伴随5G、邊緣計算、數字孿生等技術的發展，傳統企業邁入數字化轉型時代，但與之相對的，是同步進化的勒索病毒與勒索團夥。

雲時代網絡安全解決方案提供商Palo Alto Networks（派拓網絡）近期發布的《2022年Unit 42事件響應報告》顯示，投機的網絡攻擊者大量利用軟件漏洞和弱點實施攻擊。

從行業角度來看，金融和房地産的贖金金額位于第一梯隊，平均分别被勒索近800萬美元和520萬美元。總體而言，勒索病毒和商業電子郵件洩露（BEC）是事件響應團隊在過去12個月中做出響應的首要事件類型，約占事件響應案例的70%。

伴随國家互聯網信息辦公室公開征求《關于修改〈中華人民共和國網絡安全法〉的決定（征求意見稿）》，企業在推動技術轉型的同時，也越發重視網絡安全與風險應對。

國内網絡安全廠商亞信安全認為，大量“堆砌”的安全産品和零散部署的安全檢測技術無法與現代勒索病毒攻擊對抗，而應參考與APT（Advanced Persistent Threat高級長期威脅）對抗的模式應對勒索病毒，企業對網絡安全防護既要有“意識”，也要有“投入”。

同步進化的勒索病毒

亞信安全首席研發官吳湘甯表示，在數字化轉型過程中，企業IT水平在不斷提升，這也意味着安全防護能力也需要伴随整個基礎建設同步進行。目前來看，大部分行業客戶具備這個意識，但距離“解決問題”尚有差距，這個差距主要來源于對整個網絡安全的認知還不到位，這一點是目前行業客戶所面臨的巨大挑戰。

亞信安全副總裁徐業禮認為，2010年至2015年之間，是網絡安全的真空期，這期間網絡黑産團夥主要利用漏洞進行組織滲透、搞植入木馬與信息破壞。勒索病毒真正大範圍流行始于2016年，當時出現的勒索病毒Cerber與Loki目前仍很流行。

在2016年，特别是2017年勒索病毒WannaCry出現過後，勒索技術與蠕蟲技術進行了結合，出現衆多勒索攻擊的前置木馬和工具條件。

2018年至2019年間，伴随挖礦軟件的興起，部分人員轉向挖礦，勒索産業數量短暫地縮小。徐業禮稱，從這點來看，整個網絡安全黑産變化的背後，實際是利益的變化。

目前，伴随技術發展，勒索黑産也在逐漸進化，勒索病毒攻擊已成為網絡安全最大威脅，并已形成大量分工細緻、專業化、職業化的勒索團夥組織。徐業禮表示，勒索攻擊目前已正式進入到2.0時代，其攻擊特點高度符合行業對APT攻擊的認定标準。現代勒索攻擊轉變升級主要體現在作戰模式、攻擊目标和勒索方式上。

何為RaaS團隊式攻擊

勒索的作戰模式從傳統的小型團夥單兵作戰，轉變為模塊化、産業化、專業化的大型團夥作戰的背後，是勒索模式運營的進化——即RaaS的興起。

RaaS的盛行造成勒索攻擊覆蓋面更廣，危害程度顯著增加；其次，對于勒索攻擊的目标，也從過往的廣撒網蠕蟲式攻擊升級成為針對政府、關鍵信息基礎設施、各類企業的定向攻擊；另外，從勒索方式來看，現代勒索攻擊已經從傳統的支付贖金恢複數據的勒索方式，演化為同時開展雙重勒索，甚至三重勒索。

北京郵電大學網絡空間安全學院教授、副院長彭海朋表示，勒索病毒的攻擊能力十分驚人，一方面勒索病毒的作者在延續開發周期，其制作新變種的更新速度和攻擊方式變化極快，加強軟件彈性、駐留能力、無文件、免殺逃逸等額外功能也将成為勒索病毒的标配。另一方面，RaaS的攻擊形式進一步增強了攻擊的隐蔽性，且勒索攻擊已由個人或單個黑客團夥攻擊轉向層級分明、分工明确的黑色産業活動，勒索行為日益專業化。

亞信安全報告顯示，2022年度包括RaaS團夥在内的勒索病毒家族數量逐漸遞增，截至目前已有65個，預計至今年年底将增加到90個左右。

徐業禮表示，2018年底，行業内出現了一家新的勒索攻擊組織——Maze。以前的勒索攻擊方式是破壞企業系統，但并不去進行對外洩露。而Maze的攻擊方式是先将企業數據偷走，再将企業本地計算機内的文件進行加密，進行雙重勒索。之前的勒索病毒贖金一般在100美元至十萬美元之間，但如今的勒索攻擊贖金動辄百萬美元，有的甚至達到兩三個億的規模。

徐業禮表示，2019年，傳統勒索病毒從業者紛紛轉行至RaaS，且該模式也在逐漸進化升級，采用加盟模式，但是開發和運營RaaS的門檻也很高，核心人員多為頂尖的人員，因此家族數量并不多，但造成的負面影響卻極大。

例如強大如科技巨頭英特爾、三星等，也均遭遇過勒索病毒攻擊。2022年2月，新興的勒索組織Lapsus$公開承認盜取英偉達近1TB的數據；3月，Lapsus$攻擊三星電子，并将盜取的近190GB數據拆分為三個壓縮文件對外洩露。

企業如何提高網絡安全意識

派拓網絡大中華區總裁陳文俊表示，目前整個金融服務業都在向數字化轉型，業務數據量爆發，迅猛增長。同時，企業也開始使用一些公有雲服務，與客戶溝通的類型也在發生轉變——以前客戶會到分行裡辦理業務，如今，客戶更注重體驗和互動，如通過銀行服務。行業員工也因疫情時常居家辦公，人員逐漸移動化，開始使用網上銀行。

在此背景下，陳文俊表示，金融行業面臨非常大的挑戰，也是網絡攻擊的首要目标，因為金融行業的客戶擁有大量的金融資産和數據資産，受到攻擊後，黑客能夠比較容易地獲得更多利益，因此目前來看，金融行業是遭遇安全事件和數據洩露最多的行業之一。

整體來講，不論面向哪個行業，勒索病毒攻擊均可以分為六個階段——初始入侵、持續駐留、内網滲透、命令控制、信息外洩、執行勒索。亞信安全認為，單一防禦安全體系很難對這種有别于傳統病毒的“殺傷鍊”發揮作用，如現代勒索攻擊團夥在入侵後會潛伏幾天、幾周甚至數月，在真正運行勒索病毒加密删除文件之前都會偷偷尋找有價值的文件或數據，并将其外傳。另外，在勒索加密代碼真正啟動之前，一般都會進行免殺處理，以此讓防毒軟件失效。

為此，亞信安全通過終端、雲端、網絡、邊界、身份、數據的檢測與響應以及威脅數據、行為數據、資産數據、身份數據、網絡數據等的聯動分析，形成了針對勒索病毒治理全鍊條，覆蓋“事前、事中、事後”運營處置，為貫穿勒索病毒事件應急響應全流程的關鍵動作提供了支撐。

徐業禮對記者表示，随着企業每一次在網絡攻擊面前遭受攻擊，他們越來越認識到黑灰産業所造成的破壞力，逐漸增強對網絡的安全意識。企業及早防護所做出的投入，比受到攻擊後所造成的停産、停業、停機的成本要少得多。

“網絡安全公司一定是對各個行業的企業或者部門的數字化轉型起到基本的輔助作用，關鍵還是需要企業本身有這個意識。”吳湘甯對記者表示。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!