南都傳媒騰訊安全-2021上半年勒索病毒趨勢(shì)報(bào)告及防護(hù)方案建議-2021.5正式版

目錄前言……………………1一、 勒索病毒攻擊最新趨勢(shì)盤點(diǎn) 41.1 2020/2021勒索病毒1-4月攻擊態(tài)勢(shì)對(duì)比 41.2 2021年Q1最流行的勒索病毒家族 51.3 1-4月勒索病毒受災(zāi)地域分布 81.4 1-4月勒索病毒攻擊行業(yè)分布 9二、 十大典型勒索病毒案例分析 102.1 全球超150個(gè)國(guó)家和地區(qū)遭WannaCry攻擊，損失高達(dá)數(shù)十億美元 102.2 美國(guó)波音工廠遭WannaCry攻擊，導(dǎo)致自動(dòng)化組裝生產(chǎn)線被迫停工 112.3 臺(tái)積電芯片制造基地遭遇勒索病毒攻擊，損失超17億元 112.4 全球最大助聽器制造商Demant遭勒索病毒攻擊，損失高達(dá)9500萬(wàn)美元 122.5 法國(guó)最大商業(yè)電視臺(tái)M6Group慘遭勒索軟件洗劫，集體被迫“罷工” 132.6 自動(dòng)化設(shè)備生產(chǎn)巨頭皮爾茲遭勒索攻擊，網(wǎng)絡(luò)被迫中斷網(wǎng)絡(luò)超一周 132.7 佳明遭勒索軟件重創(chuàng)：業(yè)務(wù)癱瘓產(chǎn)線停運(yùn)，被勒索千萬(wàn)美元贖金 142.8 佳能遭Maze勒索軟件攻擊，2.2GB美國(guó)公司數(shù)據(jù)被“撕票”泄露 152.9 富士康工廠遭勒索攻擊：上千臺(tái)服務(wù)器被加密，索要3400萬(wàn)美元贖金 152.10 臺(tái)灣PC巨頭宏基(Acer)遭勒索攻擊，贖金創(chuàng)5000萬(wàn)美元新紀(jì)錄 16三、 勒索病毒攻擊分析 163.1 勒索病毒產(chǎn)業(yè)鏈中的五大關(guān)鍵角色 163.2 傳播技術(shù)手段 183.3 勒索病毒的常規(guī)攻擊路徑 203.4 勒索病毒主要攻擊特征 21四、 勒索病毒未來(lái)發(fā)展趨勢(shì) 22五、 防御方案建議 23前言2017年5月12日，WannaCry勒索病毒通過(guò)MS17-010漏洞在全球范圍爆發(fā)，形成一場(chǎng)影響全球的蠕蟲病毒風(fēng)暴。伴隨當(dāng)前AI、物聯(lián)網(wǎng)、區(qū)塊鏈、工業(yè)物聯(lián)網(wǎng)等新技術(shù)的飛速發(fā)展，以及各類加密數(shù)字貨幣在全球市場(chǎng)持續(xù)火爆，勒索病毒也持續(xù)高發(fā)，很多全球知名企業(yè)都曾因勒索病毒導(dǎo)致經(jīng)濟(jì)和聲譽(yù)損失。勒索病毒也因此已成為近年來(lái)網(wǎng)絡(luò)安全主要的威脅之一。事實(shí)上，勒索病毒最早可追溯到1989年，哈佛大學(xué)學(xué)生約瑟夫·L·波普編寫一款電腦病毒-AIDS木馬。這款木馬的傳輸方式和加密手段包括支付贖金的方式都相對(duì)簡(jiǎn)單僅零星發(fā)生，被歸納在惡作劇攻擊并未構(gòu)成較大威脅，但這一病毒的出現(xiàn)可以說(shuō)打開了勒索病毒的潘多拉魔盒，自此勒索病毒如鬼魅一般，頻繁將魔爪伸向企業(yè)及個(gè)人用戶。2006年，國(guó)內(nèi)出現(xiàn)首款勒索軟件Redplus，勒索贖金從70元至200元不等；從2013年的CryptoLocker開始，黑客團(tuán)伙開始利用比特幣作為贖金，這款軟件為黑客團(tuán)伙帶來(lái)近41000枚比特幣收入，按照最新市值折算將近10億美元之巨；2020年，制造Troldesh病毒的黑客團(tuán)隊(duì)在Github上發(fā)表了聲明宣布要金盆洗手，公布團(tuán)隊(duì)75萬(wàn)多個(gè)解密密鑰，頓時(shí)引起業(yè)界一片嘩然。勒索病毒從零星惡作劇發(fā)展到頻繁發(fā)生的主要原因包括三點(diǎn)：第一，勒索病毒加密手段復(fù)雜，解密成本高；第二，使用電子貨幣支付贖金，變現(xiàn)快追蹤難；第三，勒索軟件服務(wù)化的出現(xiàn)，開發(fā)者提供整套勒索軟件解決方案，從勒索軟件的開發(fā)、傳播到贖金收取都提供完整的服務(wù)。攻擊者不需要任何知識(shí)，只要支付少量的租金就可以開展勒索軟件的非法勾當(dāng)，大大降低了勒索軟件的門檻，推動(dòng)了勒索軟件大規(guī)模爆發(fā)。與此同時(shí)，隨著不斷有攻擊者通過(guò)迫使受害者就范而獲得非法收益，散在發(fā)生的勒索病毒攻擊手法日益流行，其表現(xiàn)和傳播手法也在不斷升級(jí)。常見的攻擊方式包括系統(tǒng)漏洞攻擊、遠(yuǎn)程訪問(wèn)弱口令攻擊、釣魚郵件攻擊、Web服務(wù)漏洞和弱口令攻擊、數(shù)據(jù)庫(kù)漏洞和弱口令攻擊等。