國內(nèi)外最新研究數(shù)據(jù)顯示，近期針對企業(yè)和組織的勒索攻擊正在不斷上升。安全研究人員和安全廠商對勒索軟件的長期分析和研究、以及安全軟件/網(wǎng)關(guān)設(shè)備對勒索軟件攔截率的提升，導(dǎo)致無差別惡意勒索的利潤持續(xù)走低，也倒逼攻擊者進行了技戰(zhàn)法和攻擊思路的調(diào)整。包括弱化無差別的攻擊&勒索，轉(zhuǎn)向持續(xù)的、復(fù)雜的技術(shù)投入，挑選擁有重要數(shù)據(jù)和高支付能力的組織和企業(yè)進行攻擊，通過較高的支付成功率達成高額贖金的獲取。

[[421712]]

本篇旨在之前分析報告的基礎(chǔ)上，進一步結(jié)合2021年上半年勒索攻擊全球活動趨勢，以及攻擊手段輸出ATT&CK技術(shù)戰(zhàn)法分析，并統(tǒng)計上半年“針對性”勒索事件影響的行業(yè)變化趨勢。具體報告如下。

1. 2021上半年針對性勒索攻擊事件參考

2021年上半年，針對性勒索攻擊事件頻發(fā)，受害者中不乏一些全球知名的廠商和機構(gòu)。上半年已公開的攻擊事件數(shù)量就達到1200起左右，僅半年就接近了2020全年約1400起公開勒索攻擊事件。勒索攻擊不僅會對受害者造成經(jīng)濟上的損失和數(shù)據(jù)的破壞/泄露，還可能造成嚴重的社會負面影響，如：

• 2月，制作了知名游戲《巫師3》和《賽博朋克2077》的游戲廠商CD Projekt Red遭勒索攻擊未支付贖金后，攻擊者公然在暗網(wǎng)中拍賣源碼數(shù)據(jù)。
• 2月，韓國汽車廠商起亞和現(xiàn)代位于美國的公司被攻擊，該攻擊導(dǎo)致公司IT中斷，影響了汽車銷售，車主用來操作車輛的應(yīng)用程序被迫離線無法使用，攻擊者索要2000萬美元的贖金。
• 3月20日，全球知名PC制造商宏碁遭受REvil勒索組織攻擊，勒索贖金高達5000萬美元。
• 4月27日，美國華盛頓大都會警局遭受Babuk勒索組織攻擊，泄露大量敏感的身份信息。
• 5月7日，美國 Colonial Pipeline 公司遭到DarkSide勒索組織攻擊，導(dǎo)致其業(yè)務(wù)受到嚴重影響，17個州進入緊急狀態(tài)。
• 5月中旬，全球最大的保險公司之一安盛(AXA)集團位于亞洲的分支機構(gòu)遭到了勒索軟件攻擊，有3TB的敏感數(shù)據(jù)被竊取，并且攻擊者還對安盛的全球網(wǎng)站進行了DDoS攻擊，導(dǎo)致一段時間內(nèi)無法訪問。
• 5月31日，全球最大肉類加工廠JBS遭受REvil勒索組織攻擊，支付贖金達到1100萬美元。
• 6月3日，馬薩諸塞州最大的渡輪服務(wù)公司遭受勒索軟件攻擊，導(dǎo)致售票和預(yù)訂系統(tǒng)中斷。
• 7月2日，Kaseya公司被REvil勒索組織攻擊，攻擊者利用0day漏洞入侵的服務(wù)器發(fā)動供應(yīng)鏈攻擊，推送攜帶勒索軟件惡意更新，受影響的公司高達上千家，勒索贖金規(guī)模高達7000萬美元。

2. 2021上半年活躍勒索組織

為了對這些有著復(fù)雜網(wǎng)絡(luò)環(huán)境的企業(yè)和組織進行針對性的勒索攻擊活動，攻擊者在目標(biāo)的選擇上必然更加精準(zhǔn)，入侵技術(shù)和手段也必然更加復(fù)雜。為了提高高額贖金的支付成功率，向受害者采取的施壓手段也需要多樣化。這樣復(fù)雜的攻擊活動，個別攻擊者很難實施，所以大都是團伙作案。部分攻擊者在網(wǎng)上招募攻擊團隊，或是向其他攻擊者購買網(wǎng)絡(luò)訪問權(quán)限來實施攻擊。

