关于攻击:从2020年十大勒索攻击事件聊聊企业安全防盗新思路

自 2017 年 WannaCry、NotPetya 席卷寰球以来，勒索病毒始终以不可漠视的危害性和破坏力，被寰球企业和机构视为最大网络威逼之一。回顾整个 2020 年，受新冠疫情大风行和寰球数字化过程放慢的驱动，数以百万计近程办公场景的疾速激增肯定水平上因网络开放度的晋升和接口的增多，而给勒索病毒造就了新的攻击面。

SonicWall 第三季度威逼情报数据显示，勒索软件攻打以 40% 的增长率，位居 2020 年增长最为迅猛的网络威逼榜首。同时，平安公司 CrowdStrike 最新考察数据显示，有 56%的企业示意在过来一年内曾蒙受过索软件攻打。其中，寰球 71%的网络安全专家更放心由 COVID-19 引发的勒索软件攻打。

“疯狂”速度增长的攻打规模和频率，加之甚至足以影响美国总统大选的惊人破坏力，使得勒索病毒已成为 2020 年简直笼罩在寰球企业、机构心头的一团“乌云”。寰球出名平安公司 Check Point 钻研指出，勒索软件是 2020 年给企业、机构造成损失最大的攻打伎俩。而相干数据披露，预计到 2021 年，寰球由勒索软件攻打带来的损失将增至 200 亿美元。

在减速构建的数字化新场景下，面对更为瞄准企业或机构、技术手段越发成熟且多变、产业分工更精密的勒索病毒攻打，跳脱赎金“绑架”的无效防备与应答已成为各行业和畛域的必答题。换言之，面对继续体现出旺盛活跃度且信用度不高的勒索病毒攻打团队，依赖赎金领取的修复策略曾经生效，而防患未然的平安前置部署正显得更为重要，是最大限度躲避攻打危险、升高攻打老本的无效门路。

不难看出，在平安前置部署中，2020 年已产生的勒索软件攻打事件所出现的“对手”轨迹将为企业和机构制订应答策略、占据攻防劣势提供重要参考。“知己知彼”显然应为企业和机构实现无效进攻的第一步。

01

2020 年度十大勒索攻打事件回顾

1、特斯拉、波音、SpaceX 供应商拒付赎金遭秘密泄露

2020 年 3 月，据外媒报道，因未收到勒索赎金，勒索软件 DoppelPaymer 在网上公开了 SpaceX、特斯拉、波音等公司的机密信息，包含军事装备细节、账单和付款表格、供应商信息、数据分析报告、法律文书以及供应商窃密协定等。据悉，这些机密信息皆来源于特斯拉、波音、SpaceX 等行业巨头的整机供应商—Visser Precision。攻击者是通过先窃取数据后向其发送赎金音讯，施行勒索攻打的。

2、日本汽车制造商本田寰球网络遭勒索攻打，工厂被迫敞开两天生产

2020 年 6 月，据外媒报道，日本汽车制造商本田寰球网络因蒙受勒索病毒攻打被迫敞开其位于美国、土耳其、印度和南美局部工厂，导致生产进展、产量降落。据 BBC 报道，勒索软件迅速地扩散到了本田的整个网络系统，计算机服务器、电子邮件以及其余内网性能皆受到不同水平的影响。

3、阿根廷电信 1.8 万台计算机感化勒索软件，黑客要价 750 万美元

2020 年 7 月，阿根廷电信公司受到 REVil 勒索软件攻打，两日内造成约 1.8 万台计算机被感化。在本次攻打事件中，攻击者以公司网络拜访权限的获取为跳板，实现利用其外部 Domain Admin 零碎感化上万台计算机的。这一事件导致诸多网站陷入脱机转台，对阿根廷电信公司经营造成了重大影响。据理解，勒索软件团伙要价 750 万美元作为赎金，并宣称三天内不领取则将翻倍。

