勒索軟件已成為一種日益普遍的全球威脅，2021年上半年，在眾多網(wǎng)絡(luò)威脅中表現(xiàn)最為亮眼也最為瘋狂。據(jù)SonicWall報(bào)告稱，相比2020年上半年，2021上半年勒索軟件攻擊數(shù)量增長了151%。攻擊規(guī)模和頻率以驚人的速度增長，復(fù)雜性和創(chuàng)新水平不斷提高，成為政府、企業(yè)、個(gè)人最為關(guān)注的安全風(fēng)險(xiǎn)之一，也是網(wǎng)絡(luò)安全最重大威脅之一。因此，有必要從發(fā)生原因、發(fā)展特點(diǎn)、打擊措施和防御建議等方面進(jìn)行分析研究。

　　一

　　2021年上半年大型勒索攻擊事件回顧

　　勒索軟件作為最具破壞性且傳播廣泛的一種惡意軟件，旨在加密目標(biāo)設(shè)備上的文件，阻止目標(biāo)訪問，并索要贖金以換取解密密鑰。此外，部分勒索軟件還會(huì)在攻擊過程中竊取目標(biāo)信息，并威脅在暗網(wǎng)上發(fā)布或出售數(shù)據(jù)，對企業(yè)和個(gè)人造成嚴(yán)重的影響。2021年上半年，全球勒索攻擊事件激增，據(jù)不完全統(tǒng)計(jì)，2021年上半年至少發(fā)生了1200多起勒索軟件攻擊事件，攻擊目標(biāo)向汽車、保險(xiǎn)、能源、制造、水務(wù)、核武器、軟件供應(yīng)、電信等關(guān)鍵基礎(chǔ)設(shè)施行業(yè)發(fā)展。本節(jié)選取部分大型事件予以介紹，以期為各行業(yè)敲響警鐘。

　　2月，起亞汽車美國公司遭DoppelPaymer勒索軟件攻擊，要求兩到三周內(nèi)支付約2000萬美元的比特幣贖金（約合人民幣1.29億元），一旦延期支付，贖金將達(dá)到約3000萬美元（約合人民幣1.93億元），同時(shí)宣稱若起亞汽車不與之談判，將公布竊取的大量數(shù)據(jù)。

　　3月，美國最大的保險(xiǎn)公司之一CAN Financial 遭Phoenix勒索軟件攻擊，因無法自行恢復(fù)數(shù)據(jù)，支付了4000萬美元（約合人民幣2.57億元）高額贖金。3月，臺(tái)灣計(jì)算機(jī)制造商宏基遭Revil勒索軟件攻擊，索要5000萬美元（約合人民幣3.25億元），如提前支付贖金，可提供20%的贖金折扣，提供解密工具，漏洞報(bào)告，并刪除竊取到的文件。

　　5月，美國最大成品油管道運(yùn)營商科洛尼爾（Colonial Pipeline）公司遭到Darkside勒索軟件攻擊，該公司每天運(yùn)送多達(dá)1億加侖的汽油、柴油、航空煤油與家用燃料油，占美國東岸燃油供應(yīng)的45%，負(fù)責(zé)美國7個(gè)機(jī)場的燃油供應(yīng)。攻擊導(dǎo)致美國東部沿海主要城市輸送油氣的管道系統(tǒng)被迫下線，成品油供應(yīng)中斷，公司被迫支付約500萬美元（約合人民幣3200萬元），獲得勒索病毒軟件解密工具。5月，巴西肉類制造巨頭企業(yè)JBS遭受Revil勒索軟件攻擊，導(dǎo)致其位于美國和加拿大地區(qū)的部分工廠暫停作業(yè)，其中，澳大利亞所有JBS肉類工廠停產(chǎn)。最終，JBS美國部分同意支付1100萬美元（約合人民幣7030萬元）比特幣贖金，以防止黑客泄露公司數(shù)據(jù)。5月，美國最大的供水和污水處理公司之一WSSC Water，在發(fā)現(xiàn)事件后數(shù)小時(shí)內(nèi)公司即刪除了惡意軟件并鎖定了威脅，但攻擊者仍然成功訪問到內(nèi)部文件，就目前的情況看，攻擊事件似乎并未影響到當(dāng)?shù)毓┧{(diào)查工作仍在進(jìn)行當(dāng)中。

　　6月，美國能源部核安全管理局（NNSA）的核武器分包商Sol Oriens遭受Revil勒索軟件攻擊，企業(yè)員工信息數(shù)據(jù)文件遭受竊取，但攻擊者未獲得核武器合作項(xiàng)目文件等機(jī)密內(nèi)容的訪問權(quán)限。6月，北約“北極星”計(jì)劃云平臺(tái)供應(yīng)商遭受勒索軟件攻擊，云平臺(tái)相關(guān)代碼、文檔等敏感信息可能遭受竊取，并威脅將數(shù)據(jù)發(fā)送到俄羅斯情報(bào)部門，以此勒索10億歐元（約合人民幣76億元）的贖金。

　　7月，美國軟件供應(yīng)商卡西亞（Kaseya）遭受疑似Revil勒索軟件攻擊，Kaseya為40000多家組織提供服務(wù)，攻擊者入侵了卡西亞軟件補(bǔ)丁和漏洞管理系統(tǒng)VSA服務(wù)器設(shè)備，鎖定大量系統(tǒng)，并利用軟件更新機(jī)制傳播Revil勒索病毒，并威迫受害者支付約7000萬美元（約合人民幣4.5億元）的贖金，該攻擊導(dǎo)致包括瑞典最大雜貨零售品牌在內(nèi)的全球數(shù)百家企業(yè)啟動(dòng)緊急應(yīng)急響應(yīng)，以應(yīng)對潛在的違規(guī)漏洞，其中瑞典雜貨零售連鎖店Coop被迫關(guān)閉了至少 800家門店。7月，西班牙電信運(yùn)營商MasMovil Iberoom遭受Revil勒索軟件攻擊，且攻擊團(tuán)伙在其專門的數(shù)據(jù)泄露網(wǎng)站中表示，已竊取大量敏感信息，并公開備份文件、經(jīng)銷商名單等作為成功實(shí)施攻擊的證據(jù)。

　　二

　　2021年上半年全球典型勒索軟件組織概述

　　2021年上半年勒索軟件組織也發(fā)生了翻天覆地的變化，一些停止運(yùn)營，一些解散后重組，一些暫時(shí)停止活動(dòng)，主流團(tuán)伙退位，新興團(tuán)伙替換，勒索家族總體呈現(xiàn)為生生不息之態(tài)。正如美國國家網(wǎng)絡(luò)總監(jiān)克里斯·英格利所言，應(yīng)將勒索軟件視為長期持續(xù)的威脅。為此，本節(jié)篩選了典型的、較為活躍的勒索組織，簡要分析其攻擊目標(biāo)及主要技術(shù)特征，以期提供警示。

