2021-2022年勒索攻击特征与趋势研究报告.pdf_报告吧baogao8.com-

资源描述

2021-2022年勒索攻击特征与趋势研究报告目录第一章勒索攻击成为全球新挑战一、科技竞争对国民经济安全带来挑战二、产业数字化转型带来安全挑战三、技术破坏式创新带来安全挑战四、勒索攻击带来的安全风险和挑战第二章勒索攻击演进路径与特征一、从勒索病毒向勒索攻击的转变二、勒索攻击形式与传播渠道的变化三、勒索攻击事件数量不断增加四、勒索攻击事件支付成本大幅攀升五、各国加速调整反勒索相关立法第三章勒索攻击主要特点一、勒索攻击行为隐蔽性强且危害显著二、勒索病毒变异较快且易传播三、勒索攻击路径和目标多元化发展四、受勒索攻击领域更加宽泛第四章勒索攻击七大发展趋势一、影响社会正常运转且难解密二、勒索攻击 SaaS 化三、加密货币普及助推赎金快速增长四、大型企业和基础设施成为攻击重点五、“多重勒索”模式引发数据泄露风险六、供应链成为勒索攻击重要切入点七、引发网络保险行业的恶性循环第五章防范勒索攻击建议与思考一、聚焦安全前沿技术，提高防护能力二、构建安全前置能力，提升“免疫力”三、增强人员安全意识，降低攻击风险参考文献060710112930383950515354121416212242444445474849序言勒索软件又称为“赎金木马”，勒索软件攻击是指网络攻击者通过锁定设备或加密文件等方式阻止用户对系统或数据的正常访问，并要挟受害者支付赎金的行为。如同我们把钱放在保险箱，小偷没有撬开保险箱偷钱，反而把放保险箱的房间加了把锁。如果没有房间的钥匙，我们依然拿不到保险箱里的钱。如今，新型勒索攻击事件层出不穷。勒索攻击事件在全球各地频频发生，可归因于三个方面：一是企业内部基础设施建设落后，联网后缺少有效的安全防护措施。美国国家漏洞库 N V D 资料显示，仅在 2 0 2 0 年上半年就发现了多达 3 6 5 个工业控制系统相关的漏洞，比 2 0 1 9 年上半年增长 1 0 . 3 ，其中，超过 7 5的漏洞被认定为严重等级，这些漏洞涉及 5 3 个厂商。而我国的情况也不容乐观， 2 0 2 0 年上半年我国互联网网络安全监测数据分析报告数据显示，我国工业控制系统的联网信息持续遭受境外不法分子的窥探，日均扫描超 2 万次，能源、制造、通信等行业的基础设施及控制系统成为主要目标。二是对于网络攻击者来说，高额的赎金成为他们实施犯罪的极大动力。美国网络安全公司 P alo Alt o Ne tw orks 公布的数据显示，发生于 2020 年的勒索攻击事件赎金平均为 3 1 2 , 4 9 3 美元，较上年增加 1 7 1 % 。区块链分析公司 Chainalysis 的报告也提到，2020 年市面上各类活跃的勒索软件共计获利 3 . 7 亿美元，较上年增长 3 3 6 % ，其中仅DarkSide 一家就获得超过 9000 万美元的赎金。三是远程办公增加安全风险。新冠肺炎疫情期间，犯罪分子利用远程办公带来的安全漏洞，通过技术迭代、数据泄露、加密数据等方式不断进化攻击手法，开辟新的攻击面，利用人们在危机期间的恐慌心理，持续增加勒索次数。例如， 2 0 2 0 年 6 月，斯洛伐克安全公司发现了通过伪装成 “新冠病毒跟踪应用程序”加密 Andr oid 设备上文件的勒索软件。2021 年，勒索攻击事件此起彼伏。例如，以色列 Hillel Y aff e 医疗中心遭到勒索攻击。日本著名企业奥林巴斯遭遇 2 0 2 1 年度的第二次勒索攻击导致美洲地区的网络系统被迫下线。中国台湾知名电脑企业宏碁公司也遭遇了两次勒索。最令人不可思议的是，在已经遭遇过勒索攻击后，却没见宏碁和奥林巴斯的网络防御能力变得强大。其中，奥林巴斯两次遭劫前后仅仅间隔一月有余。随着 AI、5G、物联网等技术的快速普及和应用，以及加密货币的持续火爆，如今勒索攻击呈现出持续高发态势。勒索攻击已经成为未来一段时期网络安全的主要威胁之一，如何有效防范勒索攻击成为当前网络安全领域关注和讨论的焦点。各国都认识到，勒索软件是一种不断升级的全球安全威胁，会造成严重的经济和安全后果。