4、佳明遭勒索软件重创：业务瘫痪产线停运，被勒索千万美元赎金

2020 年 7 月，健身追踪器、智能手表和 GPS 产品制造商 Garmin 蒙受了 WastedLocker 勒索软件的全面攻打，次要产品服务和网站均瘫痪，攻击者向 Garmin 索要高达 1000 万美元赎金以复原数据和业务。其中，Garmin Connect 网站和挪动应用程序以及 Garmin Pilot、Connext 和 FlyGarmin。Garmin Pilot 等商用航空产品被迫敞开停运，影响寰球大量用户。

5、佳能遭 Maze 勒索软件攻打，2.2GB 美国公司数据被“撕票”泄露

2020 年 8 月，驰名数码摄像机厂商佳能 (Canon) 被曝蒙受勒索攻打，影响电子邮件、微软团队、美国网站及其他外部应用程序。其中，佳能 image.canon 云照片和视频存储服务的可疑中断，导致其收费 10GB 存储性能的用户失落数据。随后，Maze 因未收到赎金，在暗网泄露了佳能大概 2.2GB 的美国公司数据，从而导致佳能局部外部零碎中断。

6、首个国家机构被勒索？阿根廷移民局遭逢攻打中断服务 4 小时

2020 年 9 月，阿根廷官网移民管理机构蒙受 Netwalker 勒索软件攻打，间接造成边陲入出境事务陷入瘫痪。据外媒报道，此次攻打导致边陲过境点停摆四个小时，或将是首例针对联邦政府一级指标发动的已知攻打流动。攻打方向阿根廷政府开出了 400 万美元赎金的要价。

7、智利银行遭勒索软件攻打，被迫敞开所有分行

2020 年 9 月，智利三大银行之一的国家银行（BancoEstado）受到勒索软件攻打，被迫决定敞开所有分支机构。据称，发动该次攻打的是 REvil (Sodinokibi)勒索软件。其是借助一份歹意攻打邮件实现在银行网络安插后门，并以此跳板拜访银行内网，施行勒索口头，加密了该行大部分外部服务和雇员工作站。

8、寰球首例勒索软件致死事变：医院零碎瘫痪导致抢救延误

2020 年 9 月，德国杜塞尔多夫大学医院蒙受勒索软件攻打，导致 30 多台外部服务器受到感化。而一女性患者被迫须转移至间隔 30 多公里以外的另一家医院承受救治。然而在转移途中，患者不幸身亡。此事件也被认为是首例因勒索攻打导致人员死亡案例，德国警方也将案件性质调升为谋杀案。

9、富士康工厂遭勒索攻打：上千台服务器被加密，索要 3400 万美元赎金

2020 年 11 月，位于墨西哥的富士康工厂受到了“DoppelPaymer”勒索软件的攻打，导致 1200 台服务器被加密。据悉，攻击者在对设施进行加密前已窃取了 100GB 的未加密文件（包含惯例业务文档和报告），并删除了 20-30 TB 的备份。随后，攻击者公布了一个指向 DoppelPaymer 付款站点的链接，要求富士康领取 1804.0955 比特币作为赎金（约 3486.6 万美元），否则将把盗取数据在暗网发售。

10、印度电商领取公司 Paytm 被勒索软件攻打，领取赎金仍被“撕票”

2020 年 12 月，网络安全公司 Cyble 披露，印度电子商务领取零碎和金融技术公司 Paytm 蒙受了大规模的数据泄露，其电商网站 Paytm Mall 的核心数据库被入侵，黑客在向 Paytm Mall 索要赎金的同时，并未进行在黑客论坛上发售其数据。黑客是通过两个在线 ID 施行数据库无限度拜访等攻击行为的，并向 Paytm Mall 开出了高达 4233 美元的赎金。

（注：上述事件为按产生工夫先后排序，不作为事件影响力大小阐明）

02

继续“进化”变革，勒索病毒的“疯狂”模式才刚刚开启

家喻户晓，勒索病毒实际上是一种通过劫持企业或集体数据文件和零碎以索要赎金的恶意软件。其能通过电子邮件、远程桌面协定（RDP）网站木马、弹窗、可挪动存储介质等载体，实现对用户文件、数据库、源代码等数据资产的加密劫持，从而以此为条件向用户索要赎金以换取解密密匙。

