民生產生活造成了嚴重的影響。從法律法規(guī)角度，完善的相關法律法規(guī)是打擊勒索攻擊的第一步。目前，我國現(xiàn)行法律沒有針對勒索軟件的專門性規(guī)定，但是，針對敲詐勒索、信息網(wǎng)絡技術支持和幫助、制作傳播計算機病毒等危害網(wǎng)絡安全方面的規(guī)定較為完善。1997年3月的《刑法》及后續(xù)歷次修正案，在第274條規(guī)定了敲詐勒索罪，第285條規(guī)定了非法侵入計算機信息系統(tǒng)罪、非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪、非法控制計算機信息系統(tǒng)罪和提供侵入、非法控制計算機信息系統(tǒng)程序、工具罪；第286條將計算機病毒作為破壞性程序的一種，第287條之一規(guī)定了非法利用信息網(wǎng)絡罪，287條之二規(guī)定了幫助信息網(wǎng)絡犯罪活動罪。2000年4月，《計算機病毒防治管理辦法》明確規(guī)定，任何單位和個人不得制作、傳播計算機病毒，并規(guī)定了相應的警告、罰款、沒收非法所得等行政處罰。2005年，《治安管理處罰法》第29條規(guī)定故意制作、傳播計算機病毒等破壞性程序，影響計算機信息系統(tǒng)正常運行的，可予以十日以下拘留。2011年8月，《最高人民法院、最高人民檢察院關于辦理26第二章勒索攻擊演進路徑與特征2011.08《最高人民法院、最高人民檢察院關于辦理危害計算機信息系統(tǒng)安全刑事案件應用法律若干問題的解釋》第5條2013.04《最高人民法院、最高人民檢察院關于辦理敲詐勒索刑事案件適用法律若干問題的解釋》2016.11《網(wǎng)絡安全法》2021.06《數(shù)據(jù)安全法》

危害計算機信息系統(tǒng)安全刑事案件應用法律若干問題的解釋》第條界定了破壞性程序的范圍，包括：（1）能夠通過網(wǎng)絡、存儲介質、文件等媒介，將自身的部分、全部或者變種進行復制、傳播，并破壞計算機系統(tǒng)功能、數(shù)據(jù)或者應用程序的；（2）能夠在預先設定條件下自動觸發(fā)，并破壞計算機系統(tǒng)功能、數(shù)據(jù)或者應用程序的；（3）其他專門設計用于破壞計算機系統(tǒng)功能、數(shù)據(jù)或者應用程序的程序。2013年4月，《最高人民法院、最高人民檢察院關于辦理敲詐勒索刑事案件適用法律若干問題的解釋》明確了量刑標準，并在第7條規(guī)定：明知他人實施敲詐勒索犯罪，為其網(wǎng)絡技術支持等提供幫助的，以共同犯罪論處。2016年11月，《網(wǎng)絡安全法》出臺，促進了網(wǎng)絡安全等級保護制度的全面開展。該法規(guī)定，網(wǎng)絡運營者應當按照網(wǎng)絡安全等級保護制度的要求，履行多項安全保護義務，保障網(wǎng)絡免受干擾、破壞或者未經(jīng)授權的訪問，防止網(wǎng)絡數(shù)據(jù)泄露或者被竊取、篡改。明確要求任何個人和組織不得從事非法侵入他人網(wǎng)絡、干擾他人網(wǎng)絡正常功能、竊取網(wǎng)絡數(shù)據(jù)等危害網(wǎng)絡安全的活動；不得提供專門用于從事侵入網(wǎng)絡、干擾網(wǎng)絡正常功能及防護措施、竊取網(wǎng)絡數(shù)據(jù)等危害網(wǎng)絡安全活動的程序、工具；明知他人從事危害網(wǎng)絡安全的活動的，不得為其提供技術支持、廣告推廣、支付結算等幫助。同時，要求網(wǎng)絡運營者應當制定網(wǎng)絡安全事件應急預案，及時處置系統(tǒng)漏洞、計算機病毒、網(wǎng)絡攻擊、網(wǎng)絡侵入等安全風險；在發(fā)生危害網(wǎng)絡安全的事件時，立即啟動應急預案，采取相應的補救措施，并按照規(guī)定向有關主管部門報告。該法建立了較為全面的管理制度遏制勒索病毒。2021年6月，《數(shù)據(jù)安全法》公布，進一步加強了數(shù)據(jù)安全領域基礎性制度的建設，其中第三十二條規(guī)定：“任何組織、個人收集數(shù)據(jù)，應當采取合法、正當?shù)姆绞剑坏酶`取或者以其他非法方式獲取數(shù)據(jù)”。同時，第五十一條規(guī)定：“禁止以竊取27勒索攻擊特征與趨勢研究白皮書（2021）2021.07工信部、國家互聯(lián)網(wǎng)信息辦公室、公安部聯(lián)合發(fā)布《網(wǎng)絡產品安全漏洞管理規(guī)定》國家互聯(lián)網(wǎng)應急中心發(fā)布《勒索軟件防范指南》2021.08國務院發(fā)布《關鍵信息基礎設施安全保護條例》《個人信息保護法》