勒索软件对关键基础设施、基本服务、公共安全、消费者保护和隐私构成重大风险，例如，勒索软件针对当地卫生服务提供者的恶意操作，危害了病人护理；针对限制其向公众提供燃料、生活用品或其他商品能力的企业的操作，影响了企业运营。与其他网络威胁一样，勒索软件的威胁是复杂的、全球性的，需要各国共同应对。06一方面，各国持续增厚科技实力 “安全垫” 。随着科学技术体系日益复杂，单一技术难以引领新一轮科技革命。为维护国家安全，提高竞争实力，发达国家加快重大科技战略制定成进程。例如，英国发布未来科技贸易战略，对数字经济、科技创新投资进行战略部署1。美国发布改善国家网络安全的行政命令，明确指出要增强软件供应链安全、成立网络安全审查委员会，同时要求美国政府部门制1 引自英国发布未来科技贸易战略美国发布加强国家网络安全的行政命令印度加快研究发布新网络安全战略数字技术应用的泛在化、融合化意味着更多终端暴露在网络攻击范围之内，网络攻击随时随地可能发生，攻击频次和深度逐步加大。基础设施逐渐成为被攻击的主要对象，导致国家经济社会安全受到挑战。总的来看，数字经济时代我们将面临以下三个方面的安全挑战。一、科技竞争对国民经济安全带来挑战后疫情时代，贸易、技术、人员流动面临更多限制，区域性、双边性投资和贸易安排更加频繁，全球产业链布局区域化特征凸显。与此同时，为科学划分国家经济安全边界、保障产业链安全，全球主要经济体纷纷加快基础性技术主导权战略布局、构建产业安全边界，抢占新一轮科技革命制高点。第一章勒索攻击成为全球新挑战07第一章勒索攻击成为全球新挑战定实施零信任架构的计划、加快云服务安全化的步伐等具体措施2。印度加快研究发布新网络安全战略，旨在确保安全、可靠、有弹性、充满活力和值得信赖的网络空间3。另一方面，细分领域技术优势影响产业链安全。部分核心技术和专利集中在少数国家或企业手中，对其他国家经济安全带来较大影响。以芯片产业为例，韩国总统文在寅在参与 “ K 半导体战略报告大会”时表示，半导体竞争已经超越公司层面，成为国家角力的战略领域4。二、产业数字化转型带来安全挑战产业互联网时代，安全范畴进一步扩大。攻击发起方已经从过去个人、单点黑客行为向组织化、系统化、专业化方向快速蔓延。一方面基础设施、物理资产、生命安全都将成为比特世界的潜在攻击对象，安全保障能力成为行业发展的 “生命线” 。另一方面，数字化贯穿企业研发、制造、物流、服务等全流程，安全需求覆盖全部环节，安全能力的强弱程度逐渐成为企业持续发展的“天花板”。2 引自引自引自 08勒索攻击特征与趋势研究白皮书（2021）（一）安全是产业互联网的基石数字经济时代，数字化加快推动传统产业转型升级。一方面，产业数字化促使数字经济加快进入高级阶段，生产效率的提高更加依赖数据深度挖掘和全流程打通。另一方面，传统产业安全防护能力参差不齐，海量设备接入网络当中，网络安全、数据安全在全流程应用场景中均涉及。因此，网络攻击、勒索攻击、 DDoS 攻击逐渐增多，攻击面逐渐扩大化。以智能网联汽车行业为例，智能化、网联化、共享化、电动化成为行业主要发展趋势，伴随而来的是大量安全漏洞和远程控制风险。攻击者利用车辆自带的安全系统漏洞对汽车软硬件部分实施攻击、窃取并发送信息甚至远程控制车辆。一旦发生安全事故，将对消费者人身安全产生重大风险。（二）基础设施成为攻击重点当前，网络攻击更加组织化、系统化、专业化，攻击范围向行业、基础设施领域拓展，金融、交通、医疗、城市管理等领域都成为新的攻击对象。一旦基础设施遭受攻击，将导致整个产业链的停摆或瘫痪，甚至影响社会稳定。以医疗卫生行业为例，医疗数字化一直09第一章勒索攻击成为全球新挑战是社会关注焦点，随着大量数字化设备和医疗设备的广泛应用，医疗效率、就医体验、服务精准度都有大幅提升，但也给安全防护和医疗数据安全保护带来新的挑战。据媒体报道， 2 0 2 0 年，法国有 1 1 % 的网络攻击目标是医院系统。 2 0 2 1 年 2 月，法国两家医院连接遭到大规模勒索攻击，造成医院信息系统瘫痪，部分外科手术被迫推迟，甚至需要手工绘制医院排班图表5。（三）恶意攻击实时化全面化恶意攻击不分时间和地点，随时对目标发起攻击，因此，安全投入资源不足、安全监测能力较低、安全防御碎片化的企业和机构，将面临较大风险。安全防护需要做到前置和未雨绸缪，不论是个人、企业、还是民用设施、基础设施都可能成为恶意攻击的跳板，链条中的薄弱环节将成为攻击的重要突破口。