勒索攻擊甚至衍生出了RaaS(Ransomeware as a Service，勒索軟件即服務(wù))這樣的“商業(yè)模式”，他們將勒索軟件相關(guān)技術(shù)打包成服務(wù)進行銷售，讓沒有相關(guān)技術(shù)和知識的人，也能參與到這樣“大型”的犯罪活動中來。

針對性勒索攻擊發(fā)展迅速，模式也越發(fā)成熟，受勒索攻擊的企業(yè)和組織數(shù)量也持續(xù)上升。通過對2021年上半年約40個勒索組織關(guān)聯(lián)的1200起左右的公開攻擊事件進行統(tǒng)計，發(fā)現(xiàn)Conti、Avaddon、REvil和DarkSide勒索組織占據(jù)了超過幾乎一半的“市場份額”。

不過，Avaddon和DarkSide受到執(zhí)法機構(gòu)的打擊等事件影響，目前已經(jīng)停止了運營，REvil的基礎(chǔ)設(shè)施和網(wǎng)站在7月初也開始無法訪問。此外，上半年活躍的勒索攻擊組織中也不乏一些新晉組織的身影，如2021年初才出現(xiàn)的Babuk組織，僅僅半年時間就完成了從誕生到壯大的過程，在很短的時間內(nèi)就攻擊了數(shù)十個目標(biāo)。

其中在2021年上半年較為活躍的勒索組織情況如下：

(1) Clop

Clop使用的勒索軟件大約在2019年的2月份首次被觀測到，屬于 CryptoMix 勒索軟件的新變種，并使用clop相關(guān)后綴加密文件來勒索目標(biāo)。

Clop勒索軟件背后的攻擊者宣稱，他們的目標(biāo)是企業(yè)而不是終端用戶。 2020年3月，Clop勒索軟件團伙首次在暗網(wǎng)中啟用了一個泄露站點，用于發(fā)布受害者信息以便實施雙重勒索攻擊。站點發(fā)布一年多來，勒索團伙一直活躍，泄露站點當(dāng)中的受害者數(shù)量不斷增加。

2020年，該團伙入侵了德國第二大技術(shù)公司Software AG，勒索逾 2000 萬美元，創(chuàng)造了2020年前最高贖金記錄，進而被廣泛關(guān)注;除此之外，2020年內(nèi)，該組織長期潛伏，竊取了韓國E-Land Retail公司服務(wù)器上存儲的200萬用戶信用卡數(shù)據(jù)，造成了嚴重的數(shù)據(jù)泄露。

進入2021年后，Clop勒索組織變得愈加活躍起來，一舉成為最活躍的勒索組織之一。今年2月開始，與Clop相關(guān)的威脅組織利用Accellion FTA(File Transfer Appliance，文件傳輸應(yīng)用)漏洞(CVE-2021-27101等)展開攻擊，成功入侵目標(biāo)用戶后竊取了數(shù)據(jù)并勒索受害目標(biāo)，涵蓋了許多重要行業(yè)。

(2) DarkSide

DarkSide出現(xiàn)于2020年8月，其前身可能是"REvil"。該組織初期采用傳統(tǒng)的勒索模式，后續(xù)逐漸發(fā)展為RaaS模式。

該組織在攻擊前會精心挑選目標(biāo)，選擇有能力支付贖金的目標(biāo)下手，針對性制定攻擊載荷，其官網(wǎng)聲明了不攻擊醫(yī)院、臨終安養(yǎng)院、葬禮服務(wù)公司、學(xué)校、非營利組織和政府機構(gòu)等。勒索軟件執(zhí)行時會避開獨聯(lián)體國家。該組織的入侵方式有：漏洞利用、購買RDP憑證、電子郵件和網(wǎng)站釣魚攻擊。

