近日，美國政府宣布懸賞高達1000萬美元，以獲取幫助識別或追蹤臭名昭著的“黑暗面”（DarkSide）黑客組織頭目的信息。美國執(zhí)法部門此前宣稱，該黑客組織是5月份導(dǎo)致美國燃油管道公司Colonial Pipeline癱瘓的勒索軟件攻擊的幕后黑手。那次襲擊導(dǎo)致一條5500英里長的向美國東海岸提供燃料的管道關(guān)閉，造成汽油短缺。Colonial最終以加密貨幣的形式向黑客支付近500萬美元的贖金。美國燃油管道事件被不少美媒定性為 “美國有史以來最具破壞性的數(shù)字勒索事件之一”。

勒索軟件是目前網(wǎng)絡(luò)空間中最具破壞性且傳播廣泛的一種惡意軟件，近年來持續(xù)肆虐，已成為威脅網(wǎng)絡(luò)安全的主要“殺手”。

2016年3月，網(wǎng)絡(luò)攻擊導(dǎo)致孟加拉國央行8100萬美元被竊；2017年，Petya勒索病毒暴發(fā)，歐洲多個國家被大規(guī)模攻擊，尤其烏克蘭的政府機構(gòu)、銀行、企業(yè)等均遭大規(guī)模攻擊，甚至烏克蘭副總理的電腦也遭受攻擊；2019年6月，世界最大飛機零件供應(yīng)商之一ASCO遭遇勒索病毒攻擊，生產(chǎn)環(huán)境系統(tǒng)癱瘓，千名員工被迫帶薪休假；2019年10月，全球最大的助聽器制造商之一Demant遭受勒索病毒入侵，損失高達9500萬美元；2019年12月，一個名為Maze的黑客組織攻擊了佛羅里達州彭薩科拉市，該市電話、市政熱線、電子郵件服務(wù)器和賬單支付系統(tǒng)遭到破壞；2020年底，電子巨頭富士康在在墨西哥的一家工廠遭遇數(shù)據(jù)勒索攻擊，一度造成這家工廠停工減產(chǎn)；2021年，美輸油管道運營商、華盛頓警局接連“中招”，被索高額贖金，國家一度進入緊急狀態(tài)。

有研究表明，在未來國際網(wǎng)絡(luò)空間戰(zhàn)場上，攻擊者對勒索軟件的利用將不再局限于經(jīng)濟牟利，而更多轉(zhuǎn)向純粹的國家級破壞活動。一言以蔽之，針對關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊可能會對國家的運作能力造成“破壞性影響”。

安恒信息董事長范淵曾在接受央視采訪時曾表示，勒索病毒以及它的變種是一種非常典型的網(wǎng)絡(luò)安全的例子。面對勒索攻擊，如果提前預(yù)防，成本可能是事后的百分之一、甚至千分之一。下一步很有必要針對關(guān)鍵、敏感的新型關(guān)鍵性基礎(chǔ)設(shè)施快速做好對勒索病毒變種為代表的網(wǎng)絡(luò)安全防范工作。

面對現(xiàn)代勒索軟件攻擊甚囂塵上的現(xiàn)狀和挑戰(zhàn)，安恒信息在實踐基礎(chǔ)上輸出多達三萬字的全面體系化《防數(shù)據(jù)勒索解決方案》。方案從具體案例切入：

舉個例子：富士康被勒索事件

2020年底，電子巨頭富士康在在墨西哥的一家工廠遭遇數(shù)據(jù)勒索攻擊，攻擊者聲稱，加密了超過1,000臺服務(wù)器，竊取了100 GB的未加密文件，并刪除了20-30 TB的備份，勒索者還在數(shù)據(jù)泄露站點上發(fā)布部分數(shù)據(jù)。數(shù)據(jù)勒索者索要1804.0955 BTC贖金，約為35,000,000美元（約合2億人民幣），一度造成這家工廠停工減產(chǎn)。

以此事件為例，勒索組織并不是僅僅將數(shù)據(jù)加密，而是滲透、竊取、泄露、破壞、加密相結(jié)合，由此可見，在實施企業(yè)數(shù)據(jù)勒索的過程中，勒索組織又有進一步的精細化分工。在對企業(yè)進行數(shù)據(jù)勒索時，勒索病毒反而成為最后實現(xiàn)勒索的工具，數(shù)據(jù)勒索過程與APT攻擊有相似的攻擊鏈，描述如下：

1. 入侵內(nèi)網(wǎng)：通過網(wǎng)站掛馬、垃圾郵件、病毒、木馬、社會工程等方式，甚至是APT攻擊，勒索組織進入用戶內(nèi)網(wǎng);?

2. 內(nèi)網(wǎng)踩點：獲取一部分資源的控制權(quán)限后，勒索組織會建立隱蔽通信通道進行遠程控制，也為竊取數(shù)據(jù)建立數(shù)據(jù)傳輸通道；

3. 勒索組織會通過掃描探查、數(shù)據(jù)監(jiān)聽、記錄分析等方式，了解用戶內(nèi)網(wǎng)的資源分布情況，到薄弱環(huán)節(jié)和有漏洞的系統(tǒng)，重點探查數(shù)據(jù)庫服務(wù)器、備份服務(wù)器的數(shù)據(jù)較為集中的系統(tǒng)。

4. 橫向滲透：通過系統(tǒng)漏洞、口令攻擊等方式獲取更多系統(tǒng)的控制權(quán)，尤其是獲取數(shù)據(jù)庫權(quán)限，為竊取數(shù)據(jù)和實施勒索做準(zhǔn)備；

5. 竊取數(shù)據(jù)：將數(shù)據(jù)庫中存儲的數(shù)據(jù)復(fù)制或者外發(fā)到黑客控制的服務(wù)器，分析實施勒索的定價，勒索不成也可以賣到暗網(wǎng)上。

6. 刪除備份：數(shù)據(jù)備份是能否成功勒索的最大障礙，勒索者會找到數(shù)據(jù)備份系統(tǒng