2021上半年勒索病毒趨勢報(bào)告及防護(hù)方案建議

2021上半年勒索病毒趨勢報(bào)告及防護(hù)方案建議前

言2017

年

5

月

12

日，WannaCry勒索病毒通過

MS17-010

漏洞在全球范圍爆發(fā)，形成一場影響全球的蠕蟲病毒風(fēng)暴。伴隨當(dāng)前

AI、物聯(lián)網(wǎng)、區(qū)塊鏈、工業(yè)物聯(lián)網(wǎng)等新技術(shù)的飛速發(fā)展，以及各類加密數(shù)字貨幣在全球市場持續(xù)火爆，勒索病毒也持續(xù)高發(fā)，很多全球知名企業(yè)都曾因勒索病毒導(dǎo)致經(jīng)濟(jì)和聲譽(yù)損失。勒索病毒也因此已成為近年來網(wǎng)絡(luò)安全主要的威脅之一。勒索病毒從零星惡作劇發(fā)展到頻繁發(fā)生的主要原因包括三點(diǎn)：第一，勒索病毒加密手段復(fù)雜，解密成本高；第二，使用電子貨幣支付贖金，變現(xiàn)快追蹤難；第三，勒索軟件服務(wù)化的出現(xiàn)，開發(fā)者提供整套勒索軟件解決方案，從勒索軟件的開發(fā)、傳播到贖金收取都提供完整的服務(wù)。攻擊者不需要任何知識，只要支付少量的租金就可以開展勒索軟件的非法勾當(dāng)，大大降低了勒索軟件的門檻，推動了勒索軟件大規(guī)模爆發(fā)。為了幫助更多企業(yè)和機(jī)構(gòu)了解和盡可能規(guī)避勒索病毒的危害，騰訊安全聯(lián)合南方都市報(bào)以安全事件告警工單數(shù)據(jù)為基礎(chǔ)，基于勒索病毒的起源與演變，從數(shù)據(jù)概覽、入侵特點(diǎn)、攻擊手段、活躍家族排行榜等維度，剖析過去半年勒索病毒的攻擊形勢，通過分析勒索病毒的攻擊路徑及案例盤點(diǎn)，為廣大個(gè)人用戶防范信息泄露風(fēng)險(xiǎn)提供實(shí)用建議。一、勒索病毒攻擊最新趨勢盤點(diǎn)1.1

2020/2021

勒索病毒

1-4

月攻擊態(tài)勢對比2021

年，勒索病毒攻擊態(tài)勢在春節(jié)期間降至最低，觀察其攻擊態(tài)勢，2021年相比去年同時(shí)期稍有下降。但勒索事件仍然頻發(fā)，勒索金額屢創(chuàng)新高，勒索攻擊愈發(fā)具備針對性。1.2

2021

年

Q1

最流行的勒索病毒家族：GlobeImposter、Phobos、Crysis、Sodinokibi、Buran、Medusalocker、Avaddon、Lockbit、Ryuk、NEMTY。1.3

1-4

月勒索病毒受災(zāi)地域分布：國內(nèi)遭受勒索病毒攻擊中，廣東，浙江，山東，湖北，河南，上海，天津較為嚴(yán)重，其它省份也有遭受到不同程度攻擊。1.4

1-4

月勒索病毒攻擊行業(yè)分布：從勒索病毒感染行業(yè)來看，數(shù)據(jù)價(jià)值較高的傳統(tǒng)行業(yè)、醫(yī)療、政府機(jī)構(gòu)遭受攻擊較為嚴(yán)重，占比依次為

37%、18%、14%，總計(jì)占比高達(dá)

69%。二、

十大典型勒索病毒案例分析2.1

全球超

150

個(gè)國家和地區(qū)遭

WannaCry攻擊，損失高達(dá)數(shù)十億美元2017

年

5

月

12

日晚，一場被命名為“WannaCry”的勒索病毒攻擊首先在英國爆發(fā)，并以“蠕蟲式”的傳播速度迅速蔓延至全球

150

多個(gè)國家和地區(qū)（幸免國家要么沒有電腦，要么沒有網(wǎng)絡(luò)）?！澳愕碾娔X已經(jīng)被鎖，文件已經(jīng)全部被加密，除非你支付價(jià)值