或者其他非法方式獲取數(shù)據(jù)，違反者，將依照有關法律、行政法規(guī)的規(guī)定處罰”。2021年7月，工信部、國家互聯(lián)網(wǎng)信息辦公室、公安部聯(lián)合發(fā)布《網(wǎng)絡產品安全漏洞管理規(guī)定》，其中明確了網(wǎng)絡產品提供者、網(wǎng)絡運營者，以及從事漏洞發(fā)現(xiàn)、收集、發(fā)布等活動的各類主體的責任和義務，推動了網(wǎng)絡產品安全漏洞管理工作的制度化、規(guī)范化、法制化。同月，國家互聯(lián)網(wǎng)應急中心發(fā)布了《勒索軟件防范指南》，其中規(guī)定了防范勒索軟件要做到九要、四不要，包括要備份重要數(shù)據(jù)和系統(tǒng)、要設置復雜密碼并保密、要做好身份驗證和權限管理、要制定應急響應預案等九項建議，以及不要點擊來源不明郵件、不要打開來源不可靠網(wǎng)站、不要安裝來源不明軟件，以及不要插拔來歷不明的存儲介質等四項建議。2021年8月，國務院發(fā)布《關鍵信息基礎設施安全保護條例》?！稐l例》對《網(wǎng)絡安全法》所確立的關鍵信息基礎設施安全保護制度作了進一步細化完善，明確了國家網(wǎng)信部門、國務院公安部門以及重要行業(yè)和領域的主管部門、監(jiān)督管理部門等相關職能部門的責任邊界和職責要求，明確了關鍵認定原則和認定機制，細化了運營者的主體責任和義務，形成了關鍵安全保護工作相關各方的法律責任體系。同月，《個人信息保護法》正式公布?！秱€人信息保護法》是我國個人信息保護領域的專門立法和基礎性立法，進一步建立健全了個人信息保護制度，其明確要求任何組織、個人不得侵害自然人的個人信息權益，并不得通過誤導、欺詐、脅迫等方式處理個人信息。同時，任何組織、個人也不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息；不得從事危害國家安全、公共利益的個人信息處理活動。該法全面禁止了涉及個人信息的諸多違法行為，為打擊涉及勒索軟件等侵犯公民、組織個人信息的行為提供了更加堅實的法治保障。28第三章勒索攻擊主要特點03第三章勒索攻擊主要特點自誕生之日起，勒索攻擊便呈現(xiàn)出與其他形式網(wǎng)絡攻擊大相徑庭的特點，正是因為這些獨特之處，傳統(tǒng)的網(wǎng)絡安全防護措施在應對勒索攻擊時略顯無力。面對全球范圍內爆發(fā)式增長的勒索攻擊事件，熟悉勒索攻擊的慣用手段和趨勢特點將有助于我們更加從容地應對此類攻擊?？偟膩砜?，勒索攻擊有以下主要特點。一、勒索攻擊行為隱蔽性強且危害顯著隱蔽性是勒索攻擊的典型攻擊策略。勒索攻擊善于利用各種偽裝達到入侵目的，常見的傳播手段有垃圾郵件、網(wǎng)頁廣告、系統(tǒng)漏洞、U盤等。例如，2019年2月出現(xiàn)的勒索病Clop，能夠通過攜帶有效數(shù)字簽名的方式躲避系統(tǒng)和防毒軟件的防御，進而達到入侵目標計算機的目的。為了保持高隱蔽性，部分勒索攻擊還會采取智能攻擊策略：在入口選擇上，攻擊者以代碼倉庫為感染位置對源代碼發(fā)動攻擊；在上線選擇上，寧可放棄大量的機會也不愿在非安全環(huán)境上線；在編碼上，高度仿照目標公司的編碼方式和命名規(guī)范以繞過復雜的測試、交叉審核、校驗等環(huán)節(jié)。此外，攻擊者往往在發(fā)動正式攻擊之前就已控制代碼倉庫，間隔幾個月甚至更長時間才引入第一個惡意軟件版本，其潛伏時間之長再一次印證了勒索攻擊的高隱蔽性。29勒索攻擊特征與趨勢研究白皮書（2021）調查發(fā)現(xiàn)，某些勒索攻擊事件的制造者利用尚未被發(fā)現(xiàn)的網(wǎng)絡攻擊策略、技術和程序，不僅將后門偷偷嵌入代碼中，而且可以與被感染系統(tǒng)通信而不被發(fā)現(xiàn)。