从最后的“艾滋病木马”（或 PC Cyborg）软盘到 2017 年的 WannaCry、NotPetya，勒索病毒攻打体现出的变种繁多且难以查杀、传染性极强且难以追踪等特点，使其以“势不可挡”之势在寰球范畴内“肆虐”。在 2018 年短暂“醉心”挖矿之后，受加密货币价值变化多端和企业级攻打利益攀升的双重影响，勒索软件携带着日趋成熟的伎俩变革和愈发荫蔽、简单的“进化”能力，在后疫情时代开启了“重装上阵”的疯狂模式。

无论是从攻打频率、势头，还是在攻打技术和策略的复杂程度，以及引发的老本损益，“疯狂”模式下的勒索软件较之以往都体现出了继续“进化”后的新特色。企业及机构不得不认清一个事实：正如寰球出名平安公司赛门铁克（Symantec）在最新报告中提及的，2021 年针对性勒索软件仍是最大威逼。

从赎金换密钥到数据盗取，双重勒索渐成支流

特斯拉、波音、SpaceX 供应商拒付赎金遭秘密泄露、佳能勒索软件攻击者因未收到赎金公开泄露了 2.2GB 美国公司数据等事件的产生，都在指向勒索软件攻打策略的同一演进趋势，即“双重勒索”。

这一“业务翻新”最早是由 Maze 勒索病毒团队在 2019 年率先施行，至今已为 Sodinokibi、Lockbit 等勒索团队所效仿。与传统根本信守领取赎金即提供解密密钥的策略不同，双重勒索采取先窃取政企机构敏感数据，再对企业资产进行加密的攻打门路。如若相干政企机构一旦回绝缴纳赎金，攻击者将以在暗网公开局部数据威逼施行进一步勒索。若失败，则将间接公开所有窃取数据。

这一趋势仿佛是攻击者反抗企业数据备份计划增多、防止勒索失败而进行的策略“进化”。在数字化减速推动的当下，这无疑将迫使政企机构面临更大的数据泄露压力。换言之，被攻击者不仅要面临数据泄露带来的经济损失，还须要接受赎金领取后数据仍被公开的不确定性，以及相干数据泄露法规的处罚和名誉影响。从暗网中继续增多的勒索攻打数据泄露网站上看，双重勒索正渐成为勒索软件攻打的新支流。

从集体到企业，指标精准的扩延“战术”

平安公司 Malwarebytes 2019《勒索软件回顾》报告显示，2019 年，针对企业的勒索软件攻打数量首次超过了针对消费者的数量，且与 2018 年第二季度相比，2019 第二季度同比增长了 363%。换句话说，勒索软件攻打已由最后面向集体消费者的“广撒网式”平安威逼，实现了向具备高度针对性和定向性的企业级平安威逼的演变。

据腾讯平安《2020 上半年勒索病毒报告》剖析，受企业级平安攻打高回报率的引诱，越来越多的沉闷勒索病毒团伙将高价值大型政企机构作为重点打击对象。勒索病毒产业链针对政企指标的准确打击、一直变革的加密技能、规模化的商业运作，正在世界范畴内继续产生严重危害。腾讯平安专家剖析发现，日本汽车制造商本田团体在往年 6 月蒙受到的 SNAKE 勒索团伙攻打，就是勒索团队精准定向攻打演变趋势的一大例证。简言之，将来，政企机构将面临比集体更为严厉的勒索病毒攻打局势。

与此同时，从 2020 年勒索攻打事件辐射的领域上看，以后勒索软件攻打显然已跳出了瞄准医疗行业的局限。费城天普大学钻研团队通过针对寰球要害基础设施的勒索软件攻打跟踪发现，近两年来，各行业蒙受的勒索病毒攻打频次逐年回升。其中，仅 2020 年前 8 个月就有 241 起与要害基础设施相干的勒索软件攻打事件，波及科技、航运交通、金融、商业、教育、政务等各个行业畛域及其近程办公、在线业务等场景。以航运业为例，法国达飞公司一周之内连遭两次勒索攻打事件，再次佐证了勒索软件攻打广畛域笼罩的发展趋势。