300

美元的比特幣，否則你的文件將會被永久刪除”的鎖定桌面，瞬間感染波及全球近

20

萬電腦設(shè)備。全球多地發(fā)出告警，短短兩日內(nèi)，包括政府、醫(yī)療、學(xué)校甚至是公益機(jī)構(gòu)在內(nèi)的多個(gè)板塊的大量電腦文件被加密，并均受到要求支付比特幣以解密文件的威脅。業(yè)內(nèi)專家評稱，修正了“永恒之藍(lán)(EternalBlue)”的漏洞，同時(shí)發(fā)現(xiàn)了允許停止執(zhí)行惡意軟件的“殺死開關(guān)”，是幫助減緩這一惡意活動的兩個(gè)主要貢獻(xiàn)。然而，高達(dá)數(shù)十億美元的損失總額，實(shí)為在全球范圍內(nèi)引發(fā)了史無前例的震動。2.2

美國波音工廠遭

WannaCry攻擊，導(dǎo)致自動化組裝生產(chǎn)線被迫停工2018

年

3

月，據(jù)外媒報(bào)道，美國波音飛機(jī)位于南卡羅來納州查爾斯頓的生產(chǎn)工廠遭到

WannaCry勒索病毒攻擊，導(dǎo)致

777

翼梁自動化組裝生產(chǎn)線被迫停工，是

2018

年首例被媒體披露的

WannaCry勒索病毒攻擊事件。攻擊者向波音索要價(jià)值

300

美元的比特幣作為贖金以恢復(fù)數(shù)據(jù)和業(yè)務(wù)。鑒于對攻擊迅速轉(zhuǎn)移態(tài)勢的分析與擔(dān)憂，

波音公司總工程師

MikeVanderWel第一時(shí)間在全公司范圍內(nèi)發(fā)布了相關(guān)備忘錄，要求全體員工做好應(yīng)對措施，避免病毒以攻擊功能飛機(jī)測試設(shè)備為跳板，實(shí)現(xiàn)對飛機(jī)系統(tǒng)軟件直接擴(kuò)散、蔓延情況的發(fā)生。波音在對外聲明中稱，網(wǎng)絡(luò)安全中心發(fā)現(xiàn)僅有少數(shù)設(shè)備系統(tǒng)遭到了入侵并已展開補(bǔ)救，且不影響生產(chǎn)交付。2.3

臺積電芯片制造基地遭遇勒索病毒攻擊，損失超

17

億元2018

年

8

月，全球知名半導(dǎo)體廠商臺積電營運(yùn)總部和新竹科學(xué)園區(qū)的

12英寸晶圓廠電腦被曝遭到勒索病毒攻擊，造成竹科

FAB12

廠、南科

FAB14

廠、中科

FAB15

廠等三處主要高端生產(chǎn)基地的生產(chǎn)線短短幾小時(shí)內(nèi)全數(shù)停擺，直接導(dǎo)致臺積電股價(jià)下跌，直接經(jīng)濟(jì)損失高達(dá)

17

億元人民幣。從

2017

年到

2018

年，以

WannaCry為首的勒索病毒攻擊已經(jīng)跳脫了對僅限于核心業(yè)務(wù)文件的加密，轉(zhuǎn)而向企業(yè)服務(wù)器和業(yè)務(wù)系統(tǒng)的攻擊拓展。通過感染企業(yè)關(guān)鍵系統(tǒng)，破壞企業(yè)日常運(yùn)營，從而帶來動輒停產(chǎn)的直接后果。2.4

全球最大助聽器制造商

Demant遭勒索病毒攻擊，損失高達(dá)9500

萬美元2019

年

9

月，據(jù)外媒報(bào)道，全球領(lǐng)先的助聽器制造商的迪曼特集團(tuán)（Demant）遭遇

NotPetya勒索軟件攻擊。盡管該公司已經(jīng)備份了數(shù)據(jù)，但攻擊的規(guī)模似乎對其恢復(fù)具有重大影響。該公司的

IT基礎(chǔ)架構(gòu)受到網(wǎng)絡(luò)攻擊的影響，其通過關(guān)閉多個(gè)站點(diǎn)和業(yè)務(wù)部門中的

IT系統(tǒng)來限制事件的進(jìn)一步發(fā)酵，但是整個(gè)價(jià)值鏈的關(guān)鍵業(yè)務(wù)流程仍然受到事件的影響，包括研發(fā)、生產(chǎn)和分銷。這些中斷的累積影響將對該公司