這些策略、技術和程序隱藏極深且很難完全從受感染網(wǎng)絡中刪除，為攻擊活動細節(jié)的調查取證和后續(xù)的清除工作帶來巨大的挑戰(zhàn)。此外，勒索攻擊一般具有明確的攻擊目標和強烈的勒索目的，勒索目的由獲取錢財轉向竊取商業(yè)數(shù)據(jù)和政治機密，危害性日益增強。例如，2021年5月，愛爾蘭衛(wèi)生服務執(zhí)行局（HSE）遭遇勒索攻擊，犯罪分子竊取多達700GB的未加密文件，致使全國多家醫(yī)院電子信息系統(tǒng)無法訪問，新冠病毒檢測工作受阻。愛爾蘭方面表示，此次網(wǎng)絡攻擊可能是愛爾蘭遭受的最嚴重網(wǎng)絡攻擊。我國國內也出現(xiàn)過類似的勒索攻擊事件，例如，某建筑設計院遭遇勒索病毒攻擊，數(shù)千臺電腦文件被加密，工程圖紙無法訪問，損失慘重；某網(wǎng)約車系統(tǒng)遭遇勒索病毒攻擊，導致所有用戶無法使用網(wǎng)約車服務；某醫(yī)院遭遇勒索病毒攻擊，導致醫(yī)院就診服務全面崩潰等。300二、勒索病毒變異較快且易傳播目前，活躍在市面上的勒索攻擊病毒種類繁多，200而且每個家族的勒索病毒也處于不斷地更新變異之100中。2016年，勒索軟件變體數(shù)量達247個，而2015年全年只有29個，其變體數(shù)量比上一年同期增長了030第三章勒索攻擊主要特點752%20。變體的增多除了借助飛速發(fā)展的先進網(wǎng)絡技術以外，還與網(wǎng)絡攻擊者“反偵查”意識的增強相關。很多勒索軟件編寫者知道安全人員試圖對其軟件進行“逆向工程”，從而不斷改進勒索軟件變體以逃避偵查。以下是VirusTotal對勒索樣本更新速度的追蹤趨勢21，由此可見大部分時候，勒索軟件作者都實現(xiàn)了對樣本的快速更新，總是使用新的樣本進行攻擊投遞，以躲避檢測。Ransomware-relatedlastsubmissionsFirstseenransomware-relatedsamples2020-01 2020-03 2020-05 2020-07 2020-09 2020-11 2021-01 2021-03 2021-05 2021-07 2021-09VirusTotal對勒索樣本更新速度的追蹤趨勢圖此外，蠕蟲式傳播型勒索病毒可進行自我復制、自主傳播，傳播速度更快，波及范圍更廣。近年來，勒索攻擊席卷全球，幾乎所有國家的政府、金融、教育、醫(yī)療、制造、交通、能源等行業(yè)均受到影響，與勒索病毒的強感染力和易傳播性密不可分。例如，爆發(fā)于2017年的WannaCry，在全球范圍蔓延的同時也迅速出現(xiàn)了新的變種——WannaCry2.0，與之前版本的不同是，這個變種不能通過注冊“開關域名”來遏制傳播，因而傳播速度變得更快。使用“加密病毒勒索軟件”攻擊技術的勒索軟件攻擊愈加受到關注。目前，比較受關注的勒索軟件及運營團伙見下表。引自國家保密局官網(wǎng)/n1/2019/0319/c411145-30983492.html/vtpublic/vt-ransomware-report-2021.pdf31勒索攻擊特征與趨勢研究白皮書（2021）比較受關注的勒索軟件及運營團伙名詞簡介工作原理目標受害者歸因CerberCerber是一個RaaSCerber利用Microsoft漏洞感染網(wǎng)絡，平臺，于2016年首次其功能與其他勒索軟件類似，主要使出現(xiàn)，并且在當年7月用AES-256算法對文件進行加密，攻為攻擊者凈賺200,000擊覆蓋多種文件類型，包括文檔、圖片、美元。音頻文件、視頻、檔案和備份。