值得一提的是，勒索病毒未來(lái)將呈現(xiàn)勒索產(chǎn)業(yè)化、場(chǎng)景多樣化、平臺(tái)多元化等顯著趨勢(shì)，持續(xù)對(duì)公眾網(wǎng)絡(luò)安全造成極大的威脅。而隨著勒索病毒案例的不斷涌現(xiàn)，不少企業(yè)在安全廠商的建議完善了數(shù)據(jù)備份方案。目前主流安全廠商積極響應(yīng)，并推出各類防御產(chǎn)品及解決方案，為公眾提供安全防護(hù)服務(wù)與信息。作為擁有二十余年安全能力沉淀經(jīng)驗(yàn)的安全廠商，騰訊安全對(duì)全球勒索病毒深入分析及研判，挖掘其中涉及的安全漏洞、入侵手法和攻擊工具，為個(gè)人及企業(yè)用戶提供網(wǎng)絡(luò)安全防護(hù)。目前，騰訊安全通過(guò)企業(yè)級(jí)殺毒軟件內(nèi)置的終端數(shù)據(jù)保護(hù)功能（如騰訊零信任iOA、騰訊電腦管家已內(nèi)置文檔守護(hù)者自動(dòng)備份）對(duì)數(shù)據(jù)進(jìn)行備份，迫使勒索黑客僅靠破壞用戶數(shù)據(jù)也難以讓勒索得手。WannaCry的爆發(fā)讓勒索病毒走進(jìn)了大眾視野，至今已經(jīng)四年，這四年間勒索病毒又衍生出了多個(gè)變種，并且持續(xù)對(duì)企業(yè)網(wǎng)絡(luò)安全造成威脅，僅2021年1季度就發(fā)生了多起國(guó)際知名企業(yè)被勒索的案件，并且贖金持續(xù)刷新紀(jì)錄。目前尚未出現(xiàn)對(duì)付勒索病毒的“銀彈”，應(yīng)對(duì)勒索病毒的核心原則仍然是以事前防范為主。所幸的是，勒索病毒雖然無(wú)解，但是企業(yè)仍可以通過(guò)提升打預(yù)防針的方式獲得更高的“免疫力”。為了幫助更多企業(yè)和機(jī)構(gòu)了解和盡可能規(guī)避勒索病毒的危害，騰訊安全聯(lián)合南方都市報(bào)以安全事件告警工單數(shù)據(jù)為基礎(chǔ)，基于勒索病毒的起源與演變，從數(shù)據(jù)概覽、入侵特點(diǎn)、攻擊手段、活躍家族排行榜等維度，剖析過(guò)去半年勒索病毒的攻擊形勢(shì)，通過(guò)分析勒索病毒的攻擊路徑及案例盤點(diǎn)，為廣大個(gè)人用戶防范信息泄露風(fēng)險(xiǎn)提供實(shí)用建議。一、勒索病毒攻擊最新趨勢(shì)盤點(diǎn)1.1 2020/2021勒索病毒1-4月攻擊態(tài)勢(shì)對(duì)比2021年，勒索病毒攻擊態(tài)勢(shì)在春節(jié)期間降至最低，觀察其攻擊態(tài)勢(shì)，2021年相比去年同時(shí)期稍有下降。但勒索事件仍然頻發(fā)，勒索金額屢創(chuàng)新高，勒索攻擊愈發(fā)具備針對(duì)性。1.2 2021年Q1最流行的勒索病毒家族1.2.1 GlobeImposterGlobeImposter出現(xiàn)于2017年中，加密文件完成后會(huì)留下名為HOWTOBACKYOURFILES.(txt、html、exe)，Decryption_Info.html類型的勒索說(shuō)明文件。該病毒加密擴(kuò)展后綴繁多，其規(guī)模使用且感染泛濫的類型有12生肖4444，生肖/主神666，12生肖/主神865，12生肖/主神865qq，C*H等系列，由于該病毒出現(xiàn)至今仍然無(wú)有效的解密工具，各政企機(jī)構(gòu)需提高警惕。1.2.2 PhobosPhobos勒索病毒是2019年8月出現(xiàn)的一款新型的勒索病毒，主要通過(guò)RDP方式入侵，然后在受害者主機(jī)上運(yùn)行勒索病毒加密文件。這款勒索病毒已出現(xiàn)最新變種樣本，主要以devos、devoe、devil、dever、dewar、actin、acton、actor、acuff、acute等加密后綴為主，目前病毒變種的流行加密后綴已有幾十個(gè)不同變種。1.2.3 CrysisCrysis勒索病毒從2016年開始具有勒索活動(dòng)，加密文件完成后通常會(huì)添“ID+郵箱+指定后綴”格式的擴(kuò)展后綴，例：“id-編號(hào).[gracey1c6rwhite@].bip“，其家族衍生Phobos系列變種在2019年2月開始也有活躍。該病毒通常使用弱口令爆破的方式入侵企業(yè)服務(wù)器，安全意識(shí)薄弱的企業(yè)由于多臺(tái)機(jī)器使用同一弱密碼，面對(duì)該病毒極容易引起企業(yè)內(nèi)服務(wù)器的大面積感染，進(jìn)而造成業(yè)務(wù)系統(tǒng)癱瘓。1.2.4 SodinokibiSodinokibi勒索病毒首次出現(xiàn)于2019年4月底，由于之后GandCrab停止運(yùn)營(yíng)事件，該病毒緊跟其后將GandCrab勒索家族的多個(gè)傳播渠道納入自身手中。