2019

全年造成高達(dá)

6

億人民幣的負(fù)面財(cái)務(wù)影響，該公司的之前購買的保險(xiǎn)為公司減少了一部分損失。Demant預(yù)計(jì)，本次直接損失將達(dá)

5000

萬人民幣。據(jù)了解，該勒索病毒團(tuán)伙曾導(dǎo)致航運(yùn)巨頭馬士基和快遞服務(wù)聯(lián)邦快遞等公司各自遭受超過

3

億美元的損失。2.5

法國最大商業(yè)電視臺

M6

Group慘遭勒索軟件洗劫，集體被迫“罷工”2019

年

10

月，法國最大商業(yè)電視臺

M6

Group慘遭勒索軟件洗劫，公司電話、電子郵件、辦公及管理工具全部中斷，集體被迫“罷工”。事件發(fā)生后，其他電視臺已禁止員工通過電子郵件與

M6

進(jìn)行通信，以免受到感染。而此次事件很有可能是黑客使用了網(wǎng)絡(luò)釣魚電子郵件或利用了未打補(bǔ)丁的軟件，從而使電視臺網(wǎng)絡(luò)被勒索軟件感染至擴(kuò)散。M6

集團(tuán)在公開領(lǐng)域并未透露攻擊者信息及是否交付巨額贖金。2.6

自動化設(shè)備生產(chǎn)巨頭皮爾茲遭勒索攻擊，網(wǎng)絡(luò)被迫中斷網(wǎng)絡(luò)超一周2019

年

10

月，全球最大的自動化工具生產(chǎn)商之一皮爾茲（Pilz）遭受BitPaymer勒索軟件攻擊，該公司在全球范圍內(nèi)的所有服務(wù)器和

PC工作站，包括通信設(shè)施，都受到了影響，公司被迫關(guān)閉其網(wǎng)絡(luò)。Pilz員工花了三天時(shí)間才恢復(fù)對其電子郵件服務(wù)的訪問權(quán)限，又花了三天時(shí)間恢復(fù)國際電子郵件服務(wù)，直到一周后才恢復(fù)對產(chǎn)品訂單和交貨系統(tǒng)的訪問。該企業(yè)對外聲稱，其生產(chǎn)能力沒有受到影響，但是無法檢查訂單，并且生產(chǎn)速度較慢。2.7

佳明遭勒索軟件重創(chuàng)：業(yè)務(wù)癱瘓產(chǎn)線停運(yùn)，被勒索千萬美元贖金2020

年

7

月，健身追蹤器、智能手表和

GPS產(chǎn)品制造商

Garmin遭受了WastedLocker勒索軟件的全面攻擊，主要產(chǎn)品服務(wù)和網(wǎng)站均癱瘓，攻擊者向Garmin索要高達(dá)

1000

萬美元贖金，威脅要刪除服務(wù)器上的所有數(shù)據(jù)。從目前已知的情況看，這次攻擊是一次黑客組織長期策劃、籌備的針對性攻擊。甚至存在一種更糟糕的可能性：黑客組織很可能在實(shí)施勒索病毒攻擊之前，已經(jīng)將佳明的用戶數(shù)據(jù)盜取，佳明想要恢復(fù)用戶的云端數(shù)據(jù)，只能接受黑客組織的威脅。否則將因用戶隱私數(shù)據(jù)泄露造成更大的損失。2.8

佳能遭

Maze勒索軟件攻擊，2.2GB美國公司數(shù)據(jù)被“撕票”泄露2020

年

8

月，著名數(shù)碼攝像機(jī)廠商佳能(Canon)被曝遭受

Maze團(tuán)伙勒索攻擊，影響電子郵件、微軟團(tuán)隊(duì)、美國網(wǎng)站及其他內(nèi)部應(yīng)用程序。其中，佳能image.canon云照片和視頻存儲服務(wù)的可疑中斷，導(dǎo)致其免費(fèi)

10GB存儲功能的用戶丟失數(shù)據(jù)。由

BleepingComputer消息稱，佳能經(jīng)歷了“影響多個(gè)應(yīng)用程序、團(tuán)隊(duì)、電子郵件和其他系統(tǒng)的廣泛傳播的系統(tǒng)問題，目前可能不可用”。隨后，Maze因未收到贖金，在暗網(wǎng)泄露了佳能大約

