信息化觀察網(wǎng)

本文來自微信公眾號“安全419”，作者/西西。

自1989年首次出現(xiàn)以來，勒索軟件經(jīng)歷了三十多年的發(fā)展，已經(jīng)成為全球網(wǎng)絡(luò)空間安全面臨的重大威脅和挑戰(zhàn)。在今年，其攻擊聲勢和復(fù)雜程度都在進(jìn)一步變嚴(yán)峻。

根據(jù)安全419的勒索軟件攻擊季度盤點(diǎn)和全球各機(jī)構(gòu)發(fā)布的相關(guān)調(diào)研報(bào)告，VMware ESXi、GoAnywhere MFT、MOVEIT等漏洞的曝出導(dǎo)致了廣泛的供應(yīng)鏈威脅，全球的政府公共部門、教育醫(yī)療機(jī)構(gòu)、金融機(jī)構(gòu)、關(guān)基單位、商業(yè)組織等重點(diǎn)行業(yè)都慘遭勒索組織的毒手。

除了重大軟件漏洞的利用，勒索軟件攻擊過程正變得越來越復(fù)雜，比如結(jié)合了人工智能等數(shù)字化新技術(shù)不斷增強(qiáng)了新的攻擊面，比如采用新的編程語言逐漸具備了覆蓋Linux、VMwareESXi、MacOS等跨平臺攻擊能力，比如多重勒索模式盛行讓受害者陷入被勒索攻擊、數(shù)據(jù)遭竊取、進(jìn)而更易被攻擊的惡性循環(huán)。

遺憾的是，雖然攻擊愈加“高端”，但勒索軟件即服務(wù)RaaS在暗網(wǎng)已成規(guī)模，被快速出售的工具和服務(wù)，甚至被公開流轉(zhuǎn)的源碼和構(gòu)建器，吸納衍生出更多的新型犯罪團(tuán)伙，讓勒索組織/家族的生態(tài)更加龐大、猖獗。

從結(jié)果來看，便是勒索攻擊事件爆發(fā)的數(shù)量和索要/支付的贖金都呈現(xiàn)明顯上升趨勢。

僅2023年上半年，全球披露的勒索攻擊事件達(dá)2000多次，同比去年有較大增長。有機(jī)構(gòu)通過監(jiān)測近150個網(wǎng)絡(luò)犯罪集團(tuán)發(fā)現(xiàn)，平均每天至少有10家企業(yè)遭受勒索軟件攻擊。

在Chainalysis公布的一組數(shù)據(jù)中，2023年全球的勒索軟件贖金從虛擬貨幣市場追蹤的總金融可能達(dá)到8.98億美元，其中僅上半年受害者就向勒索軟件團(tuán)伙支付了4.49億美元贖金。知名個案比如凱撒娛樂在8月遭到入侵，其向勒索團(tuán)伙支付了1500萬美元。

遭遇勒索攻擊后，與綁匪硬剛到底同樣需要花費(fèi)巨大的精力和財(cái)力來恢復(fù)運(yùn)營，選擇支付贖金自然成為部分受害機(jī)構(gòu)的“便利”選擇。雖然監(jiān)管機(jī)構(gòu)和輿論環(huán)境一直不支持花錢消災(zāi)，但在實(shí)際實(shí)施中，選擇支付贖金的機(jī)構(gòu)仍不在少數(shù)，知名機(jī)構(gòu)的妥協(xié)也容易讓更多的潛在受害者效仿。

但是，一票的損失就可以換來確切的、長久的安穩(wěn)了嗎？

Cybereason的調(diào)查數(shù)據(jù)顯示，首先，付費(fèi)并不能保證運(yùn)營會恢復(fù)正常，46%的人在付款后重新訪問了他們的數(shù)據(jù)，但部分或全部數(shù)據(jù)已損壞，25%的受訪者表示，勒索軟件攻擊導(dǎo)致他們的組織關(guān)閉。

更令人不安的是，大約80%選擇支付贖金的組織會遭到第二次攻擊，近一半的人表示他們認(rèn)為是同一個團(tuán)伙所為。

對于勒索組織來說，付費(fèi)傳遞出商業(yè)模式的可行性，只會鼓勵更多攻擊從而加劇問題。而且盈利將幫助其提升技術(shù)和運(yùn)營，后續(xù)的攻擊不僅更多而且更難以抗衡，無疑是助長勒索市場的進(jìn)一步擴(kuò)大，而往往正是這些選擇支付贖金的機(jī)構(gòu)，以及同行業(yè)或同地區(qū)的機(jī)構(gòu)，會成為首當(dāng)其沖的受害者。

