Check Point研究顯示：與 2020 年初相比，今年全球遭受勒索軟件攻擊的組織增加 102％

美國聯(lián)邦調查局周一發(fā)布聲明證實，Colonial Pipeline （輸油管）網(wǎng)絡此次遭遇的勒索軟件攻擊由一個名為 DarkSide 的專業(yè)網(wǎng)絡犯罪組織發(fā)起。

DarkSide 采用勒索軟件即服務 （RaaS） 模式，利用合作伙伴程序來實施網(wǎng)絡攻擊。這增加了調查難度，導致目前我們對此次攻擊幕后黑手的了解少之又少。

DarkSide 勒索軟件利用網(wǎng)絡社區(qū)中極為少見的系統(tǒng)（例如 ESXi服務器）發(fā)起攻擊。在此次攻擊中，疑似涉及 ICS 網(wǎng)絡。該勒索軟件已被用于發(fā)起眾多定向勒索軟件攻擊，F(xiàn)orbes Energy Services 和 Gyrodata 等許多其他油氣公司深受其害。

繼塔爾薩市遭遇的其他大規(guī)模攻擊以及企圖勒索蘋果公司的 REvil 勒索軟件攻擊之后，勒索軟件攻擊顯然引發(fā)了全球密切關注，但組織在防范此類攻擊事件方面仍缺乏實際行動，甚至毫無防范意識。

要點

2021 年上半年，全球遭受勒索軟件攻擊的組織比 2020 年增加一倍以上

自四月初以來，醫(yī)療和公用事業(yè)行業(yè)成為攻擊者的頭號攻擊目標

與其他地區(qū)相比，攻擊者將矛頭更多指向亞太地區(qū)的組織。

全球數(shù)據(jù)

CPR 三月份報告稱，自 2021 年初以來，利用 Microsoft Exchange 漏洞發(fā)起的勒索軟件攻擊數(shù)量增加了 57％。近日，美國最大的燃油管道運營商 Colonial Pipeline 遭遇勒索軟件攻擊，據(jù)估計，2020 年勒索軟件給全球企業(yè)造成的損失約為 200 億美元，比 2019 年增加了近 75％。

第二季度截至目前，每周平均超過 1，000 個組織受到勒索軟件影響。受影響的組織數(shù)量顯著增加，2021 年第一季度為 21％，第二季度截至目前為 7％。與 2020 年初相比，今年受勒索軟件影響的組織增加高達 102％。

組織遭受的攻擊次數(shù)（按行業(yè)劃分）

當前，醫(yī)療行業(yè)成為勒索軟件攻擊的重災區(qū)，每個組織平均每周遭受 109 次攻擊（比年初增長 3％），其次是公用事業(yè)（59 次，增長 4％）和保險／法律行業(yè)（34 次，增長 1％）。

地理數(shù)據(jù)

勒索軟件影響（按地區(qū)劃分）

如下圖所示，亞太地區(qū)的組織目前所遭受的勒索軟件攻擊次數(shù)最多。亞太地區(qū)的組織平均每家每周遭受 51 次攻擊。這一比例比今年年初增長了 14％。

北美地區(qū)僅隨其后，每個組織平均每周遭受 29 次攻擊（增長 25％），其次是歐洲和拉丁美洲地區(qū)（14 次，分別減少 6％ 和 25％）和非洲地區(qū)（4 次，增長 34％）。

遭受攻擊的熱門行業(yè)（按地區(qū)劃分）

攻擊者涉足全球各個行業(yè)。在北美地區(qū)，醫(yī)療組織遭受的攻擊最多，其次是軟件廠商；而在歐洲地區(qū)，遭受攻擊最多的則是公用事業(yè)部門。在亞太地區(qū)，保險／法律和制造業(yè)受到的影響最大，而在拉丁美洲地區(qū)，通信業(yè)和制造業(yè)分別位居一二。在非洲地區(qū)，金融和銀行部門受到的攻擊最多，其次是制造業(yè)。

三重勒索勒索軟件：第三方威脅

不可否認的是，在過去的 2020 年，尤其是自新冠疫情爆發(fā)以來，雙重勒索蔚然成風。雖然無法掌握有關所有雙重勒索事件及其結果（并非全部予以披露和公布）的信息，但僅根據(jù) 2020－2021 年期間收集的統(tǒng)計數(shù)據(jù)，就可以感受到該攻擊向量的強大破壞力。在過去的一年里，平均支付的贖金增長了 171％，當前約為 31 萬美元。2020 年，上千家公司在拒絕黑客贖金要求之后遭遇了數(shù)據(jù)泄漏，在所有新發(fā)現(xiàn)的勒索軟件家族中，約 40％ 的勒索軟件在攻擊過程中采用了數(shù)據(jù)滲透手段。這些數(shù)字充分反映了將數(shù)據(jù)泄露和勒索軟件威脅相結合的攻擊技術的巨大破壞性，但更令人擔憂的是，攻擊者仍在想法設法提高贖金支付額和威脅效率。