　?。ㄒ唬㏑evil（又名Sodinokibi）組織

　　Revil組織今年相當(dāng)活躍，以大中型企業(yè)為攻擊目標(biāo)，攻擊了多個(gè)國家的重要機(jī)構(gòu)和實(shí)體，例如美國核武器承包商、巴西司法局、JBS肉類生產(chǎn)商等。據(jù)研究，該勒索軟件已影響了近20個(gè)行業(yè)，受害比例最大的是工程與制造（30％），其次是金融（14％）、專業(yè)與消費(fèi)者服務(wù)（9％）、法律（7％）以及IT與電信（7％）。

　　該組織于2019年4月首次在意大利被發(fā)現(xiàn)，采用勒索軟件即服務(wù) （RaaS） 運(yùn)營模式，主要針對Windows、Linux平臺(tái)，屬于數(shù)據(jù)竊取類勒索病毒。傳播方式主要包括釣魚郵件、遠(yuǎn)程桌面入侵、漏洞利用等，該軟件套用、利用現(xiàn)有惡意工具作為攻擊載體，同時(shí)傳播勒索病毒、挖礦木馬、竊密程序，并通過加密用戶文件、竊取用戶數(shù)據(jù)進(jìn)行雙重勒索。2021年3月，該組織侵入宏碁，索要5000萬美元的贖金，創(chuàng)下最高勒索軟件贖金的記錄。在多次獲得高額贖金后，該組織變得愈發(fā)猖狂，6月11日，攻擊了美國核武器承包商Sol Oriens，聲稱竊取了機(jī)密文件，并打算在暗網(wǎng)拍賣竊取的數(shù)據(jù)。

　　該勒索軟件使用Salsa20對稱流算法通過橢圓曲線非對稱算法來加密文件和密鑰的內(nèi)容。該惡意軟件樣本有一個(gè)加密的配置塊，其中包含許多字段，攻擊者可以對該負(fù)載進(jìn)行微調(diào)。主要通過受損的RDP訪問、網(wǎng)絡(luò)釣魚和軟件漏洞進(jìn)行分發(fā)。附屬機(jī)構(gòu)負(fù)責(zé)獲得對公司網(wǎng)絡(luò)的初始訪問權(quán)限并部署locker—RaaS模型的標(biāo)準(zhǔn)實(shí)踐。成功攻擊后，會(huì)有特權(quán)提升，偵察和橫向移動(dòng)，然后操作員對敏感文件進(jìn)行評估、竊取和加密，下一步是與被攻擊的公司談判。如果受害者決定不支付贖金，那么REvil操作員將開始在。onion Happy Blog網(wǎng)站上發(fā)布受攻擊公司的敏感數(shù)據(jù)。應(yīng)該注意的是，該團(tuán)伙對新成員的招募有非常嚴(yán)格的規(guī)定，只招募會(huì)說俄語、有進(jìn)入網(wǎng)絡(luò)經(jīng)驗(yàn)的高技能合作伙伴。

　　（二）DarkSide組織

　　DarkSide組織是美國燃油管道攻擊事件的始作俑者，現(xiàn)已宣布暫停運(yùn)營。該組織于2020年8月成立，母語為俄語的網(wǎng)絡(luò)犯罪團(tuán)伙，曾聲稱不會(huì)勒索醫(yī)療、教育、非盈利及政府機(jī)構(gòu)。DarkSide主要針對Windows、Linux平臺(tái)，屬于數(shù)據(jù)竊取類勒索病毒，同時(shí)具有勒索軟件即服務(wù) （RaaS）功能。DarkSide通過收集到的企業(yè)信息評估企業(yè)的財(cái)力，然后再?zèng)Q定勒索的贖金數(shù)額。據(jù)調(diào)查，該組織在成立不到一年的時(shí)間內(nèi)，感染了99個(gè)組織，其中大約有47%的受害者支付了贖金，平均付款為190萬美元，總收入高達(dá)9000萬美元。

　　DarkSide的技術(shù)是使用MetaSploit和其他攻擊性安全工具框架來掃描攻擊目標(biāo)網(wǎng)絡(luò)中的漏洞，其目的是建立初始訪問權(quán)限。經(jīng)過監(jiān)測發(fā)現(xiàn)，該組織會(huì)通過RDP會(huì)話從得到的管理員（域控）賬號，轉(zhuǎn)向使用擁有文件服務(wù)器權(quán)限的賬號進(jìn)行登錄。當(dāng)獲取到文件服務(wù)器上的權(quán)限后，該組織會(huì)將公司的數(shù)據(jù)通過Privatlab和mega網(wǎng)盤進(jìn)行手動(dòng)上傳，在一些活動(dòng)中，DarkSide會(huì)將數(shù)據(jù)傳到他們的CDN服務(wù)器上。隨后該組織會(huì)加密目標(biāo)公司的文件，并將部分信息上傳至其暗網(wǎng)博客，采用“解密和泄密”雙重勒索策略，聲稱若不交付贖金，將公布目標(biāo)公司的敏感數(shù)據(jù)。

　　（三）Babuk組織

　　Babuk作為2021年新出現(xiàn)的勒索軟件組織，于2021年1月首次被披露，目標(biāo)是竊取高級機(jī)密類文件。該團(tuán)伙主要針對歐洲、美國和大洋洲的大型著名組織或企業(yè)，目標(biāo)行業(yè)包括但不限于運(yùn)輸服務(wù)、醫(yī)療保健部門以及各種工業(yè)設(shè)備供應(yīng)商，曾攻擊如NBA休斯頓火箭隊(duì)、美國主要軍事承包商PDI集團(tuán)以及日本制造商Yamabiko公司等。2021年4月，攻擊了美國華盛頓特區(qū)大都會(huì)警察局，威脅警方不交贖金就向當(dāng)?shù)睾趲托孤毒骄€人信息，并聲稱會(huì)繼續(xù)攻擊美國的FBI及CSA部門，性質(zhì)極其惡劣。

　　該勒索軟件使用與橢圓曲線Diffie-Hellman（ECDH）結(jié)合的對稱算法。加密成功后，該惡意軟件會(huì)在每個(gè)處理過的目錄中添加“How To Restore Your Files.txt”。除了文本之外，贖金記錄還包含指向一些被竊取數(shù)據(jù)的屏幕截圖的鏈接列表。這證明惡意軟件樣本是在受害者的數(shù)據(jù)被泄露之后被制作的。在贖金記錄中，該團(tuán)伙還建議受害者使用其個(gè)人聊天門戶網(wǎng)站進(jìn)行談判。這些步驟并不僅限于Babuk，但通常出現(xiàn)在Big Game Hunting中很常見。