DarkSide組織試圖將自身打造為一個專業(yè)公司形象：在官網(wǎng)發(fā)布聲明、接受記者采訪、公開更新內(nèi)容以吸引更多的合作伙伴等。在2021年4月推出的2.0功能更新中聲明加密速度快，加解密流程自動化程度更高，還會提供DDoS功能，這無疑為自己在勒索領(lǐng)域爭取了更多的“市場份額”。

截至2021年5月，僅僅9個月的時間，DarkSide通過勒索已經(jīng)獲取超過9000萬美元的比特幣，在其多重手段的威脅下，約47%的受害者支付了贖金。

(3) REvil/Sodinokibi

REvil(又稱Sodinokibi)勒索組織首次出現(xiàn)于2019年4月，一直活躍至今，是犯案數(shù)量最多的勒索組織之一。其被認為是曾經(jīng)最臭名昭著的勒索組織GandCrab的“接班人”，而GandCrab于2019年6月解散。

REvil采用成熟的RaaS運營模式，積極招募合作伙伴來分發(fā)勒索軟件，其要求合作伙伴母語必須為俄語，且有一定的網(wǎng)絡(luò)入侵經(jīng)驗。該組織常見的入侵手段有漏洞利用、釣魚攻擊、RDP暴力破解，供應(yīng)鏈攻擊等。REvil通常以全球范圍內(nèi)大中型企業(yè)作為勒索目標(biāo)，避開獨聯(lián)體國家，基于目標(biāo)年收入來制定贖金。曾宣稱其2020年勒索收入超1億美元。

2020年1月，REvil開始采用雙重勒索策略，將竊取的數(shù)據(jù)公開在其名為“The Happy Blog”的暗網(wǎng)數(shù)據(jù)泄露站點上。2021年3月，REvil為其附屬機構(gòu)提供了一項新服務(wù)：發(fā)動DDoS攻擊，向新聞媒體和受害者的商業(yè)伙伴透露相關(guān)消息，借此向受害者施壓。

(4) Babuk

Babuk是一個2021年1月初才被首次發(fā)現(xiàn)的新興組織，該組織會為每一個受害者更新勒索軟件、定制勒索信和提供用于談判的Tor鏈接。

在活動初期，該組織無論是在惡意軟件的編碼上，還是勒索贖金的行為上都顯得不夠?qū)I(yè)。有安全人員指出在最初的勒索軟件中存在一定的缺陷，勒索軟件作者注意到了這篇分析文章，并根據(jù)建議對編碼進行了修改。Babuk勒索贖金初始為6到8萬美金，遠遠低于勒索軟件在同期勒索贖金的平均水平。這些情況表明Babuk很可能是初入勒索攻擊領(lǐng)域，而不是其他“消失”的勒索組織的繼任者。

針對最初幾個未交付贖金的受害者，Babuk僅通過論壇泄露數(shù)據(jù)，不過他們很快構(gòu)建了自己的數(shù)據(jù)泄露站點。4月底，Babuk宣布他們將放棄加密勒索業(yè)務(wù)，轉(zhuǎn)而完全投向數(shù)據(jù)竊取的勒索模式， 數(shù)據(jù)泄露站點內(nèi)Babuk也重組更名為Payload Bin，不過目前來看他們純粹的數(shù)據(jù)竊取勒索進展并不順利。

(5) Avaddon

Avaddon組織于2020年6月初首次出現(xiàn)在某國外黑客論壇上，開始為其RaaS運營計劃招募合作伙伴。其勒索目標(biāo)非常廣泛，沒有行業(yè)限制，根據(jù)目標(biāo)的年收入來制定贖金金額。

2020年8月，Avaddon建立了自己的暗網(wǎng)數(shù)據(jù)泄露站點，用于公開竊取的數(shù)據(jù)。2021年1月，開始使用DDoS攻擊方式給受害者施壓。

2021年6月11日，Avaddon宣布關(guān)閉運營，并將所有2934個受害者的解密密鑰發(fā)送給研究人員制作出了免費解密器。在短短的一年時間里，Avaddon頻頻發(fā)起勒索攻擊，成為最活躍的勒索組織之一。

Avaddon常用入侵手段包括僵尸網(wǎng)絡(luò)分發(fā)、釣魚郵件、RDP暴力破解、漏洞利用等。其首次攻擊活動就與Phorphiex僵尸網(wǎng)絡(luò)進行合作，針對全球用戶，短時間內(nèi)分發(fā)了大量帶有Avaddon勒索軟件的惡意垃圾郵件。