5 引自 any美国燃油运输管道商科洛尼尔遭到勒索攻击11%2 0 2 1 年 5 月，美国最大的燃油运输管道商科洛尼尔公司遭到勒索攻击，导致 5 5 0 0 英里输油管系统被迫停运，该管线供应了美国东海岸4 5 % 的燃料。网络攻击者在短时间内获取企业约 100G 数据，并锁定相关服务器等设备要求支付赎金。能源运输管道作为国家重要基础设施，成为越来越多犯罪分子攻击对象。安全风险逐步从小范围局部向基础设施大范围进行扩散。10勒索攻击特征与趋势研究白皮书（2021）（一）海量终端与网络虚拟化带来更多攻击面一方面，海量多样化终端接入网络。智能终端设备的接入规模、技术架构的异质化带来了安全管理难度和复杂度的提升。另一方面，新型网络架构导致安全边界模糊。 S D N 、 N FV 、云计算和边缘计算等技术和技术框架的应用带来了新的攻击面，在这些新技术研发中广泛使用开源代码，带来了新的安全设计缺陷和安全漏洞。同时，基于网络切片端到端逻辑虚拟网络技术的垂直领域应用，在资源共享、跨领域安全、身份认证和权限控制等方面出现新的安全风险。例如5 G 的开放性网络容易遭受攻击、虚拟化模糊了物理边界、海量数据连接带来安全风险。（二）破坏式技术创新带来负面影响技术在给经济社会带来大量便利和效率提升的同时，破坏式创新也带来不利影响。一方面，犯罪分子使用新技术工具逐渐增多，对个人、企业和政府部门带来损害。根据世界经济论坛发布的 2021年全球技术治理报告：在疫情时代利用第四次工业革命技术，比特币支付占 2 0 1 9 年第一季度全球勒索事件赎金交付方式的 9 0以上，尤其是区块链技术的匿名性使得监管部门难以溯源打击违法犯罪分子。另一方面，新技术应用安全风险难以界定。例如，随着自动驾驶技术的进一步普及，相关技术落地后产生的安全风险难以界定。自动驾驶汽车发生交通事故，如何判断责任方是一个较为复杂的过程，其中涉及汽车制造商、软件研发人员、网络服务商、汽车所有者、使用者以及乘客等多方。三、技术破坏式创新带来安全挑战一方面，技术创新在造福民众和提升经济社会效率方面发挥牵引作用；另一方面，新技术也是一把双刃剑，容易引发新的安全风险，给现有安全保障措施带来巨大挑战。数字经济时代，安全的价值和重要性愈发突出，安全的内涵也在不断丰富。11第一章勒索攻击成为全球新挑战（三）隐私保护与数据共享面临挑战当前，数据已经成为企业的重要核心资产。能否对数据进行有效运用和深度挖掘，成为衡量一家企业能否创造价值的重要依据之一。需要意识到，数据安全在企业价值体现面前具有 “一票否决” 权。技术溢出带来的风险、算法难解释性与黑箱性、数据质量导致计算结果可控性差、用户权益与隐私屡遭侵犯等是当前数据安全面临的巨大挑战。同时，隐私保护和信息共享缺乏统一技术标准和治理框架。四、勒索攻击带来的安全风险和挑战如果勒索攻击没有得到有效解决，将会带来大量潜在风险。一是监管风险，以欧盟通用数据保护条例（ G D P R ）为例，备份和灾难恢复是 G D P R 的必选项，如果被攻击的机构没有按照法规定期对数据进行备份，将会面临罚款等惩罚措施。二是服务风险，数据或文件被加密或泄露，机构将被迫停止其经营活动，如果受害机构没有可以恢复正常运营的备份数据，可能会导致客户的投诉和不满，最终失去客户。三是经济风险，数据恢复流程长、复杂度高，费用昂贵。恢复已遭破坏的数据时需要重新收集数据，这使得机构信誉受到质疑，对机构品牌带来较大损害。重大威胁勒索软件应用到的关键技术66 赵子鹏、张奇 . 解读重大勒索攻击事件下的网络安全态势及应对 J. 中国信息安全，2021(6):64-67.12勒索攻击特征与趋势研究白皮书（2021）第二章勒索攻击演进路径与特征从 2 0 世纪 8 0 年代首个勒索病毒 A I D S 出现到 2 0 2 1 年的 3 0 余年间，勒索攻击经历了萌芽期、活跃期和高发期三个阶段。已经形成了分工明确的产业链条，受害用户和造成的损失与日俱增。世界范围内，勒索攻击主要针对能源、电信、医疗、教育等国民经济重要行业，已经成为网络安全的主要威胁。一、从勒索病毒向勒索攻击的转变1 9 8 9 年，哈佛大学学生约瑟夫 L 波普制作了全球首个勒索病毒 A I D S 木马。