　　（四）Conti組織

　　Conti是近年來最為活躍和危險(xiǎn)的勒索軟件團(tuán)伙之一。該組織同樣采用勒索軟件即服務(wù) （RaaS） 運(yùn)營模式，其中核心團(tuán)隊(duì)管理惡意軟件和Tor站點(diǎn)，而招募的聯(lián)盟機(jī)構(gòu)則執(zhí)行網(wǎng)絡(luò)漏洞和數(shù)據(jù)加密攻擊。核心團(tuán)隊(duì)賺取贖金的20~30%，附屬公司賺取其余部分。

　　該軟件于2019年12月首次被發(fā)現(xiàn)，主要針對Windows、Linux平臺(tái)，屬于數(shù)據(jù)竊取類勒索病毒，并在2020年7月作為個(gè)人的勒索軟件即服務(wù)（RaaS）開始運(yùn)營，感染攻擊目標(biāo)刪除卷影副本，并禁用修復(fù)、刪除本地設(shè)備備份目錄，采用并發(fā)線程技術(shù)對感染設(shè)備的文件快速加密，屬于新興的雙重勒索軟件團(tuán)伙，被認(rèn)為是流行的Ryuk勒索軟件家族的變種。Conti勒索軟件團(tuán)伙通過多種流行的惡意軟件傳播，包括Trickbot/Emotet和BazarLoader。2021年5月，Conti 勒索軟件團(tuán)伙連續(xù)攻擊了美國國防承包商 BlueForce和愛爾蘭公共衛(wèi)生服務(wù)執(zhí)行局HSE，分別索要969,000美元和19,999,000美元的贖金。在過去的一年中，Conti勒索軟件團(tuán)伙襲擊了美國至少16個(gè)醫(yī)療保健和緊急服務(wù)機(jī)構(gòu)，影響了超過400個(gè)全球組織，其中290個(gè)受害組織位于美國。

　?。ㄎ澹㎜ockBit組織

　　LockBit組織及相關(guān)的惡意軟件最早出現(xiàn)于2019年9月。2021年6月，該組織發(fā)布了LockBit 2.0并招募合作伙伴，到目前已經(jīng)影響過全世界范圍內(nèi)數(shù)以千計(jì)的單位，涵蓋行業(yè)相當(dāng)廣泛，包含會(huì)計(jì)、汽車、顧問、工程、財(cái)務(wù)、高科技、醫(yī)療、保險(xiǎn)、執(zhí)法單位、法律服務(wù)、制造業(yè)、非營利能源產(chǎn)業(yè)、零售業(yè)、物流業(yè)，以及公共事業(yè)領(lǐng)域等。

　　LockBit 2.0以擁有當(dāng)今勒索軟件威脅環(huán)境中最快、最有效的加密方法之一而自豪。分析表明，雖然它在加密中使用了多線程方法，但也只對文件進(jìn)行了部分加密，因?yàn)槊總€(gè)文件只加密了4 KB的數(shù)據(jù)。與其他勒索軟件即服務(wù)（RaaS）操作一樣，LockBit 2.0尋找附屬機(jī)構(gòu)對目標(biāo)執(zhí)行入侵和滲漏。其背后的組織還通過提供StealBit來幫助附屬機(jī)構(gòu)，這是一種可以自動(dòng)泄露數(shù)據(jù)的工具。攻擊者還可以使用有效的遠(yuǎn)程桌面協(xié)議（RDP）賬戶訪問受害者的系統(tǒng)。一旦進(jìn)入系統(tǒng)，LockBit 2.0就會(huì)使用網(wǎng)絡(luò)掃描器來識別網(wǎng)絡(luò)結(jié)構(gòu)并找到目標(biāo)域控制器。它還使用多個(gè)批處理文件，可用于終止進(jìn)程、服務(wù)和安全工具。還有用于在受感染機(jī)器上啟用RDP連接的批處理文件。LockBit 2.0的持久性、傳播速度和入侵方法，可能會(huì)對受害者造成重大損害，無論是經(jīng)濟(jì)上還是聲譽(yù)上。

　?。〢vaddon組織

　　Avaddon勒索軟件團(tuán)伙2020年6月首現(xiàn)于俄羅斯黑客論壇，主要針對Windows平臺(tái)，并通過釣魚郵件等傳播，采用RSA2048和AES256加密算法對文本進(jìn)行加密。所開發(fā)的勒索軟件除供自身使用之外，也通過提供勒索即服務(wù)（RaaS）謀求外部合作以獲取更大的利益。Avaddon勒索團(tuán)伙利用Phorpiex僵尸網(wǎng)絡(luò)傳播，攻擊對象包括中國和非獨(dú)立國家聯(lián)合體，平均贖金要求約為 60 萬美元。2021年6月，Avaddon勒索軟件團(tuán)伙宣布停止運(yùn)營，隨后關(guān)閉所有業(yè)務(wù)，并為過去的受害者發(fā)布了2934 個(gè)解密密鑰。

　　三

　　勒索軟件攻擊迅猛及高發(fā)的主要原因

　　勒索軟件伴隨著網(wǎng)絡(luò)犯罪技術(shù)的發(fā)展而發(fā)展，快速迭代并迅速傳播，同時(shí)勒索軟件中蘊(yùn)藏的巨大收益，致使網(wǎng)絡(luò)犯罪分子對其趨之若鶩，不斷探索新的利潤擴(kuò)張途徑，直接致使勒索軟件攻擊在全球大規(guī)模泛濫并呈高發(fā)態(tài)勢，分析其原因，主要有如下幾點(diǎn)：

　　（一）牟取暴利的絕佳手段

　　勒索軟件攻擊對象往往針對企業(yè)機(jī)構(gòu)、政府部門和個(gè)人具有重要作用的系統(tǒng)和數(shù)據(jù)，有些關(guān)鍵敏感數(shù)據(jù)甚至是企業(yè)的經(jīng)濟(jì)命脈，一旦泄露或損毀，將造成無法挽回的損失。此外，受害者還擔(dān)心其敏感數(shù)據(jù)被暴露給全世界，面臨聲譽(yù)受損的風(fēng)險(xiǎn)。而勒索團(tuán)伙在攻擊企業(yè)時(shí)所提出的贖金也從最初的幾萬美元，過渡到現(xiàn)在的數(shù)百萬，甚至數(shù)千萬的勒索贖金。例如，5月30日，全球最大的肉類生產(chǎn)商遭到Revil勒索組織攻擊，事后，該公司通過備份系統(tǒng)恢復(fù)正常運(yùn)營，但仍選擇支付1100萬美元的贖金，以防止Revil泄露被盜數(shù)據(jù)。在獲取巨額贖金的背后，其實(shí)際上的攻擊成本卻不到5000美元。同時(shí)，DarkSide勒索團(tuán)伙在過去六個(gè)月里賺了9000萬美元。低成本和高回報(bào)率對犯罪分子具有極大的誘惑力，吸引越來越多的數(shù)字贖金“游戲”的掠奪者蜂擁而至，同時(shí)暗網(wǎng)、虛擬貨幣等技術(shù)趨于成熟，更加助推勒索軟件攻擊大面積爆發(fā)。

