《2021上半年勒索病毒趨勢報告及防護方案建議》發(fā)布：針對企業(yè)用戶定向攻擊，贖金屢創(chuàng)新高

近日，騰訊安全聯(lián)合南方都市報正式對外發(fā)布《2021上半年勒索病毒趨勢報告及防護方案建議》(以下簡稱“報告”)?！秷蟾妗凤@示，盡管2021年上半年相比去年同時期，勒索病毒的攻擊態(tài)勢稍有下降，但勒索事件仍然頻發(fā)，僅2021年第一季度，就發(fā)生了多起國際知名企業(yè)被勒索的案件，并且贖金持續(xù)刷新紀錄。就在今天，美國最大的成品油管道運營商Colonial Pipeline受到勒索軟件攻擊，被迫關閉其美國東部沿海各州供油的關鍵燃油網(wǎng)絡。

2020/2021勒索病毒1-4月攻擊態(tài)勢對比圖

值得關注的是，目前尚未出現(xiàn)對付勒索病毒的“銀彈”，應對勒索病毒的核心原則仍然是以事前防范為主。騰訊安全也對全球勒索病毒深入分析及研判，挖掘其中涉及的安全漏洞、入侵手法和攻擊工具，為個人及企業(yè)用戶提供網(wǎng)絡安全防護。

勒索病毒不斷活躍 全球損失高達數(shù)十億美元

2017年5月12日，WannaCry勒索病毒在全球范圍爆發(fā)，形成一場影響全球的蠕蟲病毒風暴。此后四年間，勒索病毒頻繁將魔爪伸向企業(yè)及個人用戶。

從《報告》顯示數(shù)據(jù)可以看出，在2021年上半年，GlobeImposter家族和具有系列變種的Crysis家族等老牌勒索病毒依然活躍，而Phobos、Sodinokibi、Buran、Medusalocker、Avaddon、lockbit、Ryuk、NEMTY等新型勒索病毒家族也有著廣泛流行的趨勢。其中大部分勒索病毒都有著變種多、針對性高、感染量上升快等特點，像Sodinokibi、Medusalocker等病毒甚至呈現(xiàn)針對國內(nèi)系統(tǒng)定制化的操作。毫無疑問，不斷數(shù)字化轉型升級的國內(nèi)企業(yè)已經(jīng)成為諸多勒索病毒攻擊的重點目標。

從區(qū)域上來看，國內(nèi)遭受勒索病毒攻擊中，廣東、浙江、山東、湖北、河南、上海、天津較為嚴重，其它省份也有遭受到不同程度攻擊。而數(shù)據(jù)價值較高的傳統(tǒng)行業(yè)、醫(yī)療、政府機構遭受攻擊較為嚴重，占比依次為37%、18%、14%，總計占比高達69%。例如在2020年的8月和11月，多家傳統(tǒng)企業(yè)就先后遭到勒索病毒的攻擊，勒索團伙均要求企業(yè)支付高額贖金，否則將把盜竊數(shù)據(jù)在暗網(wǎng)出售。

2021年1-4月勒索病毒受災地域分布圖

但目前不少企業(yè)機構均升級了網(wǎng)絡安全措施，有效防止了勒索軟件損失的擴大化，也從一定程度上，反映了“支付贖金”的應對策略正在失效。

針對企業(yè)用戶定向攻擊 未來勒索病毒將更加多樣化、高頻化

從最初的零星惡作劇，到現(xiàn)在頻發(fā)的惡意攻擊，勒索病毒為何能夠如“野草”般生命力頑強，肆意生長?

首先，勒索病毒加密手段復雜，解密成本高;其次，使用電子貨幣支付贖金，變現(xiàn)快、追蹤難;最后，勒索軟件服務化的出現(xiàn)，讓攻擊者不需要任何知識，只要支付少量的租金就可以開展勒索軟件的非法勾當，大大降低了勒索軟件的門檻，推動了勒索軟件大規(guī)模爆發(fā)。

勒索病毒作案實施過程圖

根據(jù)市面較為高發(fā)的勒索病毒特征，《報告》將勒索病毒的傳播手段分為6個方向：弱口令攻擊、U盤蠕蟲、軟件供應鏈攻擊、系統(tǒng)/軟件漏洞、“無文件”攻擊技術、RaaS。勒索病毒團伙在利用這些傳播手段入侵目標系統(tǒng)后，會利用工具將失陷網(wǎng)絡的機密數(shù)據(jù)上傳到服務器，然后實施勒索。

隨著全球數(shù)字化的不斷加速，越來越多企業(yè)將業(yè)務遷移到云端。由于企業(yè)用戶數(shù)據(jù)價值較高，但很多企業(yè)對于云上網(wǎng)絡安全態(tài)勢并沒有足夠的準備。因此在未來一段時間，針對企業(yè)用戶進行定向攻擊，將是勒索病毒的重要目標之一，而且隨著技術的普及、勒索病毒產(chǎn)業(yè)鏈的成熟，病毒也將變得更加多樣化、高頻化。同時，《報告》還指出，目前Mac OS和Android等平臺也已陸續(xù)出現(xiàn)勒索病毒，隨著Windows的防范措施完善，未來不法黑客也可能轉向攻擊其他平臺。

升級網(wǎng)絡安全措施，做好事前防范是關鍵

面對層出不窮的勒索病毒，無論是企業(yè)還是個人用戶，都應該重視網(wǎng)絡安全措施，做好事前防范。在《報告》中提出了“三不三要”思路，即不上鉤、不打開、不點擊、要備份、要確認、要更新。提醒所有用戶面對未知郵件要確認發(fā)件人可信，否則不要點開、不要隨便打開電子郵件附件，更不要隨意點擊電子郵件中的附帶網(wǎng)址;同時重要的資料要備份，并保持系統(tǒng)補丁/安全軟件病毒庫的實時更新。

騰訊安全解決方案體系結構圖

此外，《報告》建議企業(yè)用戶全網(wǎng)安裝部署終端安全管理軟件，推薦使用騰訊零信任無邊界訪問控制系統(tǒng)(iOA);針對一些大中型企業(yè)，建議采用騰訊高級威脅檢測系統(tǒng)(NTA)監(jiān)測內(nèi)網(wǎng)風險。同時，企業(yè)用戶還可通過訂閱騰訊安全威脅情報產(chǎn)品，讓全網(wǎng)所有安全設備同步具備和騰訊安全產(chǎn)品一致的威脅發(fā)現(xiàn)、防御和清除能力。針對個人用戶，《報告》推薦使用騰訊電腦管家并啟用文檔守護者，目前該功能已集成針對主流勒索病毒的解密方案，并提供完善的數(shù)據(jù)備份方案，為數(shù)千萬用戶提供文檔保護恢復服務。

（免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。 ）