(6) DoppelPaymer

DoppelPaymer組織出現(xiàn)于2019年6月，也拼作DopplePaymer，由BitPaymer發(fā)展而來。該組織的入侵方式有：搜索引擎廣告投放虛假軟件攻擊、釣魚郵件攻擊、RDP訪問。

2020年2月DoppelPaymer建立“Dopple Leaks”站點，用于發(fā)布在勒索活動中竊取的文件，給受害者施加壓力。其策略是先公布小部分竊取文件證明自己進行了攻擊，如果受害者拒絕支付贖金，則將所有竊取文件公布。

作為一個出現(xiàn)較早的勒索組織，DoppelPaymer至今仍然活躍。在出現(xiàn)新的勒索方式時，該組織也及時跟進，以提高攻擊的成功率和受害者支付贖金的意愿。另外，該組織創(chuàng)新性地采用社交軟件曝光受害者的行為，讓受害者承受了更大的壓力。DoppelPaymer組織的攻擊活動一方面會對公司企業(yè)造成經(jīng)濟損失和嚴重的數(shù)據(jù)泄露，另一方面還會影響社會活動的正常展開，嚴重時甚至?xí){人身安全。

(7) Conti

Conti勒索組織首次出現(xiàn)于2020年5月，在2021年眾多勒索組織中，是最活躍也最無情的，在出現(xiàn)的一年多時間內(nèi)，多次攻擊醫(yī)院和緊急醫(yī)療服務(wù)，嚴重威脅公眾生命安全。在5月中旬針對愛爾蘭醫(yī)療保健系統(tǒng)的攻擊導(dǎo)致受害者IT網(wǎng)絡(luò)關(guān)閉，許多重要醫(yī)療系統(tǒng)無法訪問。

Conti是利用RaaS模式展開攻擊活動的網(wǎng)絡(luò)勒索犯罪組織之一，他們會從其他攻擊者那里購買網(wǎng)絡(luò)的訪問權(quán)限，也會從其他的RaaS運營商購買一些基礎(chǔ)設(shè)施和攻擊工具等。該勒索組織采用雙重勒索策略，不僅會加密用戶文件，還會威脅不支付贖金的受害者將竊取的敏感文件公之于眾。

(8) Pysa

Pysa是Mespinoza的變種，Mespinoza于2019年10月首次被發(fā)現(xiàn)。最初Mespinoza使用.locked擴展名附加到加密文件中，2019年12月開始轉(zhuǎn)向使用.pysa的擴展名， 因此得名，Pysa代表“Protect Your System Amigo”。

該勒索軟件是為數(shù)不多同時針對Windows和Linux的勒索軟件之一。自發(fā)布以來，它的開發(fā)人員已多次重寫惡意軟件，包括.NET、C++和Python版本，不過這些版本的勒索軟件中一直存在一些缺陷，可能會在解密過程中損壞數(shù)據(jù)，因此在使用攻擊者提供的解密器時存在發(fā)生數(shù)據(jù)損壞的重大風(fēng)險。

Pysa背后的RaaS運營商主要針對擁有高價值數(shù)據(jù)資產(chǎn)的大型組織，初始入侵手段主要包括RDP暴力破解、釣魚郵件。今年3月，Pysa開始大規(guī)模的針對教育、醫(yī)療等行業(yè)進行攻擊，造成了十分嚴重的負面影響。

3. 受害目標(biāo)行業(yè)分布統(tǒng)計

這些活躍的勒索組織在目標(biāo)選擇上十分廣泛，不過，勒索組織攻擊活動也受到利潤的驅(qū)動，需要估算投入的成本與預(yù)期的收入，同時作為犯罪活動，也需要考慮一些風(fēng)險因素，所以這些勒索組織在目標(biāo)的選擇上也不缺乏針對性。