　?。ǘ├账髂芰Σ粩嗌?，破解難度越來越大

　　最早的勒索軟件攻擊并不復(fù)雜，以欺騙為主，然后發(fā)展到僅鎖住用戶設(shè)備索要贖金，到現(xiàn)在流行的以加密用戶數(shù)據(jù)為手段的更惡毒的勒索贖金的形式。而且最流行的加密勒索軟件早已拋棄可被破解的對稱加密算法，普遍采用非對稱的強(qiáng)加密算法，除非在實(shí)現(xiàn)上有漏洞或密鑰泄密，不然在沒有私鑰的情況下，除了付費(fèi)獲得密鑰，別無其他解密方法。內(nèi)部技術(shù)的不斷迭代，加之網(wǎng)絡(luò)技術(shù)的快速進(jìn)步，促使勒索能力不斷升級。此外，勒索軟件新變種層出不窮，每個(gè)變種都添加一些新技術(shù)，從而擁有加強(qiáng)的新功能，越來越多的躲避檢測和查殺的高級技術(shù)的出現(xiàn)，致使破解難度越來越大。例如，2021年出現(xiàn)了“間歇性加密”技術(shù)，可有效逃避依賴于使用統(tǒng)計(jì)分析來檢測加密內(nèi)容的檢測，還有“內(nèi)存映射輸入/輸出”技術(shù)，采用相對不常見的過程來加密文件以逃避檢測。這些新技術(shù)的更迭讓勒索軟件“如虎添翼”，試圖以更隱蔽的形式發(fā)動(dòng)更猛烈的攻勢，來獲取更大的利益。

　?。ㄈ┕舴秶湍繕?biāo)越發(fā)廣泛、多樣

　　勒索軟件攻擊日益肆虐，被攻擊行業(yè)幾乎涉及全領(lǐng)域，政府部門是勒索重點(diǎn)，緊隨其次的是教育和醫(yī)療衛(wèi)生行業(yè)，關(guān)鍵制造、金融行業(yè)、效能系統(tǒng)、商業(yè)行業(yè)、食品和農(nóng)業(yè)、水務(wù)和污水處理、國防工業(yè)基礎(chǔ)行業(yè)、交通通信等諸多關(guān)鍵基礎(chǔ)設(shè)施和重要領(lǐng)域無一幸免。從地理區(qū)域看，攻擊范圍擴(kuò)展至全球，已發(fā)生多起全球范圍的大規(guī)模勒索軟件攻擊事件，如WannaCry、NotPetya 等事件，攻擊不再限于信息化程度較高、網(wǎng)絡(luò)設(shè)施發(fā)達(dá)的國家和地區(qū)，許多信息化水平不高的國家和地區(qū)也在所難免。

　　攻擊目標(biāo)最大的變化是從個(gè)人用戶到企業(yè)設(shè)備。勒索軟件犯罪團(tuán)伙已經(jīng)不再以家庭用戶為目標(biāo)，而主要針對大型企業(yè)服務(wù)器和關(guān)鍵業(yè)務(wù)系統(tǒng)，甚至整個(gè)企業(yè)網(wǎng)絡(luò)已成為新的攻擊目標(biāo)。另一變化是隨著移動(dòng)互聯(lián)網(wǎng)的普及，勒索軟件攻擊開始從電腦端蔓延至移動(dòng)端，并且有愈演愈烈趨勢。無論是橫掃各大領(lǐng)域、涉獵全球各地，還是攻擊目標(biāo)的不斷延展，對更高利潤的索取是其最大驅(qū)動(dòng)力，也是勒索軟件入侵能力不斷提升的體現(xiàn)。

　?。ㄋ模﹤鞑ッ浇橼呌诙嘣?/p>

　　勒索軟件主要通過釣魚郵件、網(wǎng)絡(luò)共享文件和移動(dòng)存儲(chǔ)介質(zhì)等方式進(jìn)行傳播。部分勒索軟件借鑒蠕蟲病毒的特點(diǎn)，自我復(fù)制能力越來越強(qiáng)，比如以被感染設(shè)備為跳板，然后利用漏洞在網(wǎng)絡(luò)中自動(dòng)滲透，攻擊局域網(wǎng)內(nèi)的其他電腦。還有的借助更多的漏洞、更隱蔽的方式進(jìn)行傳播，并越來越多地利用社交媒體，如通過在推特、微博等網(wǎng)站上分享惡意內(nèi)容誘惑受害者點(diǎn)擊惡意鏈接而傳播?，F(xiàn)在勒索病毒更多利用遠(yuǎn)程桌面入侵傳播、魚叉式攻擊等非常專業(yè)的黑客攻擊方式進(jìn)行傳播，還有的針對各企業(yè)對于軟件供應(yīng)鏈的管理弱點(diǎn)，通過行業(yè)供應(yīng)鏈攻擊傳播，極大地提高了入侵成功率和病毒影響面。

　　（五）比特幣為勒索軟件猖狂充當(dāng)了“保護(hù)傘”

　　比特幣等加密貨幣支付方式在勒索軟件全球大規(guī)模爆發(fā)中發(fā)揮了重要作用?；诒忍貛诺内H金支付在很大程度上消除了與傳統(tǒng)贖金支付相關(guān)的交易成本和風(fēng)險(xiǎn)，由于不同的國家和地區(qū)對其管控不足，或者有的國家就根本沒有任何管控措施，導(dǎo)致其難以追蹤。通過加密貨幣，被勒索者可以不通過銀行或其他受政府管控機(jī)構(gòu)，直接將贖金電匯到指定賬號。目前還沒有其他機(jī)制能夠滿足一次轉(zhuǎn)移數(shù)百萬美元的要求，只有加密貨幣非常適合數(shù)千英里以上的大規(guī)模轉(zhuǎn)移，并且以高度抵抗執(zhí)法、監(jiān)管監(jiān)視及攔截的方式?？梢哉f，比特幣的出現(xiàn)為網(wǎng)絡(luò)勒索提供了低風(fēng)險(xiǎn)、易操作、便捷性強(qiáng)的贖金交易和變現(xiàn)方式，成為網(wǎng)絡(luò)犯罪活動(dòng)的主要支付形式。此外，病毒制作者常將勒索服務(wù)器搭建在暗網(wǎng)，通過洋蔥網(wǎng)絡(luò)與受害者進(jìn)行通信，進(jìn)一步掩蓋了攻擊的來源，這些手段先進(jìn)實(shí)用，又唾手可得。由此可見，<}0{>勒索軟件環(huán)境中的技術(shù)變化與強(qiáng)大的加密技術(shù)的發(fā)展、無限擴(kuò)展的互聯(lián)網(wǎng)通信、管轄范圍內(nèi)的網(wǎng)絡(luò)犯罪避風(fēng)港（如俄羅斯）的存在以及加密貨幣支付的易用性等加速了勒索軟件的猖獗和泛濫。<0}< span=“”>