似乎沒有針對任何特定實體。

Cerber的創(chuàng)作者在一個私人俄語論壇上出售服務。ContiContiRaaS平臺于2020年5月首次出現(xiàn)，被認為是Ryuk勒索軟件的后繼產品。目前至少發(fā)現(xiàn)了三個新版本。

Conti使用雙重威脅策略，即保留解密2021年1月Conti是獨密鑰并出售或泄露受害者的敏感數(shù)據(jù)。的最新一輪感立團伙運作，Conti通過使用多線程來快速加密文染似乎針對政其成員身份件。府組織，但作不明。為RaaS行動，對任何組織/個人都構成威脅。CryptoCryptoLocker于2013Locker年首次被發(fā)現(xiàn)，開啟了現(xiàn)代勒索軟件時代，并在其高峰期感染了多達500,000臺Windows計算機，也被稱為TorrentLocker。

CryptoLocker是一種木馬程序，在受感染的計算機、任何內部或網(wǎng)絡連接的存儲設備中搜索要加密的文件。通常通過網(wǎng)絡釣魚電子郵件進行分發(fā)，郵件帶有包含惡意鏈接的文件附件。一旦打開文件，就會激活下載程序，從而感染計算機。

似乎沒有針對Crypto任何特定實Locker是體。由犯罪團伙成員創(chuàng)建的，該犯罪團伙還開發(fā)了銀行木馬GameoverZeus。Crypto 又名CryptoBit或Wall CryptoDefense，于2014年首次出現(xiàn)，并CryptoLocker關閉后開始流行。

通過垃圾郵件或漏洞，利用工具包進該勒索軟件已行分發(fā)。CryptoWall的開發(fā)人員似乎經(jīng)損害全球數(shù)避免使用復雜的方法，更傾向于簡單以萬計的組但有效的經(jīng)典勒索軟件方法。在運營織，但避開了的前六個月，它感染了625000臺電腦。俄語環(huán)境的國家。

CryptoWall開發(fā)人員很可能來自講俄語的國家。CTB-CTB-Locker于2014Locker年被首次報道，以高感染率而聞名。2016年，以web服務器為目標的新版本的CTB-Locker發(fā)布。

勒索軟件會員必須向CTB-Locker開發(fā)鑒于其RaaS人員支付月費，才能訪問托管的勒索模式，CTB軟件代碼。該勒索軟件使用橢圓曲線Locker對任密碼來加密數(shù)據(jù)。它還以多語言能力何組織都是威而聞名，這使?jié)撛谑芎φ弑椴既?。脅，尤其是來自西歐、北美和澳大利亞等國家。32第三章勒索攻擊主要特點名詞簡介工作原理目標受害者歸因DoppelDoppelPaymer于DoppelPaymer團伙使用不同尋常醫(yī)療保健、緊疑似由Paymer2019年6月首次出現(xiàn)，的戰(zhàn)術，即通過偽造的美國電話號碼急服務和教育Dridex特洛至今仍然活躍。打給受害者，要求支付贖金，一般等關鍵行業(yè)。伊木馬背后贖金為50比特幣左右（最初為60的一個分支萬美元）。他們聲稱自己來自朝鮮，TA505負責。并威脅會泄露或出售被盜數(shù)據(jù)。在某些情況下，他們還會威脅受害公司的員工。EgregorEgregor出現(xiàn)在2020Egregor遵循“雙重勒索”趨勢，既加Egregor破壞Egregor的崛年9月。2021年2月密數(shù)據(jù)又威脅如果不支付贖金就泄露了全球19個起與Maze勒9日，美國、烏克蘭和敏感信息。它的代碼庫相對復雜，并行業(yè)的至少索軟件團伙法國當局在聯(lián)合行動中且能夠通過使用混淆和反分析技術來71個組織。的關閉相吻逮捕了Egregor的集團避免檢測。合，因此判成員和附屬機構成員，斷Maze的分使其網(wǎng)站下線。支機構轉移到Egregor。FONIXFONIX是一種RaaS產FONIX運營團伙在網(wǎng)絡犯罪論壇和暗品，于2020年7月首網(wǎng)上宣傳其服務。FONIX的購買者向次被發(fā)現(xiàn)。經(jīng)歷了多該團伙發(fā)送電子郵件地址和密碼。然次代碼修訂后于2021后，該團伙將定制的勒索軟件有效載年1月突然關閉，且荷發(fā)送給買方，攻擊成功后，運營團FONIX運營團伙隨后釋伙收取25%的贖金作為報酬。放了主要密鑰。