該病毒目前在國(guó)內(nèi)主要通過(guò)Web漏洞和釣魚郵件傳播，也被國(guó)內(nèi)廠商稱為GandCrab的“接班人”，該病毒的特點(diǎn)之一是病毒加密完成后會(huì)把壁紙修改為藍(lán)色背景壁紙，因此也得名”鎖藍(lán)勒索“。該病毒攻擊時(shí)也會(huì)使用內(nèi)核提權(quán)漏洞CVE-2018-8453將自身提升到SYSTEM權(quán)限，已獲得更多文件的讀寫權(quán)限，使得加密文件過(guò)程更加順利。同時(shí)，該病毒也在不斷的對(duì)國(guó)內(nèi)系統(tǒng)做定制化的操作（中文支持，國(guó)內(nèi)大軟件目錄判斷），毫無(wú)疑問(wèn)，國(guó)內(nèi)是該病毒的重點(diǎn)打擊目標(biāo)之一。1.2.5 BuranBuran勒索病毒從2020年上半年開始進(jìn)入我國(guó)，因會(huì)在注冊(cè)表和加密文件中寫入“buran”字符串，故命名為buran勒索病毒。該病毒起初是以郵件形式進(jìn)行傳播，若用戶下載郵件附件，啟用宏代碼，就會(huì)下載激活勒索病毒，導(dǎo)致磁盤文件被加密。而變種之后的病毒傳播形式轉(zhuǎn)為通過(guò)RDP爆破拿到遠(yuǎn)程桌面密碼后手動(dòng)投毒，感染量不斷上升，對(duì)用戶電腦及財(cái)產(chǎn)安全造成極大威脅。1.2.6 MedusalockerMedusalocker該病毒出現(xiàn)于2019年10月，已知該病毒主要通過(guò)釣魚欺詐郵件及弱口令爆破傳播。該病毒早期版本加密文件完成后添加擴(kuò)展后綴.encrypted或者.ReadTheInstructions后綴，近期傳播病毒版本加密文件后添加.deadfiles.EG擴(kuò)展后綴，也看到有使用.shanghai國(guó)內(nèi)地域拼音的后綴類型。通常該團(tuán)伙攻擊者向受害者勒索1BTC（比特幣），當(dāng)前市值約6.4萬(wàn)元。1.2.7 AvaddonAvaddon勒索病毒出現(xiàn)于2020年6月上旬，病毒早期版本加密文件完成后會(huì)添加avdn擴(kuò)展后綴，隨后病毒加密文件擴(kuò)展變更為隨機(jī)字串。加密文件完成后留下名為”隨機(jī)-readme.html”的勒索信文檔。該病毒出道即以大量的垃圾郵件傳播，同時(shí)與Phorpiex僵尸網(wǎng)絡(luò)合作。導(dǎo)致其一度感染量上升。1.2.8 Lockbitlockbit勒索病毒出現(xiàn)于2019年末，傳播方式主要利用RDP口令爆破，并使用RSA+AES算法加密文件，加密過(guò)程采用了IOCP完成端口+AES-NI指令集提升其病毒工作效率，從而實(shí)現(xiàn)對(duì)文件的高性能加密流程。由于該病毒暫無(wú)有效的解密工具，被攻擊后無(wú)法恢復(fù)文件。值得注意的是，該病毒此前主要活躍在國(guó)外，目前其已將狩獵目標(biāo)拓展到國(guó)內(nèi)。1.2.9 RyukRyuk勒索病毒最早于2018年8月被首次發(fā)現(xiàn)，主要針對(duì)大型企業(yè)及組織進(jìn)行定向攻擊勒索，這款勒索病毒主要在國(guó)外較為流行。目前該病毒主要通過(guò)網(wǎng)絡(luò)攻擊手段并利用其它惡意軟件進(jìn)行傳播，同時(shí)充當(dāng)下載器功能，提供下載其它勒索病毒服務(wù)。1.2.10NEMTYNEMTY勒索病毒出現(xiàn)于2019年8月，該病毒早期加密文件完成后會(huì)添加NEMTY擴(kuò)展后綴，也因此得名。該病毒在國(guó)內(nèi)會(huì)依靠垃圾郵件，RIGEK（漏洞利用工具包）傳播，最新變種加密文件完成后會(huì)添加._NEMTY_random形式的隨機(jī)擴(kuò)展后綴。該病毒也與Phorpiex僵尸網(wǎng)絡(luò)有著密切的合作，常借助僵尸網(wǎng)絡(luò)擴(kuò)散傳播。1.3 1-4月勒索病毒受災(zāi)地域分布國(guó)內(nèi)遭受勒索病毒攻擊中，廣東，浙江，山東，湖北，河南，上海，天津較為嚴(yán)重，其它省份也有遭受到不同程度攻擊。1.4 1-4月勒索病毒攻擊行業(yè)分布從勒索病毒感染行業(yè)來(lái)看，數(shù)據(jù)價(jià)值較高的傳統(tǒng)行業(yè)、醫(yī)療、政府機(jī)構(gòu)遭受攻擊較為嚴(yán)重，占比依次為37%、18%、14%，總計(jì)占比高達(dá)69%。二、十大典型勒索病毒案例分析2.1 全球超150個(gè)國(guó)家和地區(qū)遭WannaCry攻擊，損失高達(dá)數(shù)十億美元2017年5月12日晚，一場(chǎng)被命名為“WannaCry”的勒索病毒攻擊首先在英國(guó)爆發(fā)，并以“蠕蟲式”的傳播速度迅速蔓延至全球150多個(gè)國(guó)家和地區(qū)（幸免國(guó)家要么沒(méi)有電腦，要么沒(méi)有網(wǎng)絡(luò)）?！