安全419年度盘点2022年勒索软件攻击趋势总结

　　世界经济论坛《2022年全球风险报告》曾指出，随着整个社会不断向数字世界迁移，网络安全威胁也在不断加剧，掌握主动权的攻击者经常给组织带来数千万甚至数亿美元的直接损失，同时次生灾害所造成的损失更难以用金钱来衡量。世界经济论坛85%的网络安全领导团体进一步强调称，网络安全风险当中的勒索软件正在成为一种危险的日益增长的威胁，并对公共安全构成重大关切。
　　今天，安全419将以媒体视角梳理2022年公开披露的勒索软件攻击事件，并辅以调研机构的观察见解，以及我们采访到的专业安全公司的应对见解，输出本篇内容，大家可以从中观察勒索软件攻击这年以来的变化情况，并根据一些线索，调整威胁应对策略。
　　勒索软件将长期存在
　　2017年，当美国国家安全局（NSA）开发的 EternalBlue 漏洞利用被黑客窃取之后，一款名为 WannaCry 的蠕虫病毒得以在计算机网络中迅速传播。它迅速感染了全球数百万台计算机。在我国，这款病毒程序传播速度同样广泛，当时，国内各大网络安全厂商也是频繁参与应急。
　　这并不是历史上第一款勒索软件病毒程序，但其与加密货币相结合的赎金支付方式，以及武器化漏洞传播厉害程序都是史无前例的，所以定义其为当今的勒索软件病毒原始发展阶段更为适合。在此过后，黑客组织似乎是找到了将攻击更具象的攻击方式，因为这种以赎金勒索的方式能与多钱直接挂钩。
　　此后，各大黑客组织系统化发展自身的勒索方案，其一是结合最新攻防趋势使其攻击更加有效，加之攻击手段上加入多重勒索方式，比如结合DDoS攻击或威胁泄露数据等，以及将其勒索方案RaaS（勒索软件即服务）化发展，等等因素，最终，勒索软件攻击会代言网络安全，成为长期威胁存在。
　　同时据安全机构披露，最新的研究显示勒索软件未来还将横向扩展，如已有勒索软件屠刀已经指向了移动端，这也意味着未来我们个人手机、平板电脑均有可能成为勒索加密对象。就勒索软件攻击角度而言，商业机构一侧的敏感数据固然更具价值，或是重要基础设施服务的连续性不容有失，这些领域也是勒索组织主要光顾的目标，但移动端表现出的用户数量庞大，渗透率高等特点，威胁同样不容忽视。 勒索软件无差别攻击
　　2022年年初，随着 Lapsus$ 勒索软件组织宣布对一系列安全事件负责，众多前沿的商业机构无不自威，一长串的受害者名单当中不乏像微软、三星、英伟达、LG这样的科技巨鳄，在2022年，勒索软件组织攻击了众多的科技型商业组织，其它的名字还有思科、AMD，其它的商业组织方面比如还有可口可乐、沃达丰等等。
　　勒索软件威胁主要指向受害者各负载主机，同时以数据泄露威胁受害者妥协，以上商业组织当中，其中很多泄露出来的数据后来被证实真实。而当勒索软件组织将其指向军工企业，勒索泄露的数据背后的潜在威胁也将直线上升。
　　安全419在今年11月初关注到一系列军工企业 遭受勒索软件攻击，像欧洲头部军工企业泰雷兹、亨索尔特都存在勒索攻击事件，并存在数据泄露可能，而此前欧洲导弹集团勒索泄露数据也被安全机构分析证明为真实。
　　勒索软件攻击在2022年更是出现过针对一国政府的攻击行为，今年4月份，Conti 勒索组织就开始策划针对哥斯达黎加政府的一系列勒索攻击，5月初计划开始执行，随后哥政府多个部分同时遭受勒索软件攻击，一度让哥政府总统宣布国家进入紧急状态。
　　政府关键基础设施也是勒索软件组织最感兴趣的目标之一，这类组织多存在高度业务安全敏感性，一旦遭遇勒索加密，造成服务停运甚至也会上升到国家安全层面。金融、电力、能源、医疗均属于该领域机构。
