5月10日，美國最大燃油管道商遭網(wǎng)絡(luò)攻擊導(dǎo)致暫停運(yùn)營事件，讓勒索病毒再度成為全球焦點(diǎn)。騰訊今日發(fā)布的《2021上半年勒索病毒趨勢報(bào)告及防護(hù)方案建議》(下稱《報(bào)告》)顯示，盡管2021年上半年相比去年同時(shí)期，勒索病毒的攻擊態(tài)勢稍有下降，但勒索事件仍然頻發(fā)，僅2021年第一季度，就發(fā)生了多起國際知名企業(yè)被勒索的案件，并且贖金持續(xù)刷新紀(jì)錄。

勒索病毒“量小毒大”

據(jù)悉，勒索病毒能通過騷擾、恐嚇甚至采用綁架用戶文件等方式，使用戶數(shù)據(jù)資產(chǎn)或計(jì)算資源無法正常使用，并以此為條件向用戶勒索錢財(cái)。1989年，世界上第一個(gè)勒索病毒“AIDS trojan”誕生，該時(shí)期的勒索病毒因采用的是對(duì)稱加密與轉(zhuǎn)賬等方式支付贖金，制作病毒的人很容易被追蹤到，因此沒有得到大范圍傳播。

2013年下半年，勒索病毒該用RSA進(jìn)行加密，破解率接近0，勒索病毒進(jìn)入成型期。2016年，勒索軟件即服務(wù) (RaaS) 的興起，勒索病毒呈爆發(fā)式發(fā)展，最典型的是WannaCry勒索病毒的出現(xiàn)。

2017年5月12日，WannaCry勒索病毒在全球范圍爆發(fā)，全球至少150個(gè)國家、30萬名用戶中招，造成損失達(dá)80億美元，形成一場影響全球的蠕蟲病毒風(fēng)暴。此后四年間，勒索病毒頻繁將魔爪伸向企業(yè)及個(gè)人用戶。

北京時(shí)間5月10日早間，美國首次因網(wǎng)絡(luò)攻擊而宣布進(jìn)入國家緊急狀態(tài)，并迅速登上微博熱搜。記者了解到，使美國進(jìn)入國家緊急狀態(tài)的勒索病毒主要以郵件、程序木馬、網(wǎng)頁掛馬的形式進(jìn)行傳播。這種病毒利用各種加密算法對(duì)文件進(jìn)行加密，被感染者一般無法解密，必須拿到解密的私鑰才有可能破解。

仍未出現(xiàn)對(duì)付“銀彈”

目前，尚未出現(xiàn)對(duì)付勒索病毒的“銀彈”，應(yīng)對(duì)勒索病毒的核心原則仍然是以事前防范為主。從騰訊此次發(fā)布的報(bào)告來看，2021年上半年，GlobeImposter家族和具有系列變種的Crysis家族等老牌勒索病毒依然活躍，而Phobos、Sodinokibi、Buran、Medusalocker、Avaddon、lockbit、Ryuk、NEMTY等新型勒索病毒家族也有著廣泛流行的趨勢。其中大部分勒索病毒都有著變種多、針對(duì)性高、感染量上升快等特點(diǎn)，像Sodinokibi、Medusalocker等病毒甚至呈現(xiàn)針對(duì)國內(nèi)系統(tǒng)定制化的操作。毫無疑問，不斷數(shù)字化轉(zhuǎn)型升級(jí)的國內(nèi)企業(yè)已經(jīng)成為諸多勒索病毒攻擊的重點(diǎn)目標(biāo)。

從區(qū)域上來看，國內(nèi)遭受勒索病毒攻擊中，廣東、浙江、山東、湖北、河南、上海、天津較為嚴(yán)重，其它省份也有遭受到不同程度攻擊。而數(shù)據(jù)價(jià)值較高的傳統(tǒng)行業(yè)、醫(yī)療、政府機(jī)構(gòu)遭受攻擊較為嚴(yán)重，占比依次為37%、18%、14%，總計(jì)占比高達(dá)69%。例如在2020年的8月和11月，多家傳統(tǒng)企業(yè)就先后遭到勒索病毒的攻擊，勒索團(tuán)伙均要求企業(yè)支付高額贖金，否則將把盜竊數(shù)據(jù)在暗網(wǎng)出售。

《報(bào)告》顯示，目前不少企業(yè)機(jī)構(gòu)均升級(jí)了網(wǎng)絡(luò)安全措施，有效防止了勒索軟件損失的擴(kuò)大化，也從一定程度上，反映了“支付贖金”的應(yīng)對(duì)策略正在失效。騰訊安全也對(duì)全球勒索病毒深入分析及研判，挖掘其中涉及的安全漏洞、入侵手法和攻擊工具，為個(gè)人及企業(yè)用戶提供網(wǎng)絡(luò)安全防護(hù)。

勒索病毒將更加多樣化、高頻化

從最初的零星惡作劇，到現(xiàn)在頻發(fā)的惡意攻擊，勒索病毒為何能夠如“野草”般生命力頑強(qiáng)，肆意生長？

《報(bào)告》認(rèn)為，主要原因在于勒索病毒加密手段復(fù)雜，解密成本高；使用電子貨幣支付贖金，變現(xiàn)快、追蹤難；勒索軟件服務(wù)化的出現(xiàn)，讓攻擊者不需要任何知識(shí)，只要支付少量的租金就可以開展勒索軟件的非法勾當(dāng)，大大降低了勒索軟件的門檻，推動(dòng)了勒索軟件大規(guī)模爆發(fā)。

根據(jù)市面較為高發(fā)的勒索病毒特征，《報(bào)告》將勒索病毒的傳播手段分為6個(gè)方向：弱口令攻擊、U盤蠕蟲、軟件供應(yīng)鏈攻擊、系統(tǒng)/軟件漏洞、“無文件”攻擊技術(shù)、RaaS。勒索病毒團(tuán)伙在利用這些傳播手段入侵目標(biāo)系統(tǒng)后，會(huì)利用工具將失陷網(wǎng)絡(luò)的機(jī)密數(shù)據(jù)上傳到服務(wù)器，然后實(shí)施勒索。

隨著全球數(shù)字化的不斷加速，越來越多企業(yè)將業(yè)務(wù)遷移到云端。由于企業(yè)用戶數(shù)據(jù)價(jià)值較高，但很多企業(yè)對(duì)于云上網(wǎng)絡(luò)安全態(tài)勢并沒有足夠的準(zhǔn)備。因此在未來一段時(shí)間，針對(duì)企業(yè)用戶進(jìn)行定向攻擊，將是勒索病毒的重要目標(biāo)之一，而且隨著技術(shù)的普及、勒索病毒產(chǎn)業(yè)鏈的成熟，病毒也將變得更加多樣化、高頻化。同時(shí)，《報(bào)告》還指出，目前Mac OS和Android等平臺(tái)也已陸續(xù)出現(xiàn)勒索病毒，隨著ows的防范措施完善，未來不法黑客也可能轉(zhuǎn)向攻擊其他平臺(tái)。