受害機(jī)構(gòu)可能十分委屈，遭遇攻擊的當(dāng)下無法考慮長遠(yuǎn)的生態(tài)問題，選擇付款只是為了解決眼前迫在眉睫的困境。需要明確的是，勒索攻擊是一個過程，而不是一個瞬時動作，被攻擊并非就無法生還，根據(jù)奇安信《2023年中國企業(yè)勒索病毒攻擊態(tài)勢分析報(bào)告》繪制的勒索病毒攻擊“生存曲線”，0~30分鐘是勒索病毒攻擊應(yīng)急響應(yīng)的“黃金救援期”，系統(tǒng)生存率仍在90%以上；以590分鐘為臨界點(diǎn)，超過該臨界時間點(diǎn)，系統(tǒng)被成功投毒的概率就會大于生存概率。

此外，贖金只是勒索攻擊事件成本中最為直觀外顯的一部分而已，無論是否選擇付款，更多的隱藏成本和影響都是巨大、持久、必然的。

攻擊期間和之后的停機(jī)成本

勒索軟件攻擊會直接影響業(yè)務(wù)的正常運(yùn)營。而機(jī)構(gòu)用于應(yīng)對攻擊所花費(fèi)的時間和精力，比如查找問題來源、溯源攻擊、應(yīng)對監(jiān)管等等，勢必會耽誤原本計(jì)劃要完成的工作任務(wù)，造成其他業(yè)務(wù)和生產(chǎn)力的損失成本，同時極有可能導(dǎo)致失去商業(yè)機(jī)會。

響應(yīng)、恢復(fù)和重新運(yùn)營的成本

很少有機(jī)構(gòu)在日常配備足夠龐大專業(yè)的安全運(yùn)營團(tuán)隊(duì)，遭遇攻擊后，往往需要聘請外部專家和顧問來幫助恢復(fù)生產(chǎn)。根據(jù)惡意軟件類型的不同，可能還需要升級或更換技術(shù)，此舉也將產(chǎn)生相應(yīng)的成本。此外，數(shù)據(jù)備份的質(zhì)量也是非常重要的因素，亦或者攻擊者有能力刪除或加密備份文件，那么成本將會更多。總的來說，系統(tǒng)癱瘓的時間越長，造成的損失就會越大。

數(shù)據(jù)泄露成本

雙重及多重勒索的流行，讓受害機(jī)構(gòu)不僅面臨系統(tǒng)被鎖，還面臨敏感數(shù)據(jù)被竊取外泄的風(fēng)險。這就意味著，又將增添一項(xiàng)有關(guān)泄露通知、危機(jī)公關(guān)以及潛在監(jiān)管或法律制裁的成本。此外，數(shù)據(jù)泄露還可能會引發(fā)與法律和訴訟相關(guān)的費(fèi)用，以及接受監(jiān)管審查和完成法律合規(guī)性要求相關(guān)的成本等。

供應(yīng)鏈成本

最容易忽視的一項(xiàng)成本是勒索軟件攻擊可能會對供應(yīng)商和其他第三方造成負(fù)面影響。在這些與直接受害機(jī)構(gòu)存在合作和供應(yīng)關(guān)系的企業(yè)中，有些遭受了生產(chǎn)力損失，而有些遭受了財(cái)務(wù)損失。

聲譽(yù)成本

聲譽(yù)損失是最難衡量和評估的，被勒索被曝光塑造的是該機(jī)構(gòu)沒有承擔(dān)起安全保障義務(wù)的形象，無論是安全意愿不足或能力不足，都是非常負(fù)面的印象，客戶可能會很難再次信任并選擇該機(jī)構(gòu)，對品牌和未來業(yè)務(wù)都將產(chǎn)生難以挽回的深遠(yuǎn)影響。

觀察今年的諸多典型勒索事件也可以得到印證，比如：

1

米高梅9月發(fā)生的勒索事件，對其造成1億美元左右的經(jīng)濟(jì)損失，運(yùn)營中斷占據(jù)大頭，在網(wǎng)絡(luò)安全方面該公司另外支付了1000萬美元用以清理受感染的系統(tǒng)和相關(guān)安全建設(shè)；