對2021年上半年中勒索組織進行針對性攻擊的已公開受害目標(biāo)行業(yè)進行統(tǒng)計，結(jié)果如下：

發(fā)現(xiàn)：

(1) 專業(yè)和法律服務(wù)、制造業(yè)受到勒索攻擊持續(xù)走高：

專業(yè)和法律服務(wù)和制造業(yè)在2021年上半年受到攻擊整體比例較高，究其原因，是這兩個行業(yè)的實體數(shù)量在所有行業(yè)當(dāng)中的占比較高，暴露給勒索組織的攻擊面較廣;

另外，很多專業(yè)服務(wù)公司的規(guī)模很小，缺乏專門的IT服務(wù)人員，網(wǎng)絡(luò)結(jié)構(gòu)趨于扁平化，數(shù)據(jù)備份等安全防護工作并不到位，進一步提高了針對專業(yè)和法律服務(wù)行業(yè)的勒索攻擊成功率。

(2) 醫(yī)療健康，政府機構(gòu)受攻擊情況有所好轉(zhuǎn)：

2021年，部分勒索組織攻擊相關(guān)事件的社會影響極其惡劣，例如DarkSide勒索組織攻擊導(dǎo)致美國油氣管道公司重要業(yè)務(wù)停擺，嚴重影響社會正常運作;Conti勒索組織攻擊愛爾蘭衛(wèi)生服務(wù)計算機系統(tǒng)，對衛(wèi)生和社會護理服務(wù)產(chǎn)生嚴重影響。

在2020年，甚至有勒索軟件攻擊間接導(dǎo)致病人死亡的事件，公眾也對勒索組織深惡痛絕。

這些犯罪行為導(dǎo)致多個勒索組織遭受執(zhí)法機構(gòu)高度關(guān)注、警告和打擊，為了避免由此而帶來的風(fēng)險，DarkSide和Avaddon組織甚至停止運營。

另外一些組織受這些事件影響，聲明表示不再攻擊醫(yī)院、公益組織、政府機構(gòu)等，一方面是為了減少執(zhí)法部門的注意，避免受高度關(guān)注而遭受打擊，另一方面可能是為了降低因攻擊緊急醫(yī)療服務(wù)等重要民生行業(yè)而導(dǎo)致公眾的高度厭惡。

其中，Babuk勒索組織就聲明不會攻擊醫(yī)院、非盈利性組織、學(xué)校和小企業(yè);REvil也因為DarkSide攻擊美油氣管道公司而造成嚴重后果的事件，宣布會嚴格審查其附屬機構(gòu)的攻擊目標(biāo)。

相比于行業(yè)，勒索攻擊組織也注重目標(biāo)的規(guī)模，這意味一些擁有大型網(wǎng)絡(luò)的企業(yè)面臨著較高的被攻擊的風(fēng)險。

4. 勒索技術(shù)手段趨勢分析

在針對目標(biāo)進行攻擊手法上，今年上半年RDP弱口令、釣魚和漏洞利用仍是勒索軟件的主要入侵手段。特別是從去年開始，由于新冠持續(xù)流行，遠程辦公需求大幅度增加，勒索軟件攻擊者通過脆弱的VPN憑據(jù)進入企業(yè)內(nèi)部網(wǎng)絡(luò)的風(fēng)險也大大增加。

各種未修補的漏洞和0day漏洞也是企業(yè)網(wǎng)被突破的罪魁禍?zhǔn)?。Babuk勒索組織今年就在論壇上公然收購VPN 0day漏洞，意圖借此入侵更多數(shù)量的受害者。值得注意的是，多個新披露的漏洞被勒索攻擊者加入武器庫，相當(dāng)數(shù)量的受害者受此影響：

• Accellion FTA漏洞被Clop組織利用，入侵了數(shù)十名受害者的服務(wù)器，竊取了大量的文件數(shù)據(jù)進行勒索， Clop也因此一躍成為最活躍的勒索組織之一。
• QLocker勒索軟件僅僅利用未修復(fù)漏洞的QNAP NAS(Network Attached Storage，網(wǎng)絡(luò)附屬存儲)設(shè)備，一個月時間勒索贖金就達到35萬美元，受害者數(shù)量達到數(shù)百名。
• 微軟 Exchange Proxylogon漏洞(CVE-2021-26855等)自披露以來，被多個惡意加密軟件利用，發(fā)動勒索攻擊。