2.2GB（據(jù)

Maze團(tuán)伙稱僅為所有竊取數(shù)據(jù)的

5%。）的美國公司營銷數(shù)據(jù)和視頻文件，從而導(dǎo)致佳能部分內(nèi)部系統(tǒng)中斷。但佳能全球網(wǎng)站和電子商務(wù)網(wǎng)站等在內(nèi)的其他資產(chǎn)似乎不受影響，這意味著佳能的網(wǎng)絡(luò)安全措施有效防止了勒索軟件損失的擴(kuò)大化。同時(shí)，也在一定程度上，反映了傳統(tǒng)“支付贖金”的應(yīng)對策略正在失效。2.9

富士康工廠遭勒索攻擊：上千臺服務(wù)器被加密，索要

3400

萬美元贖金2020

年

11

月，全球最大電子制造公司之一——富士康位于墨西哥的華雷斯城

CTBGMX工廠設(shè)施被曝遭受“DoppelPaymer”勒索軟件攻擊，導(dǎo)致1200

臺服務(wù)器被加密。據(jù)悉，攻擊者在對設(shè)備進(jìn)行加密前已竊取了

100GB的未加密文件（包括常規(guī)業(yè)務(wù)文檔和報(bào)告，但不可苦熬任何財(cái)務(wù)及員工個(gè)人信息），并刪除了

20-30

TB的備份。隨后，攻擊者發(fā)布了一個(gè)指向

DoppelPaymer付款站點(diǎn)的鏈接，要求富士康支付

1804.0955

比特幣作為贖金（約

3486.6

萬美元，約

2

億元人民幣）），否則將把盜取數(shù)據(jù)在暗網(wǎng)出售。隨后，富士康對外聲稱，其網(wǎng)絡(luò)安全團(tuán)隊(duì)已經(jīng)完成了軟件和作業(yè)系統(tǒng)的安全更新，并且提升了安全防護(hù)等級，受到影響的廠區(qū)網(wǎng)絡(luò)已經(jīng)逐漸恢復(fù)正常。2.10

臺灣

PC巨頭宏基(Acer)遭勒索攻擊，贖金創(chuàng)

5000

萬美元新紀(jì)錄2020

年

3

月，臺灣

PC巨頭宏基(Acer）遭到勒索病毒組織

REvil的網(wǎng)絡(luò)攻擊，并被索要支付高達(dá)

5000

萬美元的贖金，刷新了勒索病毒有史以來的最高贖金紀(jì)錄。同時(shí)，攻擊者還在網(wǎng)站上公布了從宏碁竊取的部分財(cái)務(wù)電子表格、銀行結(jié)余和銀行往來郵件等數(shù)據(jù)，并提出只有支付贖金，才能提供解密工具、漏洞報(bào)告以及刪除盜取的文件；此外，還對宏碁發(fā)出了“不要重蹈

SolarWind覆轍”的含糊警告。據(jù)外媒

BleepingComputer分析，REvil可能是通過瞄準(zhǔn)宏碁域名上的一臺MicrosoftExchange服務(wù)器上的漏洞，才得以成功發(fā)動了此次攻擊，這也是針對大型目標(biāo)實(shí)施勒索軟件攻擊的首次做法。目前，因宏碁并未支付贖金，REvil已在暗網(wǎng)出售宏碁財(cái)務(wù)表格、銀行結(jié)余、銀行通訊文檔等機(jī)密資料。三、

勒索病毒攻擊分析3.1

勒索病毒產(chǎn)業(yè)鏈中的五大關(guān)鍵角色隨著勒索產(chǎn)業(yè)的迅速發(fā)展壯大，通過圍繞數(shù)據(jù)加密，數(shù)據(jù)泄露，乃至詐騙等核心元素展開的網(wǎng)絡(luò)勒索類型也是千姿百態(tài)。網(wǎng)絡(luò)勒索具有匿名性、隱蔽性、便捷性等特點(diǎn)，深受黑產(chǎn)青睞。其中典型的勒索病毒作案實(shí)施過程如下，一次完整的勒索可能涉及