　　四

　　勒索軟件攻擊的發(fā)展新特點(diǎn)

　　（一）針對性定制勒索軟件成最大威脅

　　2021年無疑是針對性勒索軟件集團(tuán)不斷發(fā)展并尋找新的策略對受害者施壓支付贖金的一年。早期勒索軟件傳播任意，攻擊目標(biāo)較為分散，不限行業(yè)范圍，且主要分布于中小企業(yè)，因其缺乏大型企業(yè)和組織擁有的深度安全基礎(chǔ)架構(gòu)，更容易被攻擊，但數(shù)據(jù)價(jià)值和支付贖金的能力有限，難以滿足勒索團(tuán)伙不斷擴(kuò)大收益的目的。2021年從廣撒網(wǎng)的攻擊方式向針對高價(jià)值的關(guān)鍵資產(chǎn)攻擊方式轉(zhuǎn)變，頂級和高技能的網(wǎng)絡(luò)犯罪集團(tuán)不再不分青紅皂白地以大量小規(guī)模受害者為目標(biāo)，而是針對特定的百萬或十億美元的公司定制勒索活動(dòng)（稱為“大型狩獵”）。瞄準(zhǔn)特定行業(yè)，如制造業(yè)、金融、醫(yī)療、能源等關(guān)鍵基礎(chǔ)設(shè)施的大型企業(yè)，此類目標(biāo)的數(shù)據(jù)損壞可造成大面積社會(huì)影響，每次選取一個(gè)攻擊目標(biāo)，并盡可能多地在受害者網(wǎng)絡(luò)上加密計(jì)算機(jī)信息，可能的話還會(huì)清除對方的備份數(shù)據(jù)。以此為基礎(chǔ)，提出相當(dāng)夸張的贖金要求，如2021上半年，REvil 勒索團(tuán)伙已經(jīng)連續(xù)攻擊了多家世界知名企業(yè)，且每次勒索贖金額度都超過 5000 萬美元。即便針對性勒索軟件攻擊實(shí)施起來極為困難且相當(dāng)耗時(shí)，但潛在回報(bào)極大，因此采取這類攻擊的團(tuán)伙開始激增。

　?。ǘ┪锫?lián)網(wǎng)成為勒索軟件攻擊的新突破口

　　越來越多的企業(yè)依靠物聯(lián)網(wǎng)（IoT）設(shè)備采集數(shù)據(jù)，為黑客提供了進(jìn)入企業(yè)網(wǎng)絡(luò)的通道，而且制造商為每個(gè)物聯(lián)網(wǎng)設(shè)備創(chuàng)建的應(yīng)用程序種類繁多，也為黑客以多種方式造成破壞提供了可能性。黑客使用惡意軟件感染IoT設(shè)備并將其轉(zhuǎn)變?yōu)榻┦W(wǎng)絡(luò)，黑客可以使用僵尸網(wǎng)絡(luò)來探查和探索啟動(dòng)過程，以找到獲得網(wǎng)絡(luò)訪問的最佳方法。黑客也會(huì)搜索IoT設(shè)備固件中存在的未禁用、未刪除、未更新的有效憑證，然后，攻擊者將受感染的設(shè)備用作企業(yè)網(wǎng)絡(luò)的入口點(diǎn)。新冠疫情帶來的一夜之間激增的遠(yuǎn)程辦公方式為網(wǎng)絡(luò)犯罪分子提供了更有吸引力的攻擊目標(biāo)，開辟了新的攻擊面，感染勒索軟件的機(jī)會(huì)比以往任何時(shí)候都高，導(dǎo)致在新冠大流行期間仍保持運(yùn)營的公司面臨的潛在威脅劇增，據(jù)統(tǒng)計(jì)，IoT惡意軟件攻擊直接增加了30%。事實(shí)上，遠(yuǎn)程工作人員的增加以及連接到公司網(wǎng)絡(luò)的不安全設(shè)備的數(shù)量增加，再加之物聯(lián)網(wǎng)設(shè)備自身的安全風(fēng)險(xiǎn)，為勒索軟件運(yùn)營提供了全新的領(lǐng)域。

　?。ㄈ碾p重勒索向三重勒索策略轉(zhuǎn)變

　　勒索團(tuán)伙一直在嘗試使用各種策略對受害公司施加壓力，以增加贖金數(shù)目及確保繳納率，為此，從最初的單一加密勒索演變?yōu)?020年的“雙重勒索”，即在加密前攻擊者會(huì)先竊取大量受害者敏感數(shù)據(jù)，威脅受害者如果不繳納贖金則公開數(shù)據(jù)，使受害者不僅要面臨數(shù)據(jù)泄露威脅，還有相關(guān)法規(guī)、財(cái)務(wù)和聲譽(yù)影響。2021年開始逐漸演化出“三重勒索”攻擊，則在雙重勒索的基礎(chǔ)上增加了 DDoS 攻擊威脅。目前，部分勒索軟件已整合了DDOS攻擊能力，不僅能加密受害者電腦文件，還能對外出售敏感數(shù)據(jù)，并利用被感染電腦發(fā)送惡意網(wǎng)絡(luò)流量，以此影響受害者系統(tǒng)的帶寬或運(yùn)行速度，這三種攻擊若同時(shí)實(shí)施，將帶來非常嚴(yán)重且不可逆轉(zhuǎn)的后果。由此可推測，在未來的數(shù)年內(nèi)為實(shí)現(xiàn)收益最大化，勒索攻擊形式還會(huì)層出不窮。

　?。ㄋ模慕?jīng)濟(jì)公害升級到對國家安全構(gòu)成威脅

　　美國網(wǎng)軍司令、國安局局長中曾根將軍表示，勒索軟件攻擊已經(jīng)不再是單純的黑客犯罪活動(dòng)，現(xiàn)如今開始對整個(gè)國家產(chǎn)生影響，已轉(zhuǎn)變?yōu)閷?shí)際存在的國家安全問題。2021年勒索軟件攻擊更是瞄準(zhǔn)國家關(guān)鍵基礎(chǔ)設(shè)施，其中政府部門是勒索的重點(diǎn)；緊隨其次是教育行業(yè)和醫(yī)療衛(wèi)生行業(yè)；關(guān)鍵制造、通信、商業(yè)行業(yè)、金融行業(yè)、能源、食品和農(nóng)業(yè)、水務(wù)和污水處理、國防工業(yè)基礎(chǔ)行業(yè)等都未能幸免。勒索軟件攻擊能力一旦與國家網(wǎng)絡(luò)武器結(jié)合起來，其攻擊能力和毀傷效果將得到大幅提升，將對網(wǎng)絡(luò)空間構(gòu)成重大威脅。美國燃油管道商遭“黑暗面”勒索攻擊事件，是非國家行為體對網(wǎng)絡(luò)空間重大影響的縮影。Colonial Pipeline攻擊也是這種情況，該攻擊由俄羅斯犯罪分子實(shí)施，瞄準(zhǔn)關(guān)鍵基礎(chǔ)設(shè)施，將會(huì)對國家安全產(chǎn)生影響。勒索軟件越來越多地陷入犯罪行為與國家安全行為重疊的關(guān)系中。在網(wǎng)絡(luò)犯罪和國家安全的交叉點(diǎn)，與政府關(guān)系不明的犯罪組織實(shí)施勒索軟件，目的是在政府不同級別的控制和指導(dǎo)下兼獲經(jīng)濟(jì)利益和戰(zhàn)略動(dòng)機(jī)。