澳愕碾娔X已經(jīng)被鎖，文件已經(jīng)全部被加密，除非你支付價(jià)值300美元的比特幣，否則你的文件將會(huì)被永久刪除”的鎖定桌面，瞬間感染波及全球近20萬(wàn)電腦設(shè)備。全球多地發(fā)出告警，短短兩日內(nèi)，包括政府、醫(yī)療、學(xué)校甚至是公益機(jī)構(gòu)在內(nèi)的多個(gè)板塊的大量電腦文件被加密，并均受到要求支付比特幣以解密文件的威脅。通過(guò)分析發(fā)現(xiàn)，WannaCry勒索病毒是不法分子通過(guò)改造之前泄露的NSA黑客武器庫(kù)中“永恒之藍(lán)”攻擊程序發(fā)起的蠕蟲病毒攻擊。攻擊者利用了微軟基于445端口傳播擴(kuò)散的SMB漏洞MS17-010，實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。攻擊成功后攜帶勒索軟件功能的蠕蟲病毒會(huì)對(duì)主機(jī)文件進(jìn)行加密，并掃描網(wǎng)絡(luò)內(nèi)其他主機(jī)進(jìn)行傳播，從而實(shí)現(xiàn)對(duì)被攻擊者實(shí)施勒索。據(jù)悉，數(shù)內(nèi)網(wǎng)機(jī)器未及時(shí)更新微軟于月發(fā)布的漏洞補(bǔ)丁，是導(dǎo)致電腦大規(guī)模中招的重要原因。WannaCry勒索蠕蟲是傳統(tǒng)勒索軟件與蠕蟲病毒的結(jié)合體，同時(shí)擁有蠕蟲擴(kuò)散傳播和勒索軟件加密文件的雙重功能。WannaCry一旦進(jìn)入目標(biāo)電腦，就會(huì)通過(guò)檢查硬編碼的終止開關(guān)域來(lái)開展惡意活動(dòng)。若為發(fā)現(xiàn)終止開關(guān)域，則會(huì)在加密文件的基礎(chǔ)上，利用漏洞展開聯(lián)機(jī)攻擊，并向被攻擊者發(fā)起3天或7天內(nèi)，以加密比特幣的方式，支付300-600美元的贖金要求。專家分析，這一攻擊過(guò)程不僅會(huì)帶來(lái)圖片、文檔、壓縮包、音頻、視頻、可執(zhí)行程序等重要文件和數(shù)據(jù)信息的損失，同時(shí)也存在危及醫(yī)療設(shè)備、能源系統(tǒng)等公共安全設(shè)施的可能性。此外，比特幣支付方式的不可追蹤，更是讓W(xué)annaCry病毒蔓延帶來(lái)經(jīng)濟(jì)損失加碼。業(yè)內(nèi)專家評(píng)稱，修正了“永恒之藍(lán)(EternalBlue)”的漏洞，同時(shí)發(fā)現(xiàn)了允許停止執(zhí)行惡意軟件的“殺死開關(guān)”，是幫助減緩這一惡意活動(dòng)的兩個(gè)主要貢獻(xiàn)。然而，高達(dá)數(shù)十億美元的損失總額，實(shí)為在全球范圍內(nèi)引發(fā)了史無(wú)前例的震動(dòng)。2.2 美國(guó)波音工廠遭WannaCry攻擊，導(dǎo)致自動(dòng)化組裝生產(chǎn)線被迫停工2018年3月，據(jù)外媒報(bào)道，美國(guó)波音飛機(jī)位于南卡羅來(lái)納州查爾斯頓的生產(chǎn)工廠遭到WannaCry勒索病毒攻擊，導(dǎo)致777翼梁自動(dòng)化組裝生產(chǎn)線被迫停工，是2018年首例被媒體披露的WannaCry勒索病毒攻擊事件。攻擊者向波音索要價(jià)值300美元的比特幣作為贖金以恢復(fù)數(shù)據(jù)和業(yè)務(wù)。鑒于對(duì)攻擊迅速轉(zhuǎn)移態(tài)勢(shì)的分析與擔(dān)憂，波音公司總工程師MikeVanderWel第一時(shí)間在全公司范圍內(nèi)發(fā)布了相關(guān)備忘錄，要求全體員工做好應(yīng)對(duì)措施，避免病毒以攻擊功能飛機(jī)測(cè)試設(shè)備為跳板，實(shí)現(xiàn)對(duì)飛機(jī)系統(tǒng)軟件直接擴(kuò)散、蔓延情況的發(fā)生。波音在對(duì)外聲明中稱，網(wǎng)絡(luò)安全中心發(fā)現(xiàn)僅有少數(shù)設(shè)備系統(tǒng)遭到了入侵并已展開補(bǔ)救，且不影響生產(chǎn)交付。2.3 臺(tái)積電芯片制造基地遭遇勒索病毒攻擊，損失超17億元2018年8月，全球知名半導(dǎo)體廠商臺(tái)積電營(yíng)運(yùn)總部和新竹科學(xué)園區(qū)的12英寸晶圓廠電腦被曝遭到勒索病毒攻擊，造成竹科FAB12廠、南科FAB14廠、中科FAB15廠等三處主要高端生產(chǎn)基地的生產(chǎn)線短短幾小時(shí)內(nèi)全數(shù)停擺，直接導(dǎo)致臺(tái)積電股價(jià)下跌，直接經(jīng)濟(jì)損失高達(dá)17億元人民幣。據(jù)臺(tái)積電對(duì)外聲明稱，此次事件中，設(shè)備感染的是勒索病毒“WannaCry”的變種，具體表現(xiàn)是電腦藍(lán)屏、設(shè)備宕機(jī)、各類文檔和數(shù)據(jù)庫(kù)鎖定等。