每經記者：朱成祥 每經編輯：梁枭,程鵬

2022年，在新冠疫情肆虐同時，網絡世界也同樣不安全。今年上半年，全球GPU龍頭英偉達、輪胎巨頭普利司通、家居巨頭宜家均遭受網絡攻擊。

疫情改變了人們的生活，也改變了很多公司的工作方式，雲上辦公越來越普及，各大公司的數據也逐漸暴露在互聯網世界裡。數字化進程在加快，網絡安全、數據安全的防護水平卻未能與時俱進。這也給很多勒索組織提供了機會，多家公司的數據信息遭到攻擊，甚至被洩露。

其中，LockBit、Conti和Lapsus$三大勒索組織尤為突出。他們是什麼背景，為何網絡攻擊行為如此肆無忌憚，我們應該如何防護呢？

網絡攻擊肆無忌憚

如果在2021年提起Lapsus$，即使網絡安全專業人員也很少聽聞。然而進入2022年，Lapsus$的大名可謂如雷貫耳。作為一個新興的勒索組織，Lapsus$崛起速度之快不禁令人咋舌。

Lapsus$之所以迅速聞名，是因為其對一系列大型科技巨頭的連續攻擊。2021年12月，Lapsus$嶄露頭角。彼時，他們攻擊了巴西衛生部，竊取并删除了大量數據從而進行勒索。2022年2月，該組織又攻擊了葡萄牙多家媒體集團以及沃達豐葡萄牙公司。

真正令Lapsus$揚名的還是攻擊英偉達。當年2月，該組織宣稱，他們在正式攻擊英偉達之前已經在内部系統潛伏了一周之久，也已經獲取了1TB的機密數據，包括未發布的40系列顯卡的設計藍圖、驅動、固件、各類機密文檔、SDK開發包，并對所有數據進行了備份。

作為全球數一數二的硬件科技公司，英偉達立刻反擊，成功黑掉了Lapsus$的電腦。不過，由于Lapsus$做了數據備份，英偉達的反擊未果。

其後，英偉達在聲明中表示，公司在2022年2月23日發現一起影響IT資源的網絡安全事件；發現此事不久後，該公司進一步強化了網絡安全，聘請了網絡安全事件響應專家，并通知了相關執法部門。

由此可見，“術業有專攻”，即使硬件技術強如英偉達，也需要專業網絡安全專家的協助。

不僅僅是英偉達，2022年3月，另一科技巨頭三星也遭到Lapsus$攻擊。Lapsus$勒索組織發布了一份報告，其中包含了三星電子大量機密數據，以及三星軟件中C/C 指令快照的内容。

神秘的勒索組織

Lapsus$究竟什麼背景，為何在短時間内有能力連續攻擊兩大科技公司？有業内人士告訴《每日經濟新聞》記者，他們用的手段在技術層面并非領先，而是找到了薄弱點。也就是說，主要是企業方面的原因。企業有很多薄弱點，其薄弱點被勒索組織發現并實施了攻擊。Lapsus$如此聞名，還是因為它比較活躍，因此被認知出來。

值得一提的是，據新浪科技報道，英國牛津的一名16歲少年被指控為信息安全犯罪團夥Lapsus$的頭目之一。倫敦市警方表示：“7名年齡在16至21歲之間的人因涉嫌黑客組織活動而被捕。他們随後在調查中獲釋，但調查仍在進行中。”

不過目前Lapsus$仍在持續活躍，在發布“我們正式從假期回來了”的消息之後，該組織随即公布了入侵軟件服務公司Globant獲取的近70G源代碼數據。

如果說Lapsus$是後起之秀，Conti則算得上“常青樹”。它是當今最大、最多産的勒索軟件團夥之一，擁有數十名活躍的全職成員。更危險的是，它還提供勒索軟件即服務（RaaS），即普通人購買了該組織的RaaS産品，也可以輕松地對各個機構、公司、個人發起攻擊。

在今年一季度的Conti被害者名單上，相較知名的就有年入近50億美元的服務公司RRD，中國台灣電子産品制造公司台達電子，印度尼西亞中央銀行印度尼西亞銀行（BI）。據IT之家消息，台達電子1500台服務器和12000台計算機已被攻擊者加密，受影響設備占比約20.8%，攻擊者要求支付贖金1500萬美元。