这位哈佛高材生将勒索病毒隐藏在软盘中并分发给国际卫生组织艾滋病大会的参会者。此款勒索病毒会记录用户设备重启次数，一旦超过 9 0 次就会对设备中存储的文件进行加密，并要求邮寄 1 8 9 美元才能解密重新访问系统。虽然“名牌大学生恶作剧 + 邮寄支付赎金”的标签在今天看来既没有多大危害，也不够专业，但是，该勒索病毒所建立的对经济社会的攻击模式，在此后的 30 多年中逐渐演变为让人闻之色变的网络攻击浪潮。根据咨询机构埃森哲调查显示，2 0 2 1 年上半年，全球网络威胁活动较去年增长 1 2 5 % 。其中，消费品与服务、工业制造业、银行业和旅游与酒店业成为主要被攻击对象，占比分别为 21%、16%、10%、9 % 。聚焦在勒索攻击领域，勒索攻击最常针对的行业是保险、消费品和服务、电信，占比分别为 2 3 % 、1 7 % 、 1 6 % ，三者总计占比达到5 6 % 。受害企业按照年收入分布来看， 1 0 - 9 9 亿美元的公司占比超过45%，年收入在 100-200 亿美元的企业占比 20%。0245%20%10-99100-20001 02 03 04 05 023 %16 %10 %9 %17 %21 %16 %13第二章勒索攻击演进路径与特征2009198920102014勒索攻击发展历程并不长，在 30 多年的发展过程中，主要经历三个阶段：1. 萌芽期。 1989 至 2009 年是勒索攻击的萌芽期。在这 2 0 年中，勒索攻击处于起步阶段，勒索攻击软件数量增长较为缓慢，且攻击力度小、危害程度低。 2006 年甚至更早，出现了使用 R S A 非对称加密算法的勒索病毒G P c o d e ，其密码长度更长，在此基础上还衍生出诸如 G p c o d e . A K 的变种，使得勒索病毒的破解难度急剧增加。同年，中国大陆首次遭到名为 “ R e d p l u s ”的勒索病毒的入侵，勒索金额从 70 到 200 元不等。2. 活跃期。2 0 1 0 年以后，勒索攻击进入活跃期，几乎每年都有勒索软件的变种出现，其攻击范围不断扩大、攻击手段持续翻新，此阶段的勒索攻击事件大多分散发生，勒索软件本身并不具有主动扩散的能力。 2 0 1 3 年9 月，Cr yp t olock er 勒索病毒的出现标志着以比特币为赎金支付方式时代的来临，此后很长一段时间内没有有效的解密被感染文件的手段，黑客团伙据此赚取近 41000 枚比特币（市值为 1 0 亿美元）。自此之后，越来越多的攻击者要求以比特币形式支付赎金。 2 0 1 4 年，出现了第一个真正意义上针对 Andr oid 平台的勒索攻击软件，标志着攻击者的注意力开始向移动互联网和智能终端转移。3. 高发期。勒索攻击在 2 0 1 5 年后进入高发期，此阶段勒索攻击已呈现产业化、家族化的特点，勒索软件作者、勒索者、传播14勒索攻击特征与趋势研究白皮书（2021）2015渠道商和解密代理四个角色分工明确，共同发起一次完整的勒索攻击事件。 2 0 1 7 年，W a n n a C ry 勒索攻击在全球范围内大规模爆发，至少 1 5 0 个国家、 3 0 万名用户受害，共计造成超过 8 0 亿美元的损失，至此勒索攻击正式走入大众视野并引发全球关注。二、勒索攻击形式与传播渠道的变化在勒索攻击形式方面，目前主要有文件加密、数据窃取、系统加密和屏幕锁定等四种主要的形式。一是文件加密，这是最典型的攻击形式，攻击者通过对用户文件进行加密来索要赎金，文件一旦被感染极难恢复。二是数据窃密，数据窃密与文件加密相类似，即使用多种加密算法来给用户数据加密，攻击者以威胁公开重要数据来胁迫受害者支付赎金。三是系统加密，主要是通过加密算法对系统磁盘主引导记录、卷引导记录进行加密来阻止用户访问磁盘，影响用户正常使用设备。四是屏幕锁定，相对其他三种攻击形式，屏幕锁定危害较轻，主要迫使用户无法登录和使用设备，数据具备可恢复的可能。勒索攻击形式15第二章勒索攻击演进路径与特征勒索攻击传播勒索攻击实施阶段在勒索攻击传播方面，钓鱼邮件、安全漏洞、网站挂马、移动介质是较为常见的方式，同时，软件供应链、远程桌面也成为新的传播渠道。