此外，工程师 Hron 在 2019 年 6 月通过批改固件，胜利将一台智能咖啡机革新成了勒索软件机器等相似事件的产生，还映射出了勒索软件攻打的一大新倒退方向。即随同着物联网的遍及利用，各类 IoT 设施或将为黑客施行勒索攻打提供新突破口和跳板。事实上，相干事实显示，早在 2017 年，就呈现了首个针对联网设施的勒索软件攻打报告：55 个交通摄像头感化了 WannaCry 勒索软件。换言之，新技术的利用遍及也将衍生出更多的攻打变动。

赎金之外，继续攀升的攻打损失

联邦调查局（FBI）在 RSA 2020 会议上颁布的最新统计数据显示，在过来 6 年中，勒索软件受害者已向攻击者领取了超过 1.4 亿美元的赎金。很显然，动辄成千盈百万级美元的赎金是勒索软件攻打带来的最间接的损失。然而，随同着“双重勒索”策略的常态化，在高额赎金带来的微小经济损失之外，蒙受攻打的企业及机构还将面临包含机会成本、产效升高、品牌和信用损失、危险事变解决老本、外部士气侵害等方面的损耗挑战。

一方面，勒索软件的攻打往往会造成政企机构的网络系统和资源陷入瘫痪、宕机。而由此引发的业务中断，势必给政企机构的产能和生产效率带来大幅削减、升高的影响。以丹麦航运公司马士基蒙受 NotPetya 勒索软件攻打为例，因勒索攻打临时敞开了该公司的经营零碎，导致其因经营中断蒙受到了高达 30 亿美元的业务损失。

另一方面，随着勒索攻打加密性能、投毒形式、定向攻打、商业单干等技术和策略上的降级，相干政企机构还须要面临事变解决成本增加投入的问题。这一投入包含工夫和人力上的双重挑战。McAfee 最新调查报告《The Hidden Costs of Cybercrime》中反对，对于大多数组织来说，勒索攻打事件产生后，均匀须要安顿 8 集体，用时 19 个小时对 IT 零碎或服务进行复原补救。这显然不仅减少了被攻打方的危险解决老本，还或因内部支援和危险保险等方面需要的激增，衍生出新的老本增长点。

再者，从久远来看，勒索软件攻打带来的业务中断通常会使用户体验受到不同水平的影响，从而导致用户对企业及机构的品牌信任度和名誉存有质疑，同时还在肯定水平上将对企业员工的士气造成负面影响。而这无形中也将减少被攻打企业或机构在品牌名誉和外部企业文化上的额定投入。Veritas Technologies 的最新考察钻研显示，44%的消费者示意会进行从蒙受过勒索软件攻打的公司购买商品。

03

赎金换密正在生效，防患未然方为“上策”

“赎金到底该不该付？”始终以来都是业内在应答勒索软件攻打时备受争议的问题。只管在大多数企业机构看来，向勒索软件攻打团队领取赎金的行为肯定水平上是对攻击行为的放纵，但仍有局部企业或机构基于数据价值和自我修复老本等的思考，而抉择与勒索软件攻击者达成斗争交易。

然而，相似印度电商领取公司 Paytm 在黑客领取赎金的同时，其数据仍被黑客“撕票”等事件的产生，加之美国财政部外国资产管制办公室 (OFAC)“向勒索攻击者领取赎金将面临处罚”正告的公布，都在表明：试图通过领取赎金以换取解密密钥的危机解决策略因不确定的攀升和政策处罚的双重压力，正在生效。 正如腾讯平安专家所言，面对愈见简单的勒索软件攻打局势，防患未然是身处数字化大潮下的企业都必须重点考量的要害。

• 从业务角度优化防备决策

联合企业场景危险需要特点，从勒索病毒攻打行将对业务造成的损失量化登程，找准平安影响的重要节点，制订匹配业务连续性的平安决策，晋升平安要害进攻部署的准确性。简略来说，就是把每一分收入都花在“刀刃”上，获取最佳防备成果和回报率；