　　五

　　美國政府針對勒索軟件威脅的最新打擊措施

　　拜登政府采取了集中、綜合的措施來應(yīng)對勒索軟件威脅。然而，僅靠政府行動(dòng)是不夠的。政府呼吁擁有和運(yùn)營美國大部分關(guān)鍵基礎(chǔ)設(shè)施的私營部門對其網(wǎng)絡(luò)防御進(jìn)行現(xiàn)代化改造，以應(yīng)對勒索軟件的威脅。政府宣布了鼓勵(lì)彈性的具體措施，包括為關(guān)鍵基礎(chǔ)設(shè)施管理人員舉行的機(jī)密威脅簡報(bào)會(huì)以及工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全倡議等。此外，國際伙伴關(guān)系至關(guān)重要，跨國犯罪組織往往是勒索犯罪的實(shí)施者，利用全球基礎(chǔ)設(shè)施和洗錢網(wǎng)絡(luò)實(shí)施襲擊，政府已加緊領(lǐng)導(dǎo)打擊勒索軟件的國際努力?？傮w而言，美政府的反勒索工作分為四個(gè)方面：

　?。?）破壞勒索軟件基礎(chǔ)設(shè)施和參與者：政府正在充分發(fā)揮美國政府的能力，以破壞勒索軟件參與者、協(xié)助者、網(wǎng)絡(luò)和金融基礎(chǔ)設(shè)施；

　?。?）增強(qiáng)抵御勒索軟件攻擊的彈性：政府呼吁私營部門加大投資力度，重點(diǎn)關(guān)注網(wǎng)絡(luò)防御以應(yīng)對威脅。政府還概述了關(guān)鍵基礎(chǔ)設(shè)施的預(yù)期網(wǎng)絡(luò)安全閾值，并對交通關(guān)鍵基礎(chǔ)設(shè)施提出了網(wǎng)絡(luò)安全要求；

　　（3）解決濫用虛擬貨幣進(jìn)行贖金支付的問題：虛擬貨幣受到與法定貨幣相同的反洗錢和反恐怖主義融資（AML/CFT）控制，這些控制和法律必須強(qiáng)制執(zhí)行。政府正在利用現(xiàn)有能力并獲取創(chuàng)新能力來追蹤和攔截勒索軟件收益；

　?。?）利用國際合作破壞勒索軟件生態(tài)系統(tǒng)并解決勒索軟件罪犯的安全港問題：美國正與國際合作伙伴合作，破壞勒索軟件網(wǎng)絡(luò)，提高合作伙伴在本國境內(nèi)偵查和應(yīng)對此類活動(dòng)的能力，包括對允許罪犯在其管轄范圍內(nèi)活動(dòng)的國家施加后果并追究其責(zé)任。

　　針對上述四個(gè)方面，迄今為止，美國已經(jīng)采取的行動(dòng)包括：

　　（一）破壞勒索軟件基礎(chǔ)設(shè)施和參與者

　?。?）司法部成立了一個(gè)工作組，以加強(qiáng)執(zhí)法和檢察機(jī)關(guān)打擊勒索軟件舉措的協(xié)調(diào)和統(tǒng)一。執(zhí)法機(jī)構(gòu)通過國家網(wǎng)絡(luò)調(diào)查聯(lián)合工作組 （NCIJTF） 并在跨部門的支持下，正在大力開展調(diào)查、資產(chǎn)追回和其他努力，以追究勒索軟件犯罪分子的責(zé)任。

　　（2）財(cái)政部首次對虛擬貨幣交易所實(shí)施制裁。財(cái)政部將繼續(xù)破壞并追究這些勒索軟件參與者及其洗錢網(wǎng)絡(luò)的責(zé)任，以降低網(wǎng)絡(luò)犯罪分子繼續(xù)進(jìn)行這些攻擊的動(dòng)機(jī)。

　?。?）財(cái)政部發(fā)布了最新的制裁公告，鼓勵(lì)并強(qiáng)調(diào)向美國政府當(dāng)局報(bào)告勒索事件和付款的重要性。

　?。?）美國網(wǎng)絡(luò)司令部和國家安全局正在投入人力、技術(shù)和專業(yè)知識來生成針對勒索軟件攻擊者的洞察力和選項(xiàng)。

　?。?）國務(wù)院獎(jiǎng)勵(lì)司法 （RFJ） 辦公室懸賞 1,000 萬美元，用于提供信息，以識別或定位在外國政府指導(dǎo)或控制下從事、協(xié)助或教唆，針對美國關(guān)鍵基礎(chǔ)設(shè)施的某些惡意網(wǎng)絡(luò)活動(dòng)，包括勒索軟件活動(dòng)。

　?。ǘ┰鰪?qiáng)抵御勒索軟件攻擊的彈性

　?。?）拜登于4月啟動(dòng)了一項(xiàng)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全（ICS）計(jì)劃——這是聯(lián)邦政府和關(guān)鍵基礎(chǔ)設(shè)施社區(qū)之間的自愿合作。ICS 計(jì)劃已促使代表近 9000 萬居民客戶的 150 多家電力公司部署或承諾部署控制系統(tǒng)網(wǎng)絡(luò)安全技術(shù)，從而加強(qiáng)這些設(shè)施的安全性和彈性。ICS 計(jì)劃已擴(kuò)展到天然氣管道，不久將擴(kuò)展到水利部門。

　?。?）7月，美國國土安全部（DHS）和美國司法部（DOJ）建立了StopRansomware.gov網(wǎng)站，以幫助私人和公共組織訪問資源以降低其勒索軟件風(fēng)險(xiǎn)。