具体来看，一是安全漏洞，攻击者通过弱口令、远程代码执行等安全漏洞来入侵受害者内部网络，从而发起攻击。二是钓鱼邮件，攻击者把勒索软件内嵌在邮件文档、图片等附件中，或者将勒索恶意链接写入钓鱼邮件正文，诱发用户点击。三是移动介质，攻击者通过U 盘、移动硬盘等移动存储介质，并创建移动介质盘符或图标等快捷方式，诱导用户进行点击。四是软件供应链，攻击者利用用户对软件供应商的信任关系，通过软件供应链的分发和更新等机制来发起勒索攻击。五是远程桌面，攻击者利用弱口令暴力破解等方式获取攻击目标服务器远程登录信息，进而通过远程桌面登录服务器植入勒索病毒。在勒索攻击实施阶段方面，探测侦查、攻击入侵、病毒植入和实施勒索 4 个方面是主要的攻击阶段。一是探测侦查，攻击者首先需要收集攻击目标，一般通过主动扫描、网络钓鱼以及暗网购买等方式，来收集攻击目标信息，从而发现被攻击者存在的安全隐患。二是攻击入侵，攻击者根据发现的漏洞作为网络攻击突破口，并部署相应的攻击资源。同时，采用合适的攻击工具来获取访问权限。三是病毒植入，攻击者通过恶意账本、动态链接库 D L L 等部署勒索病毒，以此来规避软件监测，并利用文件共享协议等方式来横向移动，扩大感染范围。四是实施勒索，攻击者通过加载勒索信息来索要数据，勒索信息包括联系方式、支付赎金等内容。16勒索攻击特征与趋势研究白皮书（2021）三、勒索攻击事件数量不断增加如今，勒索软件已经成为一个全球性问题，而且勒索攻击事件的数量也不断攀升，自2 0 1 8 年以来，勒索软件攻击数量猛增了 3 5 0 % 。根据澳大利亚信息专员办公室（ O A I C ）的一份报告，与 2 0 2 0 年下半年相比， 2 0 2 1 年上半年，由勒索软件攻击引起的数据泄露事件增长了24%。勒索攻击不仅带来了代价高昂的服务中断，还直接威胁政治安全、经济安全、科技安全等各个方面。近年来全球典型勒索攻击汇总表名称出现时间特点典型受害企业W annaCr y 2017.5 蠕虫扩散传播和勒索软件加密文件双重功能，比特币支付全球150多个国家和地区的 20万台电脑设备受感染。美国波音飞机生产工厂、全球知名半导体厂商台积电No tP e ty a 2017.6 加密和锁死整个硬盘，从内存提取密码全球领先的助听器制造商 Demant、航运巨头马士基、快递服务商联邦快递、俄罗斯最大石油企业 R osneftBitP aymer 2017 针对大型公司，攻击行业的供应链解决方案提供商全球知名自动化工具生产商之一皮尔兹（Pilz）、苏格兰医院、美国阿拉斯加自治市政府、美国饮料供应商 - 亚利桑那饮料公司Ryuk 2018.8 对大型企业定向攻击全球知名自动化工具生产商之一皮尔兹（Pilz）、苏格兰医院、美国阿拉斯加自治市政府、美国饮料供应商 - 亚利桑那饮料公司Ryuk 2018.8 对大型企业定向攻击美国通用健康服务公司、法国 IT 巨头 Sopr aS t eriaMaz e 2019.4 针对专业部门，攻击北美和欧洲组织美国跨国 IT 服务商 Cogniz ant、美国军事承包商Wes t echInt erna tionl、佳能Sodinokibi 2019.5 通过混合方式发动攻击，对国内系统做定制化操作阿根廷电信公司、美国烈酒和葡萄酒行业 Br o wn-F orman 公司Ne tW alk er 2019.8 针对政企、医疗组织和远程办公员工，利用系统内工具攻击阿根廷移民局Ek ans 2019.12 依靠钓鱼邮件传播澳大利亚航运及物流公司W as t edL ock er 2020.4 针对高价值企业健身追踪器、智能手表和GP S产品制造商 Garmin17第二章勒索攻击演进路径与特征2 0 2 1 年以来，勒索攻击事件频发。以美国为例， 2 0 2 1 年 5 月以来，美国频繁遭遇勒索病毒攻击，有媒体甚至用 “嚣张”两个字形容这一现象。而且，勒索的攻击对象范围不断扩大，医院、交通、食品、管道运输等行业和领域，都成为其攻击的对象。2021.012021.0260,000 85,0002021 年 1 月，首款 2021 年面世的勒索软件 Babuk L ock er在新年伊始攻击了 5 家企业。其开出的赎金价格（要求以比特币支付）在 60,000 美元到 85,000 美元之间。