　　在2022年，安全419总结发现各关基领域当中，以医疗机构遭遇勒索软件攻击最为频繁，某安全公司对过去4年以来针对医疗机构的勒索软件攻击进行数据总结指出，过去4年总计发生过500多起相关事件，这还仅是已公开披露的信息，而实际上要比这多的多。针对医疗机构的勒索软件攻击在2022年表现虽然相比2021年要少上一些，但医疗机构仍是勒索软件组织最为频繁光顾的行业。
　　针对制造业的攻击在2022年表现也是重点值得关注的，因为这会让原本全球供应链紧张的局面进一步加剧。一连串的知名受害者在受到攻击之后，往往在公开披露事件时会首先保持两个公关口径，一个是事件并未影响生产，其二就是并无数据泄露情况发生。
　　某安全公司向安全419披露的对国内某制造业安全企业应急勒索软件攻击时就强调，针对企业的勒索攻击在恢复时往往需要从流程和手段等多维度确保业务生产系统完全恢复，所以受到攻击之后不影响生产几乎是不可能的事件。但往往只有在安全建设上下足了投入的企业，在面对勒索软件攻击之后，其恢复速度可以最大幅度的减小生产停运损失。
　　勒索软件在针对中小企业的案例上因为披露不足，相关信息并不能真实展现真实情况，但针对商超系统的攻击还是有一些线索可以探寻，如针对丹麦711便利店受攻击事件，一度导致全国连锁店关闭以响应安全事件，各国多家连锁超市、零售渠道商也都出现多起类似勒索软件攻击事件。
　　当然，针对各行业的勒索事件，又只以针对安全企业的勒索攻击最为打脸。比如北美知名IT解决方案提供商SHI International的攻击案例，这也让我们想起了此前针对埃森哲的勒索软件攻击，他们都能为企业提供一揽子的IT咨询建议和解决方案，网络安全自然也是其中最重要的一部分。当然，更有一些专业型的网络安全企业也在2022年遭到了勒索软件攻击。 安全鸿沟越拉越大
　　总结而言，全球的勒索攻击事件公开披露仅占一小部分，因为还有更多的受害者没有公开披露相关事件，在世界经济论坛2022年年会上，国际刑警察组织秘书长Jürgen Stock曾表示，关于勒索软件攻击的挑战最主要的还是技术问题，因为这些企业几乎是主动的把大门向黑客敞开。
　　疫情与数字化进程对企业信息化发展也具有深远影响，他们在创新应用这样或那样的IT服务，但一面创新，另一面是对创新缺乏安全保护，同时办公场景也发生了改变，移动和居家办公的增加，对安全的访问网络提出挑战。比如过去人们认为一些关键基础设施应该永远不会受到网络攻击，但现在情况不同，他们正走向数字化，系统发生了巨大变化，威胁也随之而来。
　　疫情的影响也是多方面的，而安全最大的问题是需要金钱和时间的，企业需要为此支出预算，并付出精力来维护安全。疫情影响之下，企业比以往更加注重现金流，这也造成了IT预算的缩减。
　　另一方面，全球范围内网络安全人才的缺口不断增加，缺口保守估计要在300万以上。现在的情况是由于安全人才的广泛缺失，一些企业没有办法推进安全策略，或在企业内部顺利践行安全策略。因为这些专业型安全人才大多身处头部互联网公司和网络安全公司。
　　与此同时，在企业内部，安全团队在应对勒索软件方面的压力也越来越大，受企业不断发展影响，团队管理的IT系统越来越多，企业在日常运营当中的数据量也越来越大，他们开始担心勒索软件攻击超出其团队的安全能力。 安全机构眼中的勒索软件
　　勒索软件攻击遍布各行各业，没有任何行业能在勒索软件攻击面前幸免于难，除非他们没有任何的现代信息化建设。只要有信息化建设，IT基础设施就难免受到勒索软件的光顾，而想要避免勒索软件攻击，就需要从安全管理的角度来主动建设安全。
　　几乎所有的安全机构对勒索软件所造成的杀伤链都有着相同的判断，比如国内的安全机构总结的事前、事中、事后的防范处置机制，通过安全419的广泛调研，这种方案也是厂商打包的整体的针对勒索攻击在安全投入上的通用服务型解决方案。与此同时，再辅以场景应用当中的主要威胁点的安全产品的部署，比如针对终端的EDR产品，完成整体服务化管理重点产品看守的方案模型。