2020 年底和 2021 年初發(fā)生的多起重大攻擊都源于一條新攻擊鏈，這條攻擊鏈本質上是對雙重勒索軟件技術的擴展，即在雙重勒索攻擊過程中集成了其他獨特威脅，我們稱之為“三重勒索”。第一個值得注意的是 Vastaamo 心理治療中心攻擊事件。該攻擊發(fā)生在 2020 年 10 月，當時這種攻擊方法極具創(chuàng)新性。這家擁有 40，000 名患者的芬蘭心理治療中心遭受了長達一年的數(shù)據(jù)泄露，最終黑客成攻竊取海量患者數(shù)據(jù)并發(fā)起勒索軟件攻擊。黑客要求該治療中心支付巨額贖金，更令人驚訝的是，他們還向每個患者單獨發(fā)送了電子郵件，要求他們支付少量贖金，否則將公布其心理治療記錄。該攻擊戰(zhàn)術在短時間內獨領風騷。

而不久之后，REvil 勒索軟件組織在 2021 年 2 月宣稱，他們在雙重勒索方案的基礎上又增加了兩個階段，即向受害者的業(yè)務合作伙伴和媒體發(fā)起 DDoS 攻擊并撥打騷擾電話。分發(fā) Sodinokibi 勒索軟件的 REvil 勒索軟件組織采用“勒索軟件即服務”業(yè)務模式。該組織現(xiàn)在免費代其成員組織向記者和同事發(fā)起 DDoS 攻擊和撥打語音騷擾網(wǎng)絡電話，旨在對受害公司施加更大壓力，迫使他們在指定時間段內按要求支付贖金。

即便取得了巨大成功，威脅組織仍在不斷尋求更具創(chuàng)新性、更富成效的業(yè)務模式。我們只能推定是攻擊者的創(chuàng)造性思維以及對雙重勒索軟件攻擊復雜場景的明智分析推動了三重勒索技術的發(fā)展。盡管這些勒索軟件攻擊并未直接攻擊第三方受害者（例如公司客戶、外部同事和服務提供商）的網(wǎng)絡資源，但它們造成的數(shù)據(jù)泄露嚴重影響并損害了第三方受害者。無論黑客是否另外要求他們支付贖金，面對威脅他們都像是待宰的羔羊，一旦被瞄準，也將蒙受巨大損失。因此，他們自然是潛在的勒索目標，并且現(xiàn)在可能已經(jīng)成為勒索軟件組織的攻擊目標。

防御勒索軟件

在周末和節(jié)假日提高警惕 — 在過去的一年里，大多數(shù)勒索軟件攻擊都發(fā)生在人們更可能放松警惕的周末和節(jié)假日。

安裝最新補丁 — 2017 年 5 月，攻擊者利用“永恒之藍”漏洞發(fā)起大規(guī)模 WannaCry 攻擊，其實當時已存在針對該漏洞的補丁。該補丁在攻擊發(fā)生前一個月便已發(fā)布，由于該漏洞很可能被利用，該補丁還被標記為“關鍵”補丁。然而，許多組織和個人沒有及時安裝補丁，這導致了勒索軟件的急速爆發(fā)，三天之內便感染了 200，000 臺計算機。保持計算機處于最新狀態(tài)并及時安裝安全補丁，尤其是關鍵補丁，可幫助組織降低遭受勒索軟件攻擊的可能性。

反勒索軟件 — 盡管先前的勒索軟件防御措施可幫助組織規(guī)避遭受勒索軟件威脅的風險，但它們無法提供完善的保護。一些勒索軟件運營商使用經(jīng)過精心設計的具有高度針對性的魚叉式網(wǎng)絡釣魚電子郵件作為其攻擊向量。這些電子郵件甚至能夠騙過最謹慎的員工，幫助勒索軟件獲得對組織內部系統(tǒng)的訪問權限。防范這種“漏網(wǎng)之魚”需要使用專門的安全解決方案。為了實現(xiàn)入侵目標，勒索軟件必須執(zhí)行某些異常操作，例如打開和加密大量文件。反勒索軟件解決方案可監(jiān)控計算機上運行的程序是否存在勒索軟件通常表現(xiàn)出的可疑行為，如果檢測到這些可疑行為，該程序會及時采取措施阻止加密，以防發(fā)生進一步損害。

培訓 — 培訓用戶如何識別和避免潛在的勒索軟件攻擊至關重要。當前的許多網(wǎng)絡攻擊都始于一封針對性電子郵件，該電子郵件甚至不包含惡意軟件，只包含一則鼓勵用戶點擊惡意鏈接的社交工程消息。用戶培訓通常被視為組織可部署的最重要的防御措施之一。

勒索軟件攻擊并非始于勒索軟件 — Ryuk 及其他勒索軟件會購買針對目標組織的感染程序。安全專家應注意網(wǎng)絡中的 Trickbot、Emotet、Dridex 和 CobaltStrik 感染程序，并使用威脅追蹤解決方案將其刪除，否則它們會為 Ryuk 攻擊打開大門。

本報告中使用的數(shù)據(jù)為使用 Check Point 威脅防護技術檢測到的數(shù)據(jù)，這些數(shù)據(jù)存儲在 ThreatCloud 中，并在其中予以分析。ThreatCloud 提供的實時威脅情報來自于部署在全球網(wǎng)絡、端點和移動設備上的數(shù)億個傳感器。AI 引擎和 Check Point 情報與研究部門 Check Point Research 的獨家研究數(shù)據(jù)進一步豐富了情報內容。