似乎沒有針對 未知任何特定實體。GandCrab GandCrab可能是有史以來最賺錢的RaaS產品。GandCrab于2018年1月首次被發(fā)現(xiàn)。

該惡意軟件通常通過網(wǎng)絡釣魚電子郵GandCrab已俄羅斯網(wǎng)絡件發(fā)送的惡意MicrosoftOffice文檔進經(jīng)在全球多個犯罪組織行分發(fā)。目前，GandCrab的變體通行業(yè)感染了系過利用Atlassian’sConfluence等軟統(tǒng)，但避免在件中的漏洞注入惡意模板，從而完成俄語地區(qū)的活遠程代碼執(zhí)行。動。GoldenGoldenEye出現(xiàn)在Eye2016年，疑似基于Petya勒索軟件的變種。

GoldenEye最初瞄準人力資源部門，以說德語的用未知以投遞虛假的求職信和簡歷發(fā)動攻擊。戶為目標。一旦其有效負載感染計算機，就會執(zhí)行一個宏來加密計算機上的文件，并在每個文件的末尾添加一個隨機的8個字符擴展名。然后，勒索軟件使用自定義啟動加載程序修改計算機的硬盤主啟動記錄。33勒索攻擊特征與趨勢研究白皮書（2021）名詞簡介工作原理目標受害者歸因JigsawJigsaw于2016年首次Jigsaw最特別之處在于它加密了一些不針對特定目未知出現(xiàn)，但很快研究人員文件后會索要贖金，然后逐步刪除文標就公布了解密工具。件，直到受害者支付贖金為止。基本每小時刪除一個文件，一般持續(xù)72個小時，超過這個時間，將刪除所有剩余文件。KeRanger2016年發(fā)現(xiàn)的通過合法但受感染的BitTorrent客戶KeRanger被認為是第端進行分發(fā)，該客戶端具有有效的證一個旨在攻擊MacOS書，能夠逃避檢測。X應用程序的可運行勒索軟件。LeatherLeatherlocker于2017當受害者下載似乎合法的應用程序后，下載受感染未知locker年在兩個Android應該應用會請求權限，以授予執(zhí)行所需應用程序的用程序中被發(fā)現(xiàn)，的惡意軟件訪問權限。該勒索軟件不Android用戶Booster＆Cleaner和加密文件，而是鎖定設備主屏幕禁止WallpaperBlurHD。受害者訪問數(shù)據(jù)。LockerLockerGoga在2019LockerGoga使用包含惡意文檔附件的歐洲的制造業(yè)Goga年針對工業(yè)公司的攻擊網(wǎng)絡釣魚活動來感染系統(tǒng)。有效負載公司，其中最中活躍。使用有效證書簽名，從而使它們可以著名的受害者繞過安全性。是NorskHydro公司，攻擊導致該全球IT系統(tǒng)的癱瘓。LockyLocky于2016年開始向受害者發(fā)送一封帶有Microsoft早期針對醫(yī)Locky背后傳播，并使用類似于銀Word文檔的電子郵件，聲稱為發(fā)票，院，后期沒有的網(wǎng)絡犯罪行惡意軟件Dridex的其中包含惡意宏。針對性。組織疑似隸攻擊模式。Locky激發(fā)屬于Dridex了包括Osiris、Diablo6背后的組織。在內的多個變種。MazeMaze是一個相對較新Maze攻擊者通常使用可以通過網(wǎng)絡釣遍及全球所有擁有共同專的勒索軟件組織，于魚活動來猜測或獲取有效憑據(jù)，遠程行業(yè)。長的多個犯2019年5月被發(fā)現(xiàn)。進入網(wǎng)絡。然后，該惡意軟件會使用罪集團，而2020年9月，Maze宣開源工具掃描網(wǎng)絡，以發(fā)現(xiàn)漏洞。接非單一團伙。布將關閉其運營。著會在整個網(wǎng)絡中橫向移動，以尋找更多可用于特權升級的憑據(jù)。找到域管理員憑據(jù)后，就可以訪問和加密網(wǎng)絡上的任何內容。34第三章勒索攻擊主要特點名詞簡介工作原理目標受害者歸因NetwalkerNetwalker自2019年從技術角度來看，Netwalker是相對醫(yī)療保健和教由Circus以來一直活躍，它使普通的勒索軟件，利用網(wǎng)絡釣魚電子育機構Spider運營用雙重威脅，即扣留郵件獲得據(jù)點，對數(shù)據(jù)進行加密和滲解密密鑰和出售或泄漏，并發(fā)送贖金要求。