　　此前由多家著名科技公司和安全公司组成的勒索软件特别工作组（RTF）推出的＂勒索软件防御蓝图＂也遵循了这一点，其以事前的识别、事中的保护、和事后的响应和恢复构成了企业可借鉴的勒索软件防御方案。其中方案给出了14个基础措施项，也是对应了安全企业的重点看守项。
　　也有一些安全机构相关负责人在接受安全419调研采访时表示，勒索攻击作为一种定向和高威胁的网络犯罪攻击方式，他们有的已经推出定制化的安全产品，或计划推出场景化的安全产品，用来专门为客户在线业务抵御勒索软件攻击，降低业务停摆风险。 敌暗我明下的围剿与反围剿
　　在2022年一季度，一份来自 Conti 勒索组织的内部人员群聊信息被披露，Conti 曾公司化运作，且有大量预算购买安全检测类产品，用以勒索病毒程序的日常强化。也就是说，勒索软件为了躲避检测，通常要不断变种升级，全年经安全机构、媒体公开报道的勒索软件变种、升级的事件多到惊人，甚至无法一一陈列。这也表明对抗正在升级。
　　LockBit勒索软件组织在今年6月份在从2.0版本升级到3.0版本时，推出过互联网企业或安全企业的＂赏金计划＂，以同样是意在不断强化其勒索病毒的抗检测能力。
　　当然安全机构也会不断地升级安全软件的检测能力，这也将是一种长期存在的善与恶之间的持续对抗。但是安全机构通常处于被动地位，因为永远都是敌暗我明。
　　当然也有一些独立的安全机构或研究机构，在对抗勒索软件攻击时实现了数据恢复的勒索密钥破解，一部分的勒索软件版本在研究机构的不断努力之下，是可以不支付赎金就能对密钥进行破解的，只是通常这种方法极小适用，因为加密破解的难度实在太高。
　　某安全企业的负责人在前段时间接受媒体采访时就表示，他们不愿在这方面披露太多，因为他们掌握了一些技术，能够实现一些版本上的勒索软件破解，但他们主动的去披露的话，勒索软件组织也会迅速行动，如此他们的这部分破解工作也将付诸东流。
　　所以一些破解加密的组织往往带有公益性质，比如成立于2016年的对抗勒索软件攻击的联合组织No More Ransom，该组织在2022年成立六周年之际，披露已为165种勒索软件提供了136种免费解锁工具，包括Gandcrab、REvil/Sodinokibi、Maze/Egregor/Sekhmet等。 支付赎金与数据泄露
　　有分析公司已确定，2021年支付的勒索赎金已超过6.02亿美元，其中仅支付给Conti一家就高达1.8亿美元，但报告认为实际数据可能比已记录数据还要高。另外一份数据也支持了这一点，美金融犯罪执法网络（FINCEN）表示，去年为期6个月的时间里，共发现约52亿美元的比特币交易可能与勒索攻击支付有关。
　　但对于支付赎金这件事，某安全企业的一份报告显示，支付赎金作为向勒索攻击的最终妥协，其损失仅占企业遭勒索软件攻击总成本的15%。
　　该报告认为在勒索攻击发生时，企业在进行评估是否支付赎金时，还会同步处理一系列措施，比如聘请第三方安全公司的进行恶意软件发现和清除工作，并根据现有安全基线设法重新上线被中断的业务等一系列事件响应和补救程序，同时还需要处理来自法律层面上的诸多问题。
　　法律方面最大的问题主要有两点，一个是企业自身的安全合规问题，另一个就是未来可能发生的数据泄露。
　　比如2022年第四季度在澳大利亚的一系列安全事件，随着伴随着史无前例的大规模数据泄露的发生，澳大利亚议会已做出批准修改该国隐私立法的法案，将遭受大规模数据泄露的公司和数据控制者的最高罚款大幅提高到5000万澳元。