為使更多的用戶感染勒索軟件，攻擊者在傳播手段上也煞費苦心。REvil首創(chuàng)了一個“巧妙”的攻擊方式，通過SEO(Search Engine Optimization，搜索引擎優(yōu)化)提升惡意鏈接訪問量。SEO借助搜索引擎的運行規(guī)則來調(diào)整網(wǎng)站，以提高網(wǎng)站在搜索引擎結(jié)果上的排序。

至少自2020年底開始，REvil勒索組織就通過向多個被入侵的WordPress網(wǎng)站注入數(shù)百頁虛假內(nèi)容來濫用這些網(wǎng)站，提升惡意鏈接在Google搜索引擎上的排名，一旦受害者訪問了該網(wǎng)站，便會被誘導(dǎo)下載Gootloader加載器，用于加載其他惡意程序，包括REvil勒索軟件、Gootkit銀行木馬和Cobalt Strike入侵工具。

當(dāng)然，部分勒索組織也會招募專業(yè)的“暗網(wǎng)”黑客或向其他攻擊者購買基礎(chǔ)設(shè)施、工具等來侵入目標(biāo)網(wǎng)絡(luò)，甚至直接購買網(wǎng)絡(luò)訪問權(quán)限，根據(jù)已經(jīng)跟蹤的勒索組織入侵技術(shù)點結(jié)合ATT&CK模型進行總結(jié)，勒索組織入侵各個階段最常用的技術(shù)手段如下表：

攻擊者在目標(biāo)網(wǎng)絡(luò)潛伏的最終目的是竊取目標(biāo)關(guān)鍵數(shù)據(jù)和加密重要文件，掌握足夠籌碼以勒索受害者，所以提升網(wǎng)絡(luò)攻擊防護能力、提高人員安全意識，做好數(shù)據(jù)備份等工作是防范這些攻擊的有效方法。

5. “商業(yè)模式”演進

勒索攻擊重要目標(biāo)之一就是提高受害者支付贖金的意愿，自從Maze勒索組織開啟了竊取用戶敏感數(shù)據(jù)后再加密數(shù)據(jù)，威脅不支付贖金就公開這些數(shù)據(jù)的“雙重勒索模式”，大量勒索組織也加入其中，Clop、REvil、Babuk等勒索組織是其中的典型。

在這種策略下，受害者即使擁有數(shù)據(jù)備份，也會因為有機密數(shù)據(jù)泄露的風(fēng)險而不得不支付贖金。目前， “雙重勒索”模式已經(jīng)是很多勒索組織的標(biāo)準(zhǔn)配置了，多數(shù)勒索組織建立了自己的數(shù)據(jù)泄露站點以向受害目標(biāo)施壓。

然而，隨著攻擊策略的繼續(xù)演變，攻擊策略又獲得了升級，向三重甚至多重勒索進化。2020年，一家芬蘭診療機構(gòu)被攻擊，泄露超4萬名患者的隱私數(shù)據(jù)，攻擊者不僅要求被攻擊方提供贖金，還向部分患者勒索了少量贖金。

進入2021年，這種升級策略發(fā)生了新的變化。今年2月，REvil勒索軟件運營商宣布，他們將采用DDOS攻擊并與新聞媒體和受害者的商業(yè)伙伴進行聯(lián)系，向受害者進行施壓以迫使他們支付贖金。DoppelPaymer甚至擁有自己的社交賬戶，肆意公布受害者的相關(guān)消息，損害受害者的商業(yè)信譽。

勒索軟件及其背后的運營者日益猖獗，如果攻擊者手中有更多的籌碼，那么就更易撬動贖金規(guī)模更上一個臺階，巨大的利益必將驅(qū)使勒索軟件的運營者對其“商業(yè)模式”的不斷創(chuàng)新。