感染的原因是員工在為新機(jī)臺(tái)安全軟件過(guò)程中，沒(méi)有事先做好隔離和離線安全檢查工作，導(dǎo)致新設(shè)備連接到公司內(nèi)部網(wǎng)絡(luò)后，病毒快速傳播，并最終影響整個(gè)生產(chǎn)線?；谂_(tái)積電相關(guān)電腦設(shè)備使用的都是Windows7系統(tǒng)，業(yè)內(nèi)人士也分析很可能或是沒(méi)有及時(shí)升級(jí)系統(tǒng)補(bǔ)丁，或者沒(méi)有關(guān)閉445端口，導(dǎo)致病毒的入侵與擴(kuò)散。幸運(yùn)的是，臺(tái)積電主計(jì)算機(jī)系統(tǒng)并未受到攻擊影響，其也在第一時(shí)間采取措施彌補(bǔ)這一安全疏忽并加強(qiáng)了安全措施。但值得一提的是，諸如臺(tái)積電這一生產(chǎn)設(shè)備和檢測(cè)設(shè)備等都被勒索病毒同時(shí)攻擊的情況還是前所未見的。由此不難看出，從2017年到2018年，以WannaCry為首的勒索病毒攻擊已經(jīng)跳脫了對(duì)僅限于核心業(yè)務(wù)文件的加密，轉(zhuǎn)而向企業(yè)服務(wù)器和業(yè)務(wù)系統(tǒng)的攻擊拓展。通過(guò)感染企業(yè)關(guān)鍵系統(tǒng)，破壞企業(yè)日常運(yùn)營(yíng)，從而帶來(lái)動(dòng)輒停產(chǎn)的直接后果。2.4 全球最大助聽器制造商Demant遭勒索病毒攻擊，損失高達(dá)9500萬(wàn)美元2019年9月，據(jù)外媒報(bào)道，全球領(lǐng)先的助聽器制造商的迪曼特集團(tuán)（Demant）遭遇NotPetya勒索軟件攻擊。盡管該公司已經(jīng)備份了數(shù)據(jù)，但攻擊的規(guī)模似乎對(duì)其恢復(fù)具有重大影響。該公司的IT基礎(chǔ)架構(gòu)受到網(wǎng)絡(luò)攻擊的影響，其通過(guò)關(guān)閉多個(gè)站點(diǎn)和業(yè)務(wù)部門中的IT系統(tǒng)來(lái)限制事件的進(jìn)一步發(fā)酵，但是整個(gè)價(jià)值鏈的關(guān)鍵業(yè)務(wù)流程仍然受到事件的影響，包括研發(fā)、生產(chǎn)和分銷。這些中斷的累積影響將對(duì)該公司2019全年造成高達(dá)6億人民幣的負(fù)面財(cái)務(wù)影響，該公司的之前購(gòu)買的保險(xiǎn)為公司減少了一部分損失。Demant預(yù)計(jì)，本次直接損失將達(dá)5000萬(wàn)人民幣。據(jù)了解，該勒索病毒團(tuán)伙曾導(dǎo)致航運(yùn)巨頭馬士基和快遞服務(wù)聯(lián)邦快遞等公司各自遭受超過(guò)3億美元的損失。2.5 法國(guó)最大商業(yè)電視臺(tái)M6Group慘遭勒索軟件洗劫，集體被迫“罷工”2019年10月，法國(guó)最大商業(yè)電視臺(tái)M6Group慘遭勒索軟件洗劫，公司電話、電子郵件、辦公及管理工具全部中斷，集體被迫“罷工”。事件發(fā)生后，其他電視臺(tái)已禁止員工通過(guò)電子郵件與M6進(jìn)行通信，以免受到感染。而此次事件很有可能是黑客使用了網(wǎng)絡(luò)釣魚電子郵件或利用了未打補(bǔ)丁的軟件，從而使電視臺(tái)網(wǎng)絡(luò)被勒索軟件感染至擴(kuò)散。M6集團(tuán)在公開領(lǐng)域并未透露攻擊者信息及是否交付巨額贖金。2.6 自動(dòng)化設(shè)備生產(chǎn)巨頭皮爾茲遭勒索攻擊，網(wǎng)絡(luò)被迫中斷網(wǎng)絡(luò)超一周2019年10月，全球最大的自動(dòng)化工具生產(chǎn)商之一皮爾茲（Pilz）遭受BitPaymer勒索軟件攻擊，該公司在全球范圍內(nèi)的所有服務(wù)器和PC工作站，包括通信設(shè)施，都受到了影響，公司被迫關(guān)閉其網(wǎng)絡(luò)。Pilz員工花了三天時(shí)間才恢復(fù)對(duì)其電子郵件服務(wù)的訪問(wèn)權(quán)限，又花了三天時(shí)間恢復(fù)國(guó)際電子郵件服務(wù)，直到一周后才恢復(fù)對(duì)產(chǎn)品訂單和交貨系統(tǒng)的訪問(wèn)。該企業(yè)對(duì)外聲稱，其生產(chǎn)能力沒(méi)有受到影響，但是無(wú)法檢查訂單，并且生產(chǎn)速度較慢。2.7 佳明遭勒索軟件重創(chuàng)：業(yè)務(wù)癱瘓產(chǎn)線停運(yùn)，被勒索千萬(wàn)美元贖金2020年7月，健身追蹤器、智能手表和GPS產(chǎn)品制造商Garmin遭受了WastedLocker勒索軟件的全面攻擊，主要產(chǎn)品服務(wù)和網(wǎng)站均癱瘓，攻擊者向Garmin索要高達(dá)1000萬(wàn)美元贖金，威脅要?jiǎng)h除服務(wù)器上的所有數(shù)據(jù)。