2

愛爾蘭衛(wèi)生局下屬醫(yī)院大面積終端感染勒索病毒，其恢復(fù)總成本后期統(tǒng)計(jì)就接近8000萬歐元；

3

世界水果巨頭都樂在5月披露其遭遇勒索攻擊，造成了1050萬美元的直接成本，其中480萬美元用于受影響系統(tǒng)的緊急恢復(fù)上；

4

英國外包巨頭Capita同樣披露今年3月遭受勒索攻擊的事后成本，已花費(fèi)2000萬英鎊，包含專家服務(wù)費(fèi)，補(bǔ)救措施，以及新的安全投資。

所以，最好的辦法是建設(shè)安全，而不是犧牲安全，贖金本身是損失的同時，支付贖金并不意味著不會造成其他損失。

防御勒索軟件攻擊，貫穿事前、事中、事后不同時間段，機(jī)構(gòu)既需要能夠自救和及時響應(yīng)，也需要重視日常的安全建設(shè)和運(yùn)營。

比如，奇安信安全專家歸納了以下幾點(diǎn)實(shí)用建議，方便各機(jī)構(gòu)IT及安全人員參考：

1

重視常態(tài)化安全運(yùn)營

○系統(tǒng)、應(yīng)用相關(guān)的用戶杜絕使用弱口令，同時，應(yīng)該使用高復(fù)雜強(qiáng)度的密碼；

○定期開展對系統(tǒng)、應(yīng)用以及網(wǎng)絡(luò)層面的安全評估、滲透測試以及代碼審計(jì)工作，主動發(fā)現(xiàn)目前系統(tǒng)、應(yīng)用存在的安全隱患；

○加強(qiáng)日常安全巡檢制度，定期對系統(tǒng)配置、網(wǎng)絡(luò)設(shè)備配合、安全日志以及安全策略落實(shí)情況進(jìn)行檢查，常態(tài)化信息安全工作。

2

打造體系化與細(xì)粒度的安全防護(hù)

○部署全流量監(jiān)測設(shè)備，及時發(fā)現(xiàn)惡意網(wǎng)絡(luò)流量，同時可進(jìn)一步加強(qiáng)追蹤溯源能力，對安全事件發(fā)生時可提供可靠的追溯依據(jù)；

○部署高級威脅監(jiān)測設(shè)備；

○禁止服務(wù)器主動發(fā)起外部連接請求，對于需要向外部服務(wù)器推送共享數(shù)據(jù)的，應(yīng)使用白名單的方式，在出口防火墻加入相關(guān)策略，對主動連接IP范圍進(jìn)行限制；

○有效加強(qiáng)訪問控制ACL策略，細(xì)化策略粒度，按區(qū)域按業(yè)務(wù)嚴(yán)格限制各個網(wǎng)絡(luò)區(qū)域以及服務(wù)器之間的訪問，采用白名單機(jī)制只允許開放特定的業(yè)務(wù)必要端口；

○配置并開啟相關(guān)關(guān)鍵系統(tǒng)、應(yīng)用日志，對系統(tǒng)日志進(jìn)行定期異地歸檔、備份，避免在攻擊行為發(fā)生時，導(dǎo)致無法對攻擊途徑、行為進(jìn)行溯源等；

○重點(diǎn)建議在服務(wù)器上部署安全加固軟件，并安裝相應(yīng)的防病毒軟件或部署防病毒網(wǎng)關(guān)，及時對病毒庫進(jìn)行更新，并且定期進(jìn)行全面掃描。

3

提升勒索發(fā)生后的快速響應(yīng)處置能力

○對于已中招的服務(wù)器應(yīng)下線隔離，使用殺毒軟件對中毒服務(wù)器進(jìn)行全盤查殺，避免病毒的殘留；

○對于未中招的服務(wù)器，在網(wǎng)絡(luò)邊界防火墻上全局關(guān)閉3389端口或3389端口只對特定IP開放，遠(yuǎn)程連接類訪問只允許白名單內(nèi)IP連接；

○開啟Windows防火墻，盡量關(guān)閉3389、445、139、135等不用的高危端口；

○每臺服務(wù)器設(shè)置唯一口令，且復(fù)雜度要求采用大小寫字母、數(shù)字、特殊符號混合的組合結(jié)構(gòu)。

在強(qiáng)實(shí)操性的安全運(yùn)維工作之外，安全供應(yīng)商也一直致力于構(gòu)建更全面更智能的產(chǎn)品以應(yīng)對勒索攻擊。不同于傳統(tǒng)的反病毒工具，基于如今勒索攻擊起點(diǎn)及過程的百變花招，勒索家族衍生的復(fù)雜變種，以及與數(shù)據(jù)資產(chǎn)泄露危害的強(qiáng)綁定，反勒索攻擊工具也在進(jìn)化升級。