6. 值得注意的其他趨勢

進入2021年，一些針對性的勒索軟件團伙除了技術(shù)手段和“商業(yè)模式”的變化外，還有一些其他的變化：

(1) 更多的勒索組織開始將攻擊目標(biāo)轉(zhuǎn)向云上業(yè)務(wù)：

勒索軟件主要加密平臺一直是Windows，但隨著云上業(yè)務(wù)的蓬勃發(fā)展，很多企業(yè)將自身業(yè)務(wù)向云上遷移，更多勒索組織將目光轉(zhuǎn)向云上，將自身攻擊能力向多平臺進行擴展，如今年Babuk、REvil勒索組織就開始著手開發(fā)Linux版本的勒索軟件，針對EXSI等虛擬化管理平臺進行加密。通過多平臺的勒索軟件，攻擊者也可以在部署了NAS等重要軟件的Linux系統(tǒng)上展開攻擊。

(2) 針對性勒索攻擊的贖金規(guī)模逐漸上升：

在贖金的規(guī)模上，2021年上半年也是屢創(chuàng)新高。今年3月底，美國最大的保險公司之一CNA Financial遭受了Phoenix Locker勒索軟件攻擊，向黑客支付了4000萬美元。

同一個月，宏碁也遭到勒索組織REvil攻擊，索要贖金更是高達5000萬美元，除此之外，REvil在今年的7月2日，攻擊了管理服務(wù)提供商Kaseya并發(fā)動供應(yīng)鏈攻擊，公然要求支付的贖金竟然高達7000萬美元，折合人民幣超4.5億。

然而，在2020年，最高要求的贖金規(guī)模為3400萬美元，追溯到2019年，最高贖金規(guī)模僅1500萬美元。根據(jù)Coveware一份報告，2021年Q1較2020年Q4平均贖金增加43%，贖金中位數(shù)增加59%，這些數(shù)據(jù)充分的說明了大型企業(yè)/組織數(shù)據(jù)的重要性和保密性。

(3) 部分組織由數(shù)據(jù)加密向純粹的數(shù)據(jù)泄漏勒索策略轉(zhuǎn)變：

勒索加密出現(xiàn)了不同于傳統(tǒng)RaaS模式的新趨勢，今年初，Clop勒索組織就通過FTA文件傳輸系統(tǒng)漏洞大肆竊取用戶敏感數(shù)據(jù)，不過攻擊者并沒有加密用戶數(shù)據(jù)，僅憑泄漏的數(shù)據(jù)就勒索大量的受害者。

雖然這可能是慣用勒索軟件加密文件的攻擊中的偶然現(xiàn)象，但是已有勒索軟件組織宣布完全放棄加密業(yè)務(wù)轉(zhuǎn)而投向純粹的數(shù)據(jù)竊取來進行勒索，正如之前對Babuk的介紹，它正高調(diào)的宣傳自己在策略上的轉(zhuǎn)變，甚至要將開發(fā)的惡意加密軟件開源。

引起該轉(zhuǎn)變的部分原因與雙重勒索策略的出現(xiàn)原因相重疊：各個企業(yè)機構(gòu)安全意識的提升，在數(shù)據(jù)備份技術(shù)等安全技術(shù)的支持下，加密勒索策略有效性降低。

除此之外，惡意加密軟件編碼可能存在的缺陷會導(dǎo)致無法正確的對受害者的文件進行加密和解密，這會嚴重的影響勒索組織所謂的“商業(yè)信譽”，降低受害者支付贖金的比例。

另一個原因，可能是勒索組織擔(dān)心加密對數(shù)據(jù)可用性的破壞會導(dǎo)致嚴重的社會影響，進而被執(zhí)法機構(gòu)更多的關(guān)注而遭受毀滅性的打擊，距離DarkSide發(fā)動對油氣管道供應(yīng)商的加密勒索攻擊而導(dǎo)致解散的事件發(fā)生時間并不遙遠。不過，與加密情況相比，如果僅竊取數(shù)據(jù)來進行勒索，攻擊者可能需要竊取更多或更重要的數(shù)據(jù)才能掌握足夠談判籌碼，未來是否有更多的組織放棄加密業(yè)務(wù)還未可知。