其中，GarminConnect網(wǎng)站和移動(dòng)應(yīng)用程序以及GarminPilot、Connext和FlyGarmin，因數(shù)據(jù)無(wú)法同步更新，被迫大規(guī)模下架。GarminPilot等商用航空產(chǎn)品被迫關(guān)閉停運(yùn)。參考國(guó)際咨詢機(jī)構(gòu)Canalys對(duì)2020年第一季度全球可穿戴市場(chǎng)的評(píng)估，佳明在全球可穿戴市場(chǎng)的份額大概是7.3%，整體用戶數(shù)量為7000萬(wàn)，按照這個(gè)數(shù)字推算，此次Garmin遭受攻擊將影響至少1500萬(wàn)用戶。面對(duì)勒索病毒的入侵，佳明的產(chǎn)業(yè)和業(yè)務(wù)一下子就遭遇了全面打擊。跟最嚴(yán)重的后果比起來(lái)，用戶服務(wù)的暫時(shí)停擺都不算什么。有臺(tái)灣媒體援引知情人士信息，佳明的臺(tái)灣工廠也已經(jīng)停工，可見此次勒索病毒影響之深。從目前已知的情況看，這次攻擊是一次黑客組織長(zhǎng)期策劃、籌備的針對(duì)性攻擊。甚至存在一種更糟糕的可能性：黑客組織很可能在實(shí)施勒索病毒攻擊之前，已經(jīng)將佳明的用戶數(shù)據(jù)盜取，佳明想要恢復(fù)用戶的云端數(shù)據(jù)，只能接受黑客組織的威脅。否則將因用戶隱私數(shù)據(jù)泄露造成更大的損失。2.8 佳能遭Maze勒索軟件攻擊，2.2GB美國(guó)公司數(shù)據(jù)被“撕票”泄露2020年8月，著名數(shù)碼攝像機(jī)廠商佳能(Canon)被曝遭受Maze團(tuán)伙勒索攻擊，影響電子郵件、微軟團(tuán)隊(duì)、美國(guó)網(wǎng)站及其他內(nèi)部應(yīng)用程序。其中，佳能image.canon云照片和視頻存儲(chǔ)服務(wù)的可疑中斷，導(dǎo)致其免費(fèi)10GB存儲(chǔ)功能的用戶丟失數(shù)據(jù)。由BleepingComputer消息稱，佳能經(jīng)歷了“影響多個(gè)應(yīng)用程序、團(tuán)隊(duì)、電子郵件和其他系統(tǒng)的廣泛傳播的系統(tǒng)問(wèn)題，目前可能不可用”。隨后，Maze因未收到贖金，在暗網(wǎng)泄露了佳能大約2.2GB（據(jù)Maze團(tuán)伙稱僅為所有竊取數(shù)據(jù)的5%。）的美國(guó)公司營(yíng)銷數(shù)據(jù)和視頻文件，從而導(dǎo)致佳能部分內(nèi)部系統(tǒng)中斷。但佳能全球網(wǎng)站和電子商務(wù)網(wǎng)站等在內(nèi)的其他資產(chǎn)似乎不受影響，這意味著佳能的網(wǎng)絡(luò)安全措施有效防止了勒索軟件損失的擴(kuò)大化。同時(shí)，也在一定程度上，反映了傳統(tǒng)“支付贖金”的應(yīng)對(duì)策略正在失效。2.9 富士康工廠遭勒索攻擊：上千臺(tái)服務(wù)器被加密，索要3400萬(wàn)美元贖金2020年11月，全球最大電子制造公司之一——富士康位于墨西哥的華雷斯城CTBGMX工廠設(shè)施被曝遭受“DoppelPaymer”勒索軟件攻擊，導(dǎo)致1200臺(tái)服務(wù)器被加密。據(jù)悉，攻擊者在對(duì)設(shè)備進(jìn)行加密前已竊取了100GB的未加密文件（包括常規(guī)業(yè)務(wù)文檔和報(bào)告，但不可苦熬任何財(cái)務(wù)及員工個(gè)人信息），并刪除了20-30TB的備份。隨后，攻擊者發(fā)布了一個(gè)指向DoppelPaymer付款站點(diǎn)的鏈接，要求富士康支付1804.0955比特幣作為贖金（約3486.6萬(wàn)美元，約2億元人民幣）），否則將把盜取數(shù)據(jù)在暗網(wǎng)出售。隨后，富士康對(duì)外聲稱，其網(wǎng)絡(luò)安全團(tuán)隊(duì)已經(jīng)完成了軟件和作業(yè)系統(tǒng)的安全更新，并且提升了安全防護(hù)等級(jí)，受到影響的廠區(qū)網(wǎng)絡(luò)已經(jīng)逐漸恢復(fù)正常。2.10臺(tái)灣PC巨頭宏基(Acer)遭勒索攻擊，贖金創(chuàng)5000萬(wàn)美元新紀(jì)錄2020年3月，臺(tái)灣PC巨頭宏基(Acer）遭到勒索病毒組織REvil的網(wǎng)絡(luò)攻擊，并被索要支付高達(dá)5000萬(wàn)美元的贖金，刷新了勒索病毒有史以來(lái)的最高贖金紀(jì)錄。同時(shí)，攻擊者還在網(wǎng)站上公布了從宏碁竊取的部分財(cái)務(wù)電子表格、銀行結(jié)余和銀行往來(lái)郵件等數(shù)據(jù)，并提出只有支付贖金，才能提供解密工具、漏洞報(bào)告以及刪除盜取的文件；此外，還對(duì)宏碁發(fā)出了“不要重蹈SolarWind覆轍”的含糊警告。