　　勒索软件攻击作为近年来频发的网络攻击手段之一，作为要挟砝码，勒索组织不仅要求受害企业支付赎金，也通常威胁泄露客户数据。
　　由于一些国家和地区开始通过立法阻止企业向勒索软件组织支付赎金，安全专家也开始担心会有更多的数据泄露事件发生，而关于一个更加公开的，企业要主动地披露相关安全事件的具有弹性的安全社区的建立也将难上加难，因为这将难以与现有法律相平衡。
　　最重要的问题就是企业的止损问题，所以今年的一起优步前CSO为了避免黑客披露优步存在数据泄露事件，实际上值得多方深度思考。 避免成为勒索软件攻击受害者
　　为应对勒索软件攻击，安全419以今年推出的《勒索攻击解决方案》系列访谈内容为基准，并结合我们与其他安全机构的对话，汇总了以下建议：
　　1、企业不断的成长和新技术的广泛应用，进一步加剧了安全风险和暴露面，鉴于安全重要性正在日益提升，对于中大型企业而言， 设立专职岗位（如CSO）负责统筹全面的IT安全风险管理，是应对以勒索攻击为首的网络安全建设的重要前提；
　　2、 真实勒索案例中，绝大多数勒索攻击源于员工的意识疏忽所造成。 企业一方面需系统的开展安全意识培训工作，同时应针对具体的安全事件进行日常演练，以在勒索软件攻击发生时最大化降低企业生产运营损失；
　　3、 安全意识应延伸至企业外部， 这对大型生产制造业尤为重要，比如企业将IT运维承包给第三方机构，还有涉及庞大供应链当中的任何一环。可以以安全合约为抓手，建立安全责任制，强化外部的安全风险管理；供应链安全是企业尤其该注意的问题，以国内前不久某办公软件平台受勒索攻击事件为例，企业只建设自身安全忽略外部风险是不可取的；
　　4、 安全基线必不可少， 利用专业安全厂商提供的防御、检测类产品为勒索病毒设置重重障碍，可降低80%以上被勒索攻击的可能性。其中终端安全更是重中之重，大量案例证明，特别是国内，终端缺乏安全防护是造成勒索加密的主要原因；安全基线产品或服务以威胁情报建立防御机制，也是应对勒索组织不断变化趋势的有力抓手；未来安全企业还将推出更多的场景化的定向产品或方案，企业也可以多多留意；
　　5、 勒索攻击最终指向的是系统、应用和数据 ，对于处于数字经济时代的我们，如何让数据在各业务线上安全流通已成当务之急。《数据安全法》催生了数据安全产业的迅猛发展，数据安全赛道上一些创新的安全企业，其以数据保护为抓手的创新产品已得到商业应用，其应对勒索攻击已是可行方案；
　　6、产品服务化趋势，企业限于没有专业的运维人员来管理网络安全，会存在即使部署了安全产品也没有得到有效利用，这是广泛存在的现状问题，大中型企业尚能自行解决问题，小型企业问题更为明显。现在安全企业也注意到了这一问题， 安全托管服务可以帮助企业解决这一难题；
　　7、企业应该认识到针对性的勒索攻击致使数据加密，当前技术上是无法恢复的， 应该立即着手数据备份工作，且强化数据备份的隔离加密，始终让备份数据保持高可用性 。对于生产经营性质企业，为了追求业务的持续运营，容灾备份解决方案已成为他们的最佳选择，该方案在保证数据高可用前提下，可支持系统在异地迅速再生；
　　8、企业承担勒索攻击所致损失的程度并不相同，为了避免遭受灭顶之灾， 可以考虑从网络安全保险一侧切入防范 。网络安全保险在国外相对成熟，在国内发展尚处起步阶段，但网络安全保险市场在2022年的发展势头异常迅猛，多项标准已在今年出炉，且已有政策上的扶持落地。虽然起步阶段无法遵循大数法则，但从现有商业模式上观察，初级市场化阶段的用户侧实践力度也会加大。网络安全保险为了量化企业的安全风险，其会先通过一定的安全＂体检＂来实现一定程度的安全免疫，所以从这一侧来实现安全在一定程度上也是可行的方案。