• 加固日常危险运维管理体系

首先应深刻强化应答勒索软件攻打的内外浸透测试，晋升危险防御机制灵便度和响应速度；其次，针对裸露于公网且预判易受攻击的零碎、服务器和网络近程连贯，启用高熵明码（毁灭弱明码）和双因素身份验证（2FA），尽可能减少攻打浸透的突破口。针对近程连贯场景，做好 RDP 协定防护，严格限度近程拜访。对于存在弱口令的零碎，需在增强使用者安全意识的前提下，督促其批改明码，或者应用安全策略来强制各节点应用简单明码，防止遭逢弱口令爆破攻打。在一些要害服务上，增强口令强度，并应用加密传输形式；

而在内网，则须确保补丁更新的及时性，可思考在网络边界、路由器、防火墙上设置严格的拜访控制策略，并在全网装置业余的终端平安管理软件，由管理员批量杀毒和装置补丁，后续定期更新各类零碎高危补丁。以保障网络的动静平安。并对数据库的治理拜访节点地址进行严格限度，只容许特定治理主机 IP 进行近程登录数据库。

此外，业内专家还认为或可通过零信赖平安的实际，通过其最小特权拜访、微拆散、继续验证、多因子身份认证以及异样行为辨认的全面性能，实现对勒索软件攻打的阻断。

• 优化威逼态势监控机制

网络管理员、系统管理员、平安管理员应继续关注并把握最新平安信息、平安动静及最新的重大破绽，并将其论断成绩转化至攻与防的循环和随同每个支流操作系统、应用服务的生命周期中。与此同时，部署流量监控 / 阻断类设施 / 软件，便于事先发现、事中阻断和预先回溯。同时，与供应链搭档造成信息共享互通，最大限度地把握危险动静，达到晋升威逼预警能力的目标。

• 进步员工安全意识

定期进行平安培训，以确保员工能够发现并防止潜在的网络钓鱼电子邮件。在腾讯平安专家看来，日常平安治理可遵循“三不三要”思路，即不上钩（题目吸引人的未知邮件不要点开）、不关上（不轻易关上电子邮件附件）、不点击（不随便点击电子邮件中附带网址）、要备份（重要材料要备份）、要确认（开启电子邮件前确认发件人可信）、要更新（零碎补丁 / 安全软件病毒库放弃实时更新）。

• 强化平安灾备预案策略

数据备份被认为是以后企业机构进攻勒索软件攻打的无效做法之一。因而，企业该当定期备份 IT 和 OT 网络系统相干数据，以便在产生灾难性故障时，可能及时复原。对此，腾讯平安倡议可按数据备份 321 准则进行平安灾备，即至多筹备三份备份、两种不同备份介质和一份异地备份。

出名投资征询公司 Cybersecurity Ventures 预计，2021 年企业每 11 秒将蒙受一次勒索攻打。能够预感，数字经济新周期下，微小的企业级利益正在诱发更为猖狂的勒索软件攻打。能够说，身处在产业数字化大潮中的每一个企业或机构都可能成为勒索软件的下一个攻打指标。做好前置平安部署以防患未然，显然是各企业与机构面对新威逼局势的重要打算。