2021 年 2 月，据 BleepingComput er 报道，起亚汽车美国公司（KMA）疑似遭受了 DoppelP aymer 团伙的勒索软件攻击，攻击者要求提供 2 0 0 0 万美元赎金解密数据，以及防止被盗数据泄露。此前， BleepingComput er 报道起亚汽车美国正在遭受全国性 IT 系统中断，受影响系统包括移动 U V OLink 应用程序、电话服务、支付系统、用户门户以及经销商使用的内部站点。名称出现时间特点典型受害企业A v addon 2020.6 以垃圾邮件传播保险巨头安盛集团R e vil - 加密所有文件，通过比特币支付赎金智利国家银行、中国台湾PC巨头宏基 (Ac er）、全球最大肉制品供应商 JB S、美国核武供应商 SolOwriens公司、日本富士、美国 IT 管理软件开发商Kase y aDarkside 2020.8 以 R aaS 模式运作，具有Windo ws和Linux双平台攻击能力，只针对大型盈利性公司美国最大的燃料管道运营商 ColonialR ansomEXX 2020.6 通过购买凭证、暴力破解 RDP 服务器、利用安全漏洞等方式入侵，出现Linux 版本巴西政府网络、得克萨斯州交通部（T xDO T）、柯尼卡美能达、 IPGPho t onics、 T ylerT echnologies、厄瓜多尔最大网络运营商 CNT数据来源：根据公开信息整理182021 年 3 月， RE vil 勒索软件团伙在其数据泄露站点上宣布，他们已经成功入侵宏碁电脑公司的系统，并同时公布了几张作为证据的被盗文件截图，包括关于财务电子表格、银行结余以及银行往来信息的文档等。 3 月，澳大利亚最大的电视网络之一九号电视台，在官方网站上披露遭受网络攻击，导致生产系统被迫下线。2021.042021.052021 年 4 月，荷兰 Bakk er L ogis tiek 公司遭遇勒索软件攻击，业务网络上的设备被对方加密，食品运输与配送体系也随之瘫痪，多地超市发生食品断货。 4 月， B a b u k L o c k e r 勒索团伙宣称，他们已经从美国哥伦比亚特区警局的服务器上总计下载到超过 2 5 0 G B 数据。该团伙随后主动联系警局，要求对方三天之内回应勒索要求。如果不支付赎金，他们将对外公布该警局的秘密档案。4 月， R E v i l 勒索软件团伙向苹果公司提出赎金要求，否则就将机密信息发上暗网。 RE vil 团伙称，他们已经成功入侵中国台湾广达电脑公司。遵循勒索活动的一贯套路， RE vil 团伙在某暗网门户网站上发表帖子，表示广达电脑拒绝赎回这批失窃数据，因此 RE vil决定转而将矛头指向信息内容涉及的各家主要客户。 RE vil 团伙共发布了 2 1 张 M a c B o o k 产品设计图，并威胁除非苹果或广达电脑支付赎金，否则他们将每天披露更多新数据。此外，该勒索软件团伙还暗示，他们有意将这批数据出售给多家公司。 4 月，英国城市铁路运营商默西铁路（Mer se yr ail）证实，遭受勒索软件攻击。攻击方甚至使用该公司内部电子邮件系统，向员工及记者发送了关于勒索活动的说明邮件。2 0 2 1 年 5 月，美国最大燃油管道商 C o l o n i a l 遭受勒索攻击后被迫关闭。 5 月，美国水务公司 W S S C W a t e r 称，其系统遭到了勒索软件攻击。 5 月，专为欧洲能源及基础设施企业提供技术方案的挪威公司 V o l u e 遭遇勒索软件攻击。勒索软件关闭了挪威国内 2 0 0 座城市的供水与水处理设施的应用程序，影响范围覆盖全国约 85% 的居民。2021.03192 0 2 1 年 6 月，据美国华盛顿 “福克斯 - 5 ”电视台报道，华盛顿大都会警察局（MPD）的服务器被名为 Babuk 的黑客团伙入侵。 B a b u k 向警方索要 4 0 0 万美元的赎金，否则将公布 2 5 0 G B的 M P D 机密文件。 6 月，全球最大肉类生产商巴西 J B S 集团美国分公司的 C E O 表示，该公司向网络犯罪分子支付了价值 1 1 0 0万美元的比特币赎金，以解决所遭受的网络攻击，这次攻击迫使该公司暂时关闭了加工美国约五分之一肉类产品的工厂。 