Conti勒索軟件在2019年12月首次被發現，并在2020年7月作為RaaS開始運營，目前仍在活躍。值得注意的是，其仍在提升攻擊能力。據行業媒體安全419報道，一季度一份來自Conti内部人員的群聊信息被披露，Conti曾公司化運作，且有大量預算購買安全檢測類産品，用以勒索病毒程序的日常強化。

“勒索軟件即服務”趨勢

除了Conti提供勒索軟件即服務産品，另一大勒索組織LockBit也提供類似産品。據新餘網警巡查執法微博，4月7日，江西新餘渝水分局下村派出所接到轄區某企業報警稱，公司一台電腦受到了病毒攻擊，重要數據全部被惡意加密，嚴重影響公司正常生産經營。該公司電腦感染的是一款名為“LockBit 2.0”的勒索病毒，被感染的電腦所有文件均被病毒惡意加密，無法正常使用和訪問，攻擊者宣稱需要向其支付一定數額的“贖金”才會将數據解密返還。這也正如安全專家之前指出的那樣，勒索攻擊正呈RaaS（勒索軟件即服務）化趨勢。

據行業媒體安全419報道，安全人員最新的研究顯示，LockBit勒索軟件加密效率驚人，四分鐘内就可加密完成10萬個Windows文件，這也意味着一旦病毒程序在組織一側被執行，留給涉事企業喘息的時間并不多。

一方面，勒索軟件攻擊能力驚人；另一方面，RaaS的攻擊形式也進一步增強了攻擊的隐蔽性。據業内人士透露，目前勒索攻擊已由個人或單個黑客團夥攻擊轉向層級分明、分工明确的黑色産業活動，勒索行為日益專業化。

一方面，為實現價值多向變現，黑客團夥除自身發動勒索攻擊外，還會借由暗網和虛拟貨币技術，對外出租或售賣成熟的勒索軟件産品和服務，這促使數據勒索“産業鍊”逐漸形成，上中下遊的勒索軟件開發者、勒索執行者，以及應運而生的贖金談判和贖金代管者之間相互協作配合，共同瓜分勒索收益，大大降低了攻擊的技術門檻。另一方面，不同黑客團夥之間開始着手構建具有精準配合關系的勒索商業聯盟，通過共享受害者信息等手段，擴大勒索商業模式，并進一步增強勒索攻擊能力和隐蔽性。

鍛造網絡安全之盾

那麼，面對強大又隐蔽的勒索攻擊組織，企業、機構、個人又該如何防護呢？對于企業來說，需要在事前、事中、事後等階段做好相關的勒索防護措施，比如說在事前做好相關的安全意識培訓（人是整個安全鍊條裡面最不可控的一環），然後做好相關威脅的演練。

而對于監管單位，應該頒布相關法律，如果遭到數據勒索，并且發生了因數據洩露等衍生危害，讓相關的企業也承擔起對應的責任。然後要求一些關鍵的信息基礎設施單位針對性建設相關的勒索防護解決方案。

面對肆無忌憚的勒索攻擊，安恒信息（SH688023，股價147.66元，市值115.92億元）勒索防護方案以EDR為核心，聯動多款安全設備，覆蓋檢測、預防、防禦、響應、溯源、加固等6大階段，在事前通過勒索專項評估能力，對資産進行基線檢查及安全體檢，監測資産存在的風險，預測風險事件。在事中構築端網一體化勒索專項防護能力，結合自動化響應處置能力，高效發現并且防禦勒索威脅。在事後基于追蹤溯源能力，進行有效調查取證和反制，并針對薄弱項進行二次加固。通過事前檢測預防、事中防禦響應、事後溯源加固的縱深一體化縱深防禦體系，将數據勒索風險降到最低。

在預防層面，安恒信息該方案通過基線檢查、資産體檢、勒索專項評估等能力，對系統進行全面、多層次的風險評估，精準識别出系統的潛在風險，如弱口令、威脅文件、高危漏洞、錯誤配置等。并針對現存的安全弱點提出有效的安全整改建議，通過補短闆降低數據勒索風險。