(4) 勒索組織盯上供應(yīng)商，發(fā)動供應(yīng)鏈攻擊影響巨大：

供應(yīng)鏈?zhǔn)巧虡I(yè)與經(jīng)濟的命脈，正因如此，近幾年網(wǎng)絡(luò)犯罪團伙和國家級黑客屢次將目標(biāo)對準(zhǔn)“這塊肥肉”，發(fā)動多起重大供應(yīng)鏈攻擊事件，例如SolarWinds 供應(yīng)鏈攻擊事件，曾導(dǎo)致企業(yè)競爭優(yōu)勢的喪失和嚴重的財務(wù)風(fēng)險。

勒索組織對供應(yīng)鏈攻擊的關(guān)注度也一直很高，早在2017年，NotPetya就曾對馬士基航運發(fā)動供應(yīng)鏈攻擊，造成全球59個國家的76個港口運營中斷。

REvil勒索組織活動期間，多次對MSP供應(yīng)商發(fā)動攻擊，今年，更是借助0day攻擊入侵Kaseya VSA服務(wù)器，發(fā)動供應(yīng)鏈攻擊，向MSP提供商推送攜帶惡意軟件的更新，甚至導(dǎo)致下游的瑞典連鎖超市Coop收銀系統(tǒng)遭受嚴重故障，500余家門店被迫關(guān)閉，另外有1500多家公司也受到此次事件的影響。

目前，勒索組織發(fā)動的供應(yīng)鏈攻擊時有發(fā)生，利用供應(yīng)鏈進行攻擊產(chǎn)生的破壞力異常驚人，防范此類型的攻擊也是企業(yè)和組織需要關(guān)注的重點。

(5) 工業(yè)互聯(lián)網(wǎng)安全值得進一步得到關(guān)注：

工業(yè)互聯(lián)網(wǎng)安全是網(wǎng)絡(luò)和信息安全的重要組成部分，工業(yè)互聯(lián)網(wǎng)大多是與人民群眾生活息息相關(guān)的重要基礎(chǔ)設(shè)施，例如石油運輸管道、地鐵，火車，城市交通、工業(yè)生產(chǎn)等領(lǐng)域，是關(guān)系到國計民生的重要行業(yè)。隨著互聯(lián)網(wǎng)+、物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、人工智能等為代表的新一代信息技術(shù)與傳統(tǒng)工業(yè)生產(chǎn)系統(tǒng)的加速融合，工業(yè)互聯(lián)網(wǎng)打破了傳統(tǒng)工業(yè)相對封閉可信的制造環(huán)境。

而長期的獨立與封閉，導(dǎo)致了工控系統(tǒng)中存在很多未被修復(fù)和關(guān)注的漏洞，其中不乏一些嚴重的漏洞。由于工業(yè)控制系統(tǒng)的重要性，開放帶來的信息安全問題也日益嚴重，甚至被勒索組織列為目標(biāo)。

美國最大油氣管道運營商Colonial受勒索軟件攻擊被迫關(guān)閉了燃料供應(yīng)鏈系統(tǒng)，該事件再次為工控數(shù)據(jù)安全敲響了警鐘，受勒索攻擊后，多個州進入緊急狀態(tài)，造成的社會負面影響十分嚴重。工控系統(tǒng)面臨的勒索攻擊形式嚴峻，工業(yè)互聯(lián)網(wǎng)的信息安全問題已引起國家和社會各界的高度重視。

7. 總結(jié)

針對性勒索攻擊作為企業(yè)和大型組織安全的重要威脅之一，已經(jīng)發(fā)展出了高度的組織化和產(chǎn)業(yè)化，其造成的不單是經(jīng)濟上的損失和數(shù)據(jù)的破壞，更損害企業(yè)的信譽，影響產(chǎn)業(yè)發(fā)展，甚至對社會運行和公眾的生命財產(chǎn)安全也造成了嚴重威脅。

惡意攻擊者受到利潤的驅(qū)使，思路也在發(fā)生著變化。持續(xù)研究不同勒索組織產(chǎn)生和發(fā)展過程，掌握勒索犯罪組織整體的動向與趨勢，能夠幫助我們更好的了解這一網(wǎng)絡(luò)犯罪“產(chǎn)業(yè)”，從而找到更好防范勒索攻擊與打擊背后犯罪活動組織者的方法。新華三安全攻防實驗室將持續(xù)關(guān)注跟進，并將研究成果及時轉(zhuǎn)換輸出。