6 月，中国台湾内存和存储制造商威刚表示，在 5 月下旬网络被攻击后，勒索软件的再次攻击迫使其系统脱机。 6 月，美国最大传媒集团之一考克斯媒体集团（ C o x M e d i a ）旗下广播和电视台遭遇勒索软件攻击，导致直播流被迫中断。这次事件影响到考克斯媒体资产中的内部网络与实时流媒体功能，令网络流媒体与移动应用业务无法正常运转。 6 月，勒索软件攻击令美国马萨诸塞州的最大轮渡服务商 S t e a m s h i p A u t h o r i t y 遭遇班次延误与中断，扰乱了马撒葡萄园岛与楠塔基特群岛同美国大陆之间的轮渡交通。 6 月，日本富士公司宣布正在调查勒索软件攻击，并关闭了部分网络以防止攻击蔓延。2021.072021.062021.082 0 2 1 年 7 月，为 4 万多家组织提供服务的美国 I T 管理软件厂商 K a s e y a 披露，它们已经沦为 “复杂网络攻击 ”的受害者。这导致包括瑞典最大杂货零售品牌在内的全球数百家企业，启动紧急应急响应，以应对潜在的违规漏洞。 7 月，英国地方公共铁路运营商北方铁路（Northern T r ains）遭遇服务宕机，自助售票亭无法正常运行，官方称遭到了勒索软件的突然袭击。 7 月，厄瓜多尔最大的网络运营商国家电信（ C N T ）遭遇勒索软件攻击，业务运营、支付门户及客户支持全部陷入瘫痪。2 0 2 1 年 8 月，勒索软件团伙 L o c k B i t 发布公告称，已攻破咨询巨头埃森哲内网，窃取了一批内部数据；埃森哲随后承认，确实遭到勒索软件攻击，但公司运营未受到影响，相关系统已通20过备份副本恢复。 8 月，日本跨国保险公司东京海上控股（ T o k i o M a r i n e H o l d i n g s ）披露称，新加坡分公司新加坡东京海上保险（ T M i S ）遭受勒索软件攻击。 8 月，巴西政府发布声明称，巴西国库（Na tional T r e asur y）遭遇勒索软件攻击。巴西经济部表示，他们立即采取了相关措施，以遏制网络攻击引发的影响。 8 月，美国医疗连锁机构 MemorialHe althSys t em 遭遇勒索软件攻击，致使 I T 系统瘫痪，旗下三家医院无法正常运营。 8 月，中国台湾电脑巨头技嘉遭勒索软件攻击，上百 GB 数据失窃。从上述勒索攻击事件可以看出，勒索攻击事件发生的频率不断攀高，其所涉及的行业和领域也不断扩展，例如金融领域已经成为勒索攻击的重灾区之一。根据美国财政部当地时间 2 0 2 1 年1 0 月 1 5 日发布的一份报告，截至 2 0 2 1 年 6 月，金融机构已经向金融犯罪执法网络报告了 6 3 5 起与勒索软件相关的可疑活动，比 2020 年报告的所有活动增加了 30%。2021.092021.102 0 2 1 年 9 月，南非司法与宪法发展部所有系统被勒索软件攻击者加密，所有系统被锁死，内部员工及公众均无法使用，运营陷入 “手动 ” 。 9 月，欧洲呼叫中心巨头 C o v i s i a n 的西班牙与南美洲分部 G S S 遭勒索，多个关基组织客服中断。 9 月，美国第二家农业合作社 C ry s t a l V a l l e y 系统遭遇到勒索软件攻击，位于爱荷华州的农场服务供应商 N E W C o o p e r a t i v e 也遇到勒索软件攻击。 9 月，日本科技巨头奥林巴斯遭到勒索攻击导致部分网络关闭。2 0 2 1年1 0月，苏格兰跨国工程企业伟尔集团（ W e i r G r o u p ）披露了一项 “勒索软件攻击企图 ” ，称该事件导致了今年 9 月的“重大临时中断”。21四、勒索攻击事件支付成本大幅攀升勒索软件攻击不仅变得越来越频繁，而且成本也越来越高。遭遇勒索攻击的当事方出于各种原因，不得不选择交付赎金以重新恢复正常的秩序。勒索攻击交易数额导致受攻击对象支付成本增加。根据美国财政部当地时间 2 0 2 1 年10 月 15 日发布的一份报告， 2021 年报告的总价值为 5.9 亿美元，平均每月 6640 万美元，而 2 0 2 0 年全年的总价值为 4 . 