根據(jù)安全419在業(yè)界的走訪了解，以下解決方案在遏制勒索攻擊方面具有獨(dú)特的優(yōu)勢亮點(diǎn)或出眾的安全能力，值得相關(guān)機(jī)構(gòu)關(guān)注：

瑞數(shù)信息11月召開其年度新品發(fā)布會，發(fā)布一款數(shù)據(jù)備份和快速恢復(fù)備份數(shù)據(jù)的數(shù)據(jù)安全檢測與應(yīng)急響應(yīng)（DDR）系統(tǒng)。其設(shè)計(jì)思路跳出了大多數(shù)方案將重心放在網(wǎng)絡(luò)邊界、應(yīng)用和主機(jī)側(cè)，以防止勒索軟件入侵、阻斷勒索軟件擴(kuò)散，觀察到勒索軟件具有很高的隱蔽性和偽裝性，進(jìn)入網(wǎng)絡(luò)/主機(jī)層后往往長期潛伏，在獲取更高權(quán)限并掌握大量關(guān)鍵數(shù)據(jù)后才會發(fā)起勒索，此時網(wǎng)絡(luò)/主機(jī)層已經(jīng)無法阻止攻擊。

因此，在勒索軟件的潛伏期保護(hù)好企業(yè)的核心關(guān)鍵數(shù)據(jù)至關(guān)重要。該DDR系統(tǒng)從事前數(shù)據(jù)健康體檢、事中智能威脅檢測、事后快速響應(yīng)恢復(fù)三個維度構(gòu)建數(shù)據(jù)安全閉環(huán)防護(hù)體系，核心技術(shù)包括智能深度健康監(jiān)測引擎，對文件的檢測并不僅僅關(guān)注是否被加密，而且還包括檢測文件特征、重復(fù)文件，勒索申明內(nèi)容等與勒索行為相關(guān)的多重維度；在智能檢測引擎部分，瑞數(shù)還引入了許多AI技術(shù)，去對勒索軟件的加密特性進(jìn)行學(xué)習(xí)和提取，同時進(jìn)行數(shù)據(jù)的預(yù)處理和關(guān)聯(lián)分析等一系列自動化檢測動作；還基于數(shù)據(jù)原始格式備份技術(shù)搭建了一個數(shù)據(jù)安全底座，將恢復(fù)效率提高二十余倍以上。

威努特打造的主機(jī)防勒索系統(tǒng)，是一款專防專治勒索病毒的終端安全產(chǎn)品。其觀察到基于威脅情報(bào)和病毒特征的防護(hù)軟件或安全平臺，在面對新型勒索病毒時很容易失效，攻擊手法的演進(jìn)變化依靠單一的功能無法確保有效防御，提出需要綜合勒索行為檢測、數(shù)據(jù)安全保護(hù)、系統(tǒng)資源保護(hù)、數(shù)據(jù)備份與恢復(fù)等完整的、閉環(huán)的安全能力，才能實(shí)現(xiàn)勒索病毒的有效防范。

勒索行為深度檢測技術(shù)原理

與傳統(tǒng)采用黑名單的殺毒方式不同，該系統(tǒng)結(jié)合操作系統(tǒng)內(nèi)核驅(qū)動，以勒索行為監(jiān)測、勒索病毒誘捕、系統(tǒng)資源保護(hù)、關(guān)鍵業(yè)務(wù)保護(hù)、核心數(shù)據(jù)保護(hù)、數(shù)據(jù)智能備份等多項(xiàng)創(chuàng)新技術(shù)，形成多層次縱深防御機(jī)制，能夠應(yīng)對新型的、變異的勒索病毒，精準(zhǔn)識別勒索軟件、保護(hù)系統(tǒng)資源不被破壞、保護(hù)業(yè)務(wù)應(yīng)用免遭中斷、保護(hù)業(yè)務(wù)數(shù)據(jù)不被篡改、備份業(yè)務(wù)數(shù)據(jù)并恢復(fù)，實(shí)現(xiàn)事前預(yù)防、事中檢測/阻斷、事后恢復(fù)的勒索病毒綜合防范。在實(shí)踐上，該系統(tǒng)已經(jīng)幫助國內(nèi)醫(yī)療、政府及監(jiān)管機(jī)構(gòu)、制造業(yè)、軌交等行業(yè)的多個客戶成功防范勒索攻擊。