附录：2020 勒索病毒事件盘点

1. 1 月，德国自行车厂商 Canyon 外部文件遭勒索加密，订单下达与交付被迫提早
2. 1 月，美国大型国防承包商遭勒索软件攻打，截止 3 月仍未齐全停工
3. 2 月，荷兰马斯特里赫特大学被勒索加密一周后，被迫斗争向黑客领取 24 万美元
4. 2 月，美国某天然气运营商遭勒索攻打被迫敞开两天
5. 2 月，美国警方遭勒索软件攻打，多起案件要害证据失落，导致至多六名毒犯获自在
6. 2 月，财产 500 强公司 EMCOR 遭 Ryuk 勒索，造成业务进展
7. 3 月，美国马萨诸塞州电力公司 RMLD 遭勒索攻打，近 7 万居民电费领取受影响
8. 3 月，特斯拉、波音、SpaceX 供应商 Visser Precision 拒付勒索软件 DoppelPaymer 赎金遭秘密泄露
9. 4 月，意大利电子邮件服务商 Email.it 遭黑客入侵，60 万用户数据被挂暗网
10. 4 月和 10 月，欧洲能源巨头遭勒索，别离被索要 1000 万欧元和 1400 万美元赎金
11. 4 月，在线博彩公司 SBTech 将投入 3000 万美元应答勒索软件攻打
12. 5 月，国内铁路车辆制造商 Stadler 遭勒索攻打，全团体皆受影响
13. 5 月，台湾两大炼油厂陷（CPC 和 FPCC）勒索软件攻打带来的加油站凌乱
14. 6 月，美国核武器承包商 Westech International 遭 Maze 双重勒索攻打，大量敏感数据被窃取泄露
15. 6 月，NASA IT 服务供应商 Digital Management Inc.(DMI)遭勒索软件攻打，相干基础设施被攻陷
16. 6 月，日本汽车制造商本田寰球网络遭勒索攻打，工厂被迫敞开两天生产
17. 6 月，美国佛罗伦萨市被勒索软件感化后，领取 30 万美元勒索赎金，以确保数据不被黑客泄露
18. 7 月，韩国 LG 团体疑被勒索软件攻打，75GB 外部数据和 40GB Python 代码或泄露
19. 7 月，晶圆代工龙头 X-FAB 遭 Maze 勒索软件攻打，工厂复工波及中国
20. 7 月，云服务商 Blackbaud 被曝遭勒索软件攻打，已领取赎金
21. 7 月，阿根廷电信 1.8 万台计算机感化勒索软件，黑客要价 750 万美元
22. 7 月，佳明遭勒索软件重创：业务瘫痪产线停运，被勒索千万美元赎金
23. 7 月，闪存巨头 SK Hynix 遭 Maze 勒索软件攻打，不少于 1.1TB 数据被盗
24. 8 月，寰球最大邮轮运营商嘉年华公司遭逢勒索软件攻打，局部零碎被加密
25. 8 月，美国酒业巨头百富门遭 Sodinokibi 勒索软件窃取超 1TB 数据
26. 8 月，驰名数码摄像机厂商佳能 (Canon) 受到 Maze 勒索软件攻打，2.2GB 数据惨遭“撕票”
27. 9 月，企业旅行社巨头 CWT 蒙受 Ragnar Locker 勒索软件攻打，影响亚马逊、波士顿迷信、Facebook、强生、SONOCO、雅诗兰黛等出名公司，或已领取 450 万美元赎金
28. 9 月，首个国家机构被勒索？阿根廷移民局遭逢攻打中断服务 4 小时，间接导致边陲入出境事务陷入瘫痪，或成首个被勒索的国家机构
29. 9 月，智利银行受到 Evil (Sodinokibi)勒索软件攻打，导致所有分行被迫敞开
30. 9 月，数据中心巨头 Equinix 遭逢勒索攻打，被要求领取 450 万美元赎金解密
31. 9 月，寰球首现勒索软件致死事变，德国杜塞尔多夫大学医院零碎瘫痪导致抢救延误
32. 10 月，勒索软件攻打袭击了医疗软件公司 eResearchTechnology（ERT），造成包含施贵宝、阿斯利康、辉瑞和强生等公司的新冠疫苗临床测试被勒索软件延误
33. 10 月，德国科技巨头 Software AG 遭勒索攻打，解密赎金 2000 万美元，创历史新高
34. 10 月，看门狗行将公布的游戏大作被勒索软件窃取源码
35. 11 月，台湾笔记本电脑制造商仁宝遭勒索攻打，，赎金高达 1670 万美元，或影响短期生产
36. 11 月，丹麦最大新闻机构遭勒索攻打，近三成服务器被加密
37. 12 月，勒索软件攻打导致温哥华公交系统瘫痪两天工夫
38. 12 月，寰球第三大飞机制造商 Embraer 遭勒索攻打，外部数据泄露
39. 12 月，富士康工厂遭勒索攻打：上千台服务器被加密，索要 3400 万美元赎金
40. 12 月，印度电商领取公司 Paytm 被勒索软件攻打，领取赎金仍被“撕票”

（以上仅为据媒体报道整顿的重要盘点）