據(jù)悉，該公司露被盜數(shù)據(jù)。2021年發(fā)布被盜數(shù)據(jù)的方法是將數(shù)據(jù)放在暗1月，美國司法部宣布網(wǎng)上的受密碼保護的文件夾中，然后一項全球行動，擾亂了公開釋放密鑰。Netwalker的運作。NotPetya首次出現(xiàn)于2016年，NotPetya與Petya類似，都會加密文據(jù)稱，集中在據(jù)稱俄羅斯實際上是數(shù)據(jù)破壞類惡件并要求以比特幣支付贖金。但不同烏克蘭GRU內的意軟件（“刮水器”），的是，Petya要求受害者點擊惡意郵件，Sandworm但其偽裝成了勒索軟從而啟動惡意軟件并獲取管理員權限，小組件。但NotPetya可以在沒有人工干預的情況下進行傳播。PetyaPetya惡意軟件的初始Petya通過一封聲稱是求職者簡歷的郵任何未知版本于2016年3月開件發(fā)送，其中包含兩個文件：一個年Windows系始傳播。這個名字來自輕男子的圖像和一個可執(zhí)行文件。當統(tǒng)都是潛在的于1995年007電影《黃受害者點擊該文件時，Windows用戶目標，但烏克金眼》中的一顆衛(wèi)星。訪問控制警告會告訴他們，該可執(zhí)行蘭是這次攻擊而一個疑似該惡意軟件文件將對計算機進行更改。一旦受害的重災區(qū)。作者的推特賬號使用了者接受更改，惡意軟件就會加載，然扮演反派的演員艾倫-后通過攻擊存儲介質上的低級結構拒卡明的照片作為頭像。絕訪問。Pure在2019年發(fā)現(xiàn)的PureLocker依靠more_eggs后門惡只有少數(shù)犯惡意軟件即lockerPureLockerRaaS平意軟件獲得訪問權，而非釣魚嘗試。罪團伙能夠服務提供臺，目標是運行Linux攻擊者針對已經(jīng)被入侵的計算機，有負擔得起商可能是或Windows的企業(yè)生選擇地對數(shù)據(jù)進行加密。PureLockerPureLocker產服務器。因為它是的費用，因此的幕后黑手。用PureBasic語言編寫更針對高價值的，因此得名。目標。RobbinRobbinHood是使用RobbinHood最獨特的地方在于其有Baltimore和未知HoodEternalBlue的勒索軟效載荷如何繞過終端安全。它有五個Greenville的件變體。部分：殺死安全產品的進程和文件的地方政府是重可執(zhí)行文件、部署有簽名的第三方驅災區(qū)。動和惡意的無簽名內核驅動的代碼、有漏洞的舊版本Authenticode-signed驅動、殺死內核空間的進程和刪除文件的惡意驅動，以及一個包含要殺死和刪除的應用程序列表的文本文件。35勒索攻擊特征與趨勢研究白皮書（2021）名詞簡介工作原理目標受害者歸因RyukRyuk于2018年8月通常與TrickBot等其他惡意軟件結合企業(yè)、醫(yī)院和最初歸因首次出現(xiàn)，是基于使用。Ryuk運營團伙以使用手動黑客政府組織于朝鮮拉2017年在地下網(wǎng)絡犯技術和開源工具在專用網(wǎng)絡中橫向移撒路集團罪論壇上出售的一個名動，并在啟動文件加密之前獲得盡可（Lazarus為Hermes的舊勒索軟能多的系統(tǒng)管理訪問權而聞名。Group）。件程序開發(fā)的。SamSam SamSam自2015年以來活躍至今，主要針對醫(yī)療保健組織，并在接下來的幾年中大幅提升。

SamSam的控制器探測預選目標的弱醫(yī)療保健和政最初被認為點，利用從IIS到FTP到RDP的一系府組織起源于東歐。列漏洞。一旦進入系統(tǒng)，攻擊者就會2018年底，升級特權，以確保在開始加密文件時，美國司法部攻擊具有極大的破壞性。起訴兩名伊朗人，聲稱他們是攻擊的幕后黑手。Simple2014年出現(xiàn)的當受害者下載惡意應用程序時，由于贖金票