　?。?）5月和7月，國土安全部交通安全管理局（TSA）分別發(fā)布了兩項(xiàng)安全指令，要求關(guān)鍵管道所有者和運(yùn)營商：向美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）報(bào)告確認(rèn)的和潛在的網(wǎng)絡(luò)安全事件；指定網(wǎng)絡(luò)安全協(xié)調(diào)員每周7天、每天24小時(shí)待命；審查現(xiàn)行做法；識別網(wǎng)絡(luò)風(fēng)險(xiǎn)的漏洞及相關(guān)補(bǔ)救措施，并在30天內(nèi)向TSA和CISA報(bào)告結(jié)果。第二份安全指令要求TSA指定的關(guān)鍵管道的所有者和運(yùn)營商實(shí)施具體的緩解措施，以防止勒索軟件攻擊和其他已知的信息技術(shù)和運(yùn)營技術(shù)系統(tǒng)的威脅，制定并實(shí)施網(wǎng)絡(luò)安全應(yīng)急和恢復(fù)計(jì)劃，并進(jìn)行網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)審查。

　　（4）負(fù)責(zé)網(wǎng)絡(luò)和新興技術(shù)的副國家安全顧問安妮·紐伯格（Anne Neuberger）于 6 月向首席執(zhí)行官們發(fā)送了一封公開信，傳達(dá)了防御和準(zhǔn)備勒索軟件事件的最佳實(shí)踐，包括備份數(shù)據(jù)、實(shí)施多因素身份驗(yàn)證和測試事件響應(yīng)計(jì)劃。

　?。?）8月，拜登總統(tǒng)會(huì)見了私營部門和教育部門領(lǐng)導(dǎo)人，討論了解決網(wǎng)絡(luò)安全威脅所需的全國性努力——領(lǐng)導(dǎo)人宣布了支持國家網(wǎng)絡(luò)安全的雄心勃勃的計(jì)劃。

　?。?）商務(wù)部下屬的國家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）正在與業(yè)界合作，以改進(jìn)當(dāng)前和新興的標(biāo)準(zhǔn)、實(shí)踐和技術(shù)方法，以解決勒索軟件問題。他們的工作包括制定勒索軟件風(fēng)險(xiǎn)管理的網(wǎng)絡(luò)安全框架概要，該概要以NIST網(wǎng)絡(luò)安全框架為基礎(chǔ)，為組織提供預(yù)防、應(yīng)對勒索軟件事件和從勒索事件中恢復(fù)的指南。

　?。?）財(cái)政部和國土安全部的CISA正在與網(wǎng)絡(luò)保險(xiǎn)部門合作，探索激勵(lì)措施，以加強(qiáng)網(wǎng)絡(luò)衛(wèi)生的實(shí)施并提高勒索軟件活動(dòng)的可見性。

　　（三）打擊濫用虛擬貨幣洗錢

　　（1）美國仍然處于對虛擬貨幣業(yè)務(wù)和活動(dòng)應(yīng)用反洗錢/打擊資助恐怖主義 （AML/CFT） 要求的最前沿。美國虛擬貨幣交易所將繼續(xù)對監(jiān)管要求負(fù)責(zé)，并且通過金融犯罪執(zhí)法網(wǎng)絡(luò) （FinCEN） 交換計(jì)劃等場所與虛擬貨幣和更廣泛的金融部門分享了虛擬貨幣濫用的指標(biāo)和類型。

　　（2）財(cái)政部正在牽頭推動(dòng)金融行動(dòng)特別工作組執(zhí)行與虛擬資產(chǎn)相關(guān)的金融透明度國際標(biāo)準(zhǔn)，并建立雙邊伙伴關(guān)系，旨在加強(qiáng)海外虛擬貨幣交易的反洗錢/反恐融資控制。國際反洗錢/反恐融資虛擬貨幣標(biāo)準(zhǔn)的不均衡實(shí)施會(huì)造成勒索軟件參與者利用的漏洞，并抑制美國政府破壞與勒索軟件相關(guān)的洗錢活動(dòng)的能力。

　?。?）在聯(lián)邦調(diào)查局的領(lǐng)導(dǎo)下，美國政府正在建立非法虛擬資產(chǎn)通知（IVAN）信息共享伙伴關(guān)系和支持平臺(tái)，以改善勒索軟件和其他非法虛擬貨幣支付流的檢測和中斷時(shí)間。

　?。ㄋ模┘訌?qiáng)國際合作

　?。?）政府正與國際合作伙伴密切合作，以應(yīng)對勒索軟件的共同威脅，并激發(fā)全球政治意愿來對抗勒索軟件活動(dòng)——正如最近七國集團(tuán)和北大西洋財(cái)政組織（北約）的聯(lián)合聲明以及金融行動(dòng)特別工作組（FATF）所反映的那樣，等等。行政當(dāng)局繼續(xù)倡導(dǎo)擴(kuò)大加入和執(zhí)行《布達(dá)佩斯公約》及其原則。

　?。?）各部門和機(jī)構(gòu)繼續(xù)與各國合作，以提高其應(yīng)對勒索軟件威脅的能力，包括通過促進(jìn)網(wǎng)絡(luò)安全最佳實(shí)踐和打擊網(wǎng)絡(luò)犯罪的能力建設(shè)，例如網(wǎng)絡(luò)防御和彈性、網(wǎng)絡(luò)衛(wèi)生、虛擬貨幣分析以及其他培訓(xùn)和向外國執(zhí)法伙伴提供技術(shù)援助，以打擊濫用信息技術(shù)的犯罪行為。

　?。?）美國仍致力于通過更直接的外交途徑消除勒索罪犯的安全港。拜登直接與普京接觸，并成立了白宮和克里姆林宮專家組，直接討論和解決勒索活動(dòng)。

　　六

　　英國如何保護(hù)組織免受勒索軟件攻擊

　　為保護(hù)組織免受勒索軟件攻擊，英國國家網(wǎng)絡(luò)安全中心發(fā)布了《減輕惡意軟件和勒索軟件攻擊》指南，以幫助英國私營和公共部門組織應(yīng)對勒索軟件威脅，降低影響并如何進(jìn)行有效防范，具體舉措主要包括：

　?。ㄒ唬┒ㄆ趥浞?/p>

　　最新備份是從勒索軟件攻擊中恢復(fù)的最有效方法。主要包括：（1）定期備份最重要的文件，檢查是否知道如何從備份中恢復(fù)文件，并定期測試是否按預(yù)期工作。（2）使用不同的備份解決方案和存儲(chǔ)位置制作多個(gè)文件副本。（3）確保包含備份的設(shè)備（例如外部硬盤驅(qū)動(dòng)器和 U 盤） 沒有永久連接到網(wǎng)絡(luò)。攻擊者將瞄準(zhǔn)連接的備份設(shè)備和解決方案，使恢復(fù)更加困難。（4）確保云服務(wù)保護(hù)以前版本的備份不被立即刪除，并允許可恢復(fù)。（5）開始恢復(fù)之前，確保備份僅連接到已知的干凈設(shè)備。（6）在還原之前掃描惡意軟件的備份。勒索軟件可能已經(jīng)在一段時(shí)間內(nèi)滲透到網(wǎng)絡(luò)中，并在被發(fā)現(xiàn)之前復(fù)制到備份中。（7）定期修補(bǔ)用于備份的產(chǎn)品，因此攻擊者無法利用它們可能包含的任何已知漏洞。