在防禦層面，安恒信息勒索防護方案可以從主機層、數據層、流量層、網絡層對惡意勒索行為及文件進行深度檢測，讓勒索病毒無處遁形。

主機層：基于内核級多維度的勒索專殺引擎，如特征檢測引擎、行為檢測引擎、誘餌檢測引擎等，高效的實時保護用戶關鍵業務數據及服務。

數據層：識别關鍵數據，對關鍵數據加強監控，可以更好地監控數據竊取和破壞行為，為關鍵數據的備份策略設置更高的RPO和RTO，能更好地保證數據完整性。

流量層：基于關鍵區域入口的旁路鏡像流量進行深度解析，為發現流量中的惡意攻擊進行全面的檢測和預警。

網絡層：建立資産勒索風險評估基線，通過多維特征評估和威脅綜合分析，将高風險資産進行訪問權限控制以及有效隔離。

另外，該系統也基于主動防禦、自動化編排響應、微隔離、高級威脅防禦等技術，有效阻斷勒索病毒在内網運行以及橫向擴散，有效抑制威脅的影響範圍，最大化程度降低威脅在業務系統内的駐留時間。此外，安恒信息勒索防護方案還能對勒索風險在網絡層、系統層、數據層、應用層等多個層面進行深度專項加固。

行業數據概覽

統計數據顯示，2022年5月境内計算機惡意程序傳播次數達到2.47億次之多，較4月的25169.8萬小幅下降1.8%。5月每周的境内計算機惡意傳播次數先增後小幅度下降，又繼續新增，整體較第一周均有所上漲。第4周最高，達到6615.2萬。境内感染計算機惡意程序主機數量來看，5月達到543.8萬，具體各周來看呈下降趨勢，第四周隻有83.7萬，較第一周的157.1萬下降了46.7%，可見境内感染惡意程序主機數量得到明顯控制。惡意程序會損壞文件、造成系統異常、竊取數據等，對計算機傷害很大，一定要高度重視。加強企業安全防護和個人安全意識尤為重要。

境内被篡改網站總數達到6260個，其中政府類網站數量呈上升趨勢。政府類網站一直是黑客關注的目标之一，需要高度重視網站防護。從境内被植入後門網站總數來看，5月累計2160個，每周數據呈遞減狀态，其中政府網站數量13個。網站被植入後門會損害形象，傳播病毒，黑客可能會通過shell獲取系統級權限，進一步擴大危害，建議加強防護及時修複安全問題。

從境内的仿冒網站數量來看，5月第4周較之前明顯下降，可見防護得當。仿冒網站數量下降也歸功于全國反詐工作較為成功，越來越多的用戶也更有反詐意識，自發加入反詐宣傳。

5月爆發了不少全球高關注的漏洞事件，本月新增漏洞1404個，較4月的1139個增加23.3%，其中5月高危漏洞達到488個，較4月368個也有增長，增幅達32.6%。針對安全漏洞問題，除了必要的安全防護産品保護，還要加強個人意識，一定要在正規途徑下載應用，并及時更新。

勒索軟件最常攻擊工業和政府部門

據安恒信息2021年上半年勒索病毒流行态勢分析報告，2021年湧現出很多新的勒索團夥，其中比較活躍組織的有Revil、Dark Side、Avaddon、Conti和Babuk。上圖為上半年勒索團夥攻擊事件占比分布。

2021年上半年，在全球範圍内，制造業受勒索軟件的影響較為嚴重，占攻擊事件的17.43%。與往年相比，針對醫療行業的攻擊仍處于上升階段，占比達到16.56%。對政府機構、教育、科技、傳媒、金融等也影響較重。

2020年，收到IR請求比例最大的領域是工業部門（26.85%），其次是政府（21.3%）。這兩個部門加起來占比近半。

2021年，政府和工業部門仍然是最常被攻擊的領域，前者略有增加，後者略有下降。影響IT部門的攻擊數量也大幅增加：從2020年的2.78%增加到2021年的13.33%。

記者|朱成祥

編輯|梁枭 程鵬 杜波

校對|段煉

｜每日經濟新聞 nbdnews 原創文章｜

未經許可禁止轉載、摘編、複制及鏡像等使用

每日經濟新聞

每日經濟新聞

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!