據(jù)外媒BleepingComputer分析，REvil可能是通過(guò)瞄準(zhǔn)宏碁域名上的一臺(tái)MicrosoftExchange服務(wù)器上的漏洞，才得以成功發(fā)動(dòng)了此次攻擊，這也是針對(duì)大型目標(biāo)實(shí)施勒索軟件攻擊的首次做法。目前，因宏碁并未支付贖金，REvil已在暗網(wǎng)出售宏碁財(cái)務(wù)表格、銀行結(jié)余、銀行通訊文檔等機(jī)密資料。三、勒索病毒攻擊分析3.1 勒索病毒產(chǎn)業(yè)鏈中的五大關(guān)鍵角色隨著勒索產(chǎn)業(yè)的迅速發(fā)展壯大，通過(guò)圍繞數(shù)據(jù)加密，數(shù)據(jù)泄露，乃至詐騙等核心元素展開的網(wǎng)絡(luò)勒索類型也是千姿百態(tài)。網(wǎng)絡(luò)勒索具有匿名性、隱蔽性、便捷性等特點(diǎn)，深受黑產(chǎn)青睞。其中典型的勒索病毒作案實(shí)施過(guò)程如下，一次完整的勒索可能涉及5個(gè)角色（一人可能充當(dāng)多個(gè)角色）。勒索病毒作者：負(fù)責(zé)勒索病毒編寫制作，與安全軟件免殺對(duì)抗。通過(guò)在“暗網(wǎng)”或其它地下平臺(tái)販賣病毒代碼，接受病毒定制，或出售病毒生成器的方式，與勒索者進(jìn)行合作拿取分成。勒索者：從病毒作者手中拿到定制版本勒索病毒或勒索病毒原程序，通過(guò)自定義病毒勒索信息后得到自己的專屬病毒，與勒索病毒作者進(jìn)行收入分成。傳播渠道商：幫助勒索者傳播勒索病毒，最為熟悉的則是僵尸網(wǎng)絡(luò)，例Necurs、Gamut，全球有97%的釣魚郵件由該兩個(gè)僵尸網(wǎng)絡(luò)發(fā)送。解密代理：向受害者假稱自己能夠解密各勒索病毒加密的文件，并且是勒索者提出贖金的50%甚至更低，但實(shí)際上與勒索者進(jìn)行合作，在其間賺取差價(jià)。從世界范圍內(nèi)看，勒索病毒產(chǎn)業(yè)鏈養(yǎng)活了大量從事解密代理的組織，這些人直接購(gòu)買搜索關(guān)鍵字廣告，讓勒索病毒受害企業(yè)通過(guò)他們完成解密交易，解密代理充當(dāng)了中間人的角色，從中獲取大量利益。受害者：通過(guò)勒索病毒各種傳播渠道不幸中招的受害者，如有重要文件被加密，則向代理或勒索者聯(lián)系繳納贖金解密文件。3.2 傳播技術(shù)手段總結(jié)市面較為高發(fā)的勒索病毒特征，可大致將勒索病毒的傳播手段分為6個(gè)方向：3.2.1 弱口令攻擊由于部分服務(wù)器會(huì)使用弱口令遠(yuǎn)程登錄，不法黑客便利用這一弱口令登陸短板暴力破解遠(yuǎn)程登錄密碼，并手動(dòng)下載運(yùn)行勒索病毒。即使服務(wù)器安裝了安全軟件，不法黑客也可手動(dòng)退出。這一手段隱蔽性、機(jī)動(dòng)性均較高，極難被安全軟件發(fā)現(xiàn)。3.2.2 U盤蠕蟲以U盤或移動(dòng)設(shè)備作為介質(zhì)，利用感染型病毒的特點(diǎn)，病毒運(yùn)行過(guò)程中，大量占用系統(tǒng)資源，隨后會(huì)開啟后門功能，用戶電腦中的所有隱私將完全暴露在黑客面前。隨后黑客便可加密用戶所有文檔后再?gòu)棾隼账餍畔?，而由于PE類文件被感染后具有了感染其他文件的能力，因此如果此文件被用戶攜帶（U盤、網(wǎng)絡(luò)上傳等）到其他電腦上運(yùn)行，就會(huì)使得該電腦的文件也被全部感染加密。3.2.3 軟件供應(yīng)鏈攻擊病毒制作者通過(guò)劫持正常軟件的安裝、升級(jí)服務(wù)，在用戶進(jìn)行正常軟件安裝、升級(jí)時(shí)植入勒索病毒。這種傳播方式利用了用戶與軟件供應(yīng)商之間的信任關(guān)系，成功繞開了傳統(tǒng)安全產(chǎn)品的圍追堵截，傳播方式上更加隱蔽。此前侵襲全球的Petya勒索病毒便是通過(guò)劫持Medoc軟件更新服務(wù)進(jìn)行傳播。3.2.4 系統(tǒng)/軟件漏洞2017年5月全球爆發(fā)的WannaCry就是利用Windows系統(tǒng)漏洞進(jìn)行傳播，利用系統(tǒng)漏洞傳播的特點(diǎn)是被動(dòng)式中毒：用戶即使沒(méi)有訪問(wèn)惡意站點(diǎn)，沒(méi)有打開病毒文件也會(huì)中招。利用系統(tǒng)漏洞傳播的蠕蟲病毒還會(huì)掃描同網(wǎng)絡(luò)中存在漏洞的其他PC主機(jī)，只要主機(jī)沒(méi)有打上補(bǔ)丁，就會(huì)被攻擊。3.2.5 “無(wú)文件”攻擊技術(shù)“無(wú)文件”攻擊最常見的是利用惡意文本文檔傳播，多見通過(guò)郵件附件進(jìn)行傳播。勒索病毒通常會(huì)偽裝成用戶常查看的文檔，如信用卡消費(fèi)清單、產(chǎn)品訂單等。附件中會(huì)隱藏惡意代碼，當(dāng)用戶打開后惡意代碼便會(huì)開始執(zhí)行，釋放病毒。