1 6 亿美元。网络保险公司的数据表明，勒索软件攻击不仅变得越来越频繁，而且成本也越来越高，遭勒索且索赔的案件也呈上升趋势。勒索攻击事件增加促使各国加大应对勒索攻击财政投入。勒索攻击事件导致的支付成本增加，促使各国政府不得不考虑通过增加财政投入改善网络安全状况，甚至考虑帮助受到勒索攻击方恢复正常秩序。据报道，今年 5 月， R E v i l 公司因攻击全球肉类供应商 J B S 公司获得了 1 1 0 0 万美元赎金收入。随后，该组织在 7 月攻击了软件公司卡西亚（ K a s e y a ），导致这家公司数百名客户无法工作，有些甚至长达数月。另一个组织 “黑暗面”（ D a r k S i d e ）的黑客敲诈了美国燃料供应商科洛尼尔（Colonial Pipeline）数百万美元，引发了对可能出现的天然气短缺的恐慌。为应对风险，澳大利亚政府已通过澳大利亚2020 年网络安全战略批准了为期十年的 16.7亿澳元（ 1 2 . 3 亿美元）的投资，其中勒索软件计划是该项投资的一部分。在这部分投资中，有大约一半的份额用于雇佣另外 1 0 0 名 A F P 特工。新的工作组将承担识别、调查和锁定网络犯罪分子的角色。在澳大利亚政府寻求通过的 2 0 2 1 年监视立法修正案中，在支持受害者内容方面，还包括 6 1 0 万澳元（ 4 5 0 万美元），用于帮助企业从灾难性的网络攻击中恢复，并培训中小企业如何改善其网络安全状况。22五、各国加速调整反勒索相关立法勒索软件造成的数据安全事件频发，成为各国共同面临的挑战，对勒索软件进行立法规制的需要已经刻不容缓。（一）美国2016 年 9 月，美国加州通过参议院第 1137 号法案（Sena t e Bill No . 1137- Chap t er 725），修订了刑法典第 523 节，在法律层面明确了实施勒索软件行为的刑事责任，规定以获取钱财或其他利益为目的，直接放置或感染勒索软件，或者指使、引诱他人这样做，从而将勒索软件感染到计算机、计算机系统或计算机网络中，在获取利益后为受感染者提供移除或其他方式的恢复服务的，将视情节处以 2 至 4 年的监禁。2017 年 9 月，美国国家标准技术研究院（Na tionalIns titut e of S t andar ds and T echnolog y，NIS T）发布了帮助遭受勒索软件攻击的企业制定数据恢复计划的专门指南，提供了包括高级架构、实现案例、安全特性分析等正确处理勒索软件攻击的方法建议。2020 年 9 月， NIS T 发布了新的数据完整性恢复指南（SP）1800-117，帮助组织制定从影响数据完整性的攻击中恢复的策略，恢复并维持运营及管理企业风险。在遭遇 “太阳风” （ S o l a r W i n d s ）大型供应链安全事件后，美国又紧急出台了一系列有关供应链安全的政策法规。 2 0 2 1 年3 月，美国商务部确保信息和通信技术及服务供应链安全（Securing the Inf orma tion and Communic a tions T echnolog y and Ser vic es Supply Chain）8生效，要求对半导体芯片等四类供应链产品开展审查，并在一年内完成对美国国防、通信科技、能源等六大部门的生产供应链进行风险评估，提出改善措施。2016.092017.092020.092021.03美国加州通过参议院第 1 1 3 7 号法案（Sena t e Bill No . 1137-Chap t er 725）修订了刑法典第523 节美国国家标准技术研究院发布帮助遭受勒索软件攻击的企业制定数据恢复计划的专门指南NIST 发布了新的数据完整性恢复指南（SP）1800-11美国商务部确保信息和通信技术及服务供应链安全7 nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST .SP .1800-11.pdf8 govinfo.gov/content/pkg/FR-2021-01-19/pdf/2021-01234.pdf232021 年 4 月，美国网络安全和基础设施安全局（ C y b e

展开阅读全文