5

個(gè)角色（一人可能充當(dāng)多個(gè)角色）。3.2

傳播技術(shù)手段總結(jié)市面較為高發(fā)的勒索病毒特征，可大致將勒索病毒的傳播手段分為

6

個(gè)方向：弱口令攻擊；U盤蠕蟲；軟件供應(yīng)鏈攻擊；系統(tǒng)/軟件漏洞；“無文件”攻擊技術(shù)；RaaS。3.3

勒索病毒的常規(guī)攻擊路徑第一步：入侵。慣用手法：RDP爆破、SQL弱口令爆破，網(wǎng)絡(luò)釣魚，惡意電子郵件（包括垃圾郵件廣撒網(wǎng)與精準(zhǔn)定向投放

）及惡意附件投遞（包括

Office漏洞、Flash漏洞、PDF閱讀器漏洞等），高危漏洞利用，無文件攻擊等。也有部分勒索黑客會利用僵尸網(wǎng)絡(luò)控制的肉雞渠道分發(fā)。第二步：擴(kuò)散。勒索黑客入侵某一臺主機(jī)之后，往往并不立即運(yùn)行勒索病毒，而是盡可能的利用各種攻擊手法在目標(biāo)網(wǎng)絡(luò)橫向擴(kuò)散以增加受控主機(jī)數(shù)量。勒索黑客在此階段會通過下載各種攻擊工具包，包括流行漏洞利用工具、密碼提取工具、遠(yuǎn)程控制木馬或后門、下載密碼字典繼續(xù)使用爆破入侵等等。第三步：盜竊。攻擊者會遍歷已攻陷主機(jī)數(shù)據(jù)，篩選最有價(jià)值的攻擊對象，竊取受控主機(jī)數(shù)據(jù)。勒索病毒團(tuán)伙在利用多種技術(shù)手段入侵目標(biāo)系統(tǒng)后，會留置后門、安裝多種遠(yuǎn)程控制軟件（如

TeamView破解版、RemoteUtilities商業(yè)遠(yuǎn)控軟件破解版、RemcosRAT、AgentTesla、SnakeKeylogger、AsyncRAT、Nanocore等商業(yè)木馬），勒索黑客會使用此類工具將失陷網(wǎng)絡(luò)的機(jī)密數(shù)據(jù)上傳到該團(tuán)伙控制的服務(wù)器上。第四步：勒索。下載一種或多種勒索病毒運(yùn)行，癱瘓目標(biāo)網(wǎng)絡(luò)，留下勒索信件，在暗網(wǎng)渠道發(fā)布失陷企業(yè)數(shù)據(jù)，實(shí)施勒索。3.4

勒索病毒主要攻擊特征：針對企業(yè)用戶定向攻擊；以

RDP爆破為主；更多使用漏洞攻擊；入侵企業(yè)內(nèi)網(wǎng)后橫向滲透。四、

勒索病毒未來發(fā)展趨勢4.1考慮到未來一段時(shí)間，PC電腦上價(jià)值最高的依然為用戶數(shù)據(jù)，故勒索病毒依然為用戶面臨的主要安全威脅之一；4.2

企業(yè)用戶數(shù)據(jù)價(jià)值較高，且內(nèi)網(wǎng)環(huán)境復(fù)雜，依然是勒索病毒的重點(diǎn)攻擊對象；4.3

隨著技術(shù)的普及、勒索病毒產(chǎn)業(yè)鏈的成熟，黑客加入勒索病毒的門檻越來越低，因此勒索病毒有可能變得更多樣、更新更頻繁；4.4

目前受到的勒索病毒攻擊主要是

windows系統(tǒng)，但是管家也陸續(xù)發(fā)現(xiàn)了MacOS、Android等平臺的勒索病毒，隨著

windows的防范措施完善，將來黑客也可能轉(zhuǎn)向攻擊其他平臺。4.5

由于勒索病毒和挖礦木馬的攻擊方式和傳播渠道幾乎完全一樣，目前已有不法黑客，如

Satan病毒團(tuán)伙，同時(shí)采用勒索病毒和挖礦木馬雙重攻擊，給用戶帶來更大的損失。五、

防御方案建議A、定期進(jìn)行安全培訓(xùn)，日常安全管理可參考“三不三要”思路1.不上鉤：標(biāo)題吸引人的未知郵件不