不法黑客往往會(huì)將攜帶病毒的文件通過(guò)郵件批量發(fā)送給企業(yè)、高校、醫(yī)院機(jī)構(gòu)等單位，這些單位中的電腦中通常保存較重要的文件，一旦被惡意加密，支付贖金的可能性遠(yuǎn)遠(yuǎn)超過(guò)普通個(gè)人用戶。3.2.6 RaaSRaaS是SaaS模式的一個(gè)非法應(yīng)用，網(wǎng)絡(luò)犯罪分子開發(fā)出高度復(fù)雜的勒索軟件并將其出售給想要發(fā)動(dòng)攻擊以換取經(jīng)濟(jì)利益的客戶。RaaS幾乎使任何人都可以在不自己編寫代碼的情況下進(jìn)行網(wǎng)絡(luò)攻擊。RaaS使發(fā)動(dòng)網(wǎng)絡(luò)攻擊牟利變得更加容易，這對(duì)于企業(yè)數(shù)據(jù)安全是一個(gè)巨大的威脅。一旦網(wǎng)絡(luò)犯罪分子破壞了一個(gè)系統(tǒng)并竊取了有價(jià)值的數(shù)據(jù)，他們就需要把目標(biāo)對(duì)準(zhǔn)一個(gè)買家——通常是企業(yè)——以談判價(jià)格出售竊取到的信息。與SaaS應(yīng)用程序非常相似，RaaS采用基于云的訂閱模型。RaaS開發(fā)者使用關(guān)聯(lián)工作流收集受害公司支付的贖金的詳細(xì)信息，然后從收到的贖金中抽取一定比例，再將剩余部分轉(zhuǎn)交給軟件購(gòu)買者。3.3 勒索病毒的常規(guī)攻擊路徑第一步：入侵慣用手法：RDP爆破、SQL弱口令爆破，網(wǎng)絡(luò)釣魚，惡意電子郵件（包括垃圾郵件廣撒網(wǎng)與精準(zhǔn)定向投放）及惡意附件投遞（包括Office漏洞、Flash漏洞、PDF閱讀器漏洞等），高危漏洞利用，無(wú)文件攻擊等。也有部分勒索黑客會(huì)利用僵尸網(wǎng)絡(luò)控制的肉雞渠道分發(fā)。第二步：擴(kuò)散勒索黑客入侵某一臺(tái)主機(jī)之后，往往并不立即運(yùn)行勒索病毒，而是盡可能的利用各種攻擊手法在目標(biāo)網(wǎng)絡(luò)橫向擴(kuò)散以增加受控主機(jī)數(shù)量。勒索黑客在此階段會(huì)通過(guò)下載各種攻擊工具包，包括流行漏洞利用工具、密碼提取工具、遠(yuǎn)程控制木馬或后門、下載密碼字典繼續(xù)使用爆破入侵等等。第三步：盜竊攻擊者會(huì)遍歷已攻陷主機(jī)數(shù)據(jù)，篩選最有價(jià)值的攻擊對(duì)象，竊取受控主機(jī)數(shù)據(jù)。勒索病毒團(tuán)伙在利用多種技術(shù)手段入侵目標(biāo)系統(tǒng)后，會(huì)留置后門、安裝多種遠(yuǎn)程控制軟件（如TeamView破解版、RemoteUtilities商業(yè)遠(yuǎn)控軟件破解版、RemcosRAT、AgentTesla、SnakeKeylogger、AsyncRAT、Nanocore等商業(yè)木馬），勒索黑客會(huì)使用此類工具將失陷網(wǎng)絡(luò)的機(jī)密數(shù)據(jù)上傳到該團(tuán)伙控制的服務(wù)器上。第四步：勒索下載一種或多種勒索病毒運(yùn)行，癱瘓目標(biāo)網(wǎng)絡(luò)，留下勒索信件，在暗網(wǎng)渠道發(fā)布失陷企業(yè)數(shù)據(jù)，實(shí)施勒索。攻擊者利用REvil勒索軟件攻擊著名計(jì)算機(jī)廠商Acer，勒索5000萬(wàn)美元，攻擊者在暗網(wǎng)公布該公司的部分?jǐn)?shù)據(jù)，截圖包含一些財(cái)務(wù)報(bào)表、銀行相關(guān)的文檔。3.4 勒索病毒主要攻擊特征3.4.1 針對(duì)企業(yè)用戶定向攻擊勒索病毒在2016年爆發(fā)時(shí)，主要通過(guò)釣魚郵件、掛馬等攻擊方式撒網(wǎng)式傳播，導(dǎo)致普通用戶深受其害。但隨后黑客發(fā)現(xiàn)普通用戶的數(shù)據(jù)價(jià)值相對(duì)更低，并不會(huì)繳納高額贖金進(jìn)行數(shù)據(jù)恢復(fù)，相反企業(yè)用戶的資料數(shù)據(jù)一旦丟失，將會(huì)極大地影響公司業(yè)務(wù)的正常運(yùn)轉(zhuǎn)，因此企業(yè)用戶往往會(huì)繳納贖金來(lái)挽回?cái)?shù)據(jù)。因此現(xiàn)在黑客基本針對(duì)企業(yè)用戶定向攻擊，以勒索更多的贖金。3.4.2 以RDP爆破為主通過(guò)騰訊安全御見威脅情報(bào)中心的數(shù)據(jù)統(tǒng)計(jì)，目前勒索攻擊主要以RDP爆破為主（包括企業(yè)內(nèi)網(wǎng)滲透），典型家族有GlobeImposter和Crysis，也有其他家族的勒索病毒陸續(xù)加入端口爆破攻擊方式。RDP爆破成功后，黑客可以遠(yuǎn)程登錄終端進(jìn)行操作，這樣即使終端上有安全軟件的防護(hù)也會(huì)被黑客退出，攻