　　（二）防止勒索軟件被傳送和傳播到設(shè)備

　　針對勒索軟件攻擊越來越多地通過遠(yuǎn)程桌面協(xié)議 （RDP） 或未打補(bǔ)丁的遠(yuǎn)程訪問設(shè)備等公開服務(wù)獲得遠(yuǎn)程訪問權(quán)限的情況，應(yīng)該：（1）在進(jìn)入網(wǎng)絡(luò)的所有遠(yuǎn)程接入點(diǎn)啟用MFA，并使用硬件防火墻強(qiáng)制 IP 允許列表；（2）使用建議的 VPN遠(yuǎn)程訪問服務(wù)；（3）軟件即服務(wù)或其他暴露于 Internet 的服務(wù)應(yīng)使用單點(diǎn)登錄 （SSO），其中可以定義訪問策略；（4）使用最低權(quán)限模型提供遠(yuǎn)程訪問；（5）立即修補(bǔ)所有遠(yuǎn)程訪問和面向外部的設(shè)備中的已知漏洞，并遵循供應(yīng)商補(bǔ)救指南，包括在新補(bǔ)丁可用時(shí)立即安裝。此外，為防止勒索軟件橫向移動(dòng)，恣意傳播，應(yīng)該：（1）使用MFA對用戶進(jìn)行身份驗(yàn)證，以便在惡意軟件竊取憑據(jù)時(shí)無法輕易重用這些憑據(jù)；（2）確保過時(shí)的平臺(tái)（操作系統(tǒng) （OS） 和應(yīng)用程序）與網(wǎng)絡(luò)的其余部分正確隔離；（3）定期審查并刪除不再需要的用戶權(quán)限，以限制惡意軟件的傳播能力；（4）確保系統(tǒng)管理員避免使用其帳戶進(jìn)行電子郵件和網(wǎng)頁瀏覽；（5）實(shí)踐良好的資產(chǎn)管理，包括跟蹤設(shè)備上安裝的軟件版本；（6）保持將設(shè)備和基礎(chǔ)設(shè)施打補(bǔ)丁，尤其是網(wǎng)絡(luò)邊界上的安全強(qiáng)制設(shè)備（例如防火墻和 VPN 產(chǎn)品）。

　?。ㄈ┓乐估账鬈浖谠O(shè)備上運(yùn)行

　　防止勒索軟件在設(shè)備運(yùn)行應(yīng)采取的措施主要有：（1）集中管理設(shè)備，只允許運(yùn)行企業(yè)信任的應(yīng)用程序；（2）考慮是否需要企業(yè)防病毒或反惡意軟件產(chǎn)品，并使軟件（及其定義文件）保持最新；（3）為員工提供安全教育和安全意識培訓(xùn)；（4）禁用或限制腳本環(huán)境和宏；（5）禁用已安裝媒體的自動(dòng)運(yùn)行。此外，攻擊者可通過利用設(shè)備漏洞強(qiáng)制執(zhí)行其代碼，可通過保持設(shè)備的良好配置和最新狀態(tài)來防止這種情況發(fā)生，通?？梢裕海?）盡快安裝安全更新，以修復(fù)產(chǎn)品中的可利用錯(cuò)誤；（2）啟用操作系統(tǒng)、應(yīng)用程序和固件的自動(dòng)更新；（3）使用最新版本的操作系統(tǒng)和應(yīng)用程序，以利用最新的安全功能；（4）配置基于主機(jī)的防火墻和網(wǎng)絡(luò)防火墻，默認(rèn)禁止入站連接。

　?。ㄋ模槭录龊脺?zhǔn)備

　　勒索軟件攻擊可能是毀滅性的，將造成計(jì)算機(jī)系統(tǒng)不再可用，在某些情況下，數(shù)據(jù)可能永遠(yuǎn)無法恢復(fù)。如可恢復(fù)，也需要數(shù)周乃至更長時(shí)間，如何確保企業(yè)和組織在遭受攻擊后能快速恢復(fù)，可采取的措施主要有：（1）確定關(guān)鍵資產(chǎn)并確定受到勒索軟件攻擊后的影響；（2）制定內(nèi)部和外部溝通策略，確保正確的信息能及時(shí)送到到正確的利益相關(guān)者；（3）確定如何應(yīng)對贖金要求以及組織數(shù)據(jù)被發(fā)布的威脅；（4）如無法訪問計(jì)算機(jī)系統(tǒng)，確保事件管理手冊和支持資源可用；（5）確定向監(jiān)管機(jī)構(gòu)報(bào)告事件方面的法律義務(wù)，并了解應(yīng)如何處理；（6）執(zhí)行事件管理計(jì)劃并確定系統(tǒng)恢復(fù)的優(yōu)先級。例如，廣泛的勒索軟件攻擊是否意味著需要完全關(guān)閉網(wǎng)絡(luò)；（7）事件發(fā)生后，修改事件管理計(jì)劃以及吸取經(jīng)驗(yàn)教訓(xùn)，以確保相同的事件不會(huì)再次以相同的方式發(fā)生。

　　七

　　結(jié)　語

　　2021年，勒索軟件攻擊進(jìn)入最瘋狂的階段，在全球范圍內(nèi)，估計(jì)每11秒就有一次勒索軟件攻擊企業(yè)，預(yù)計(jì)2021年勒索軟件損失將達(dá)到200億美元，而且波及的行業(yè)非常廣泛，向石油、天燃?xì)?、能源、制造等關(guān)鍵基礎(chǔ)設(shè)施行業(yè)蔓延，針對的目標(biāo)公司體量愈來愈大，勒索贖金已創(chuàng)歷史新高，成為給企業(yè)和組織造成損失最大的攻擊手段。面對愈加強(qiáng)大的勒索攻擊者，沒有一個(gè)國家是能孤軍奮戰(zhàn)的，對各國政府而言，可能有不同的方法，從如何保護(hù)網(wǎng)絡(luò)，到利用外交工具，甚至是打擊非法融資的最有效方法等，但是“沒有一個(gè)國家、沒有一個(gè)團(tuán)體可以解決這個(gè)問題?！?美國國家安全顧問杰克沙利文說， “跨國犯罪分子通常是勒索軟件犯罪的肇事者，他們經(jīng)常利用全球基礎(chǔ)設(shè)施和跨多個(gè)國家、多個(gè)司法管轄區(qū)的洗錢網(wǎng)絡(luò)進(jìn)行攻擊?！币虼?，勒索軟件是一個(gè)需要集體行動(dòng)的全球問題，各國的私營企業(yè)和執(zhí)法部門要聯(lián)合起來，共同抵御目前攻擊技術(shù)水平愈加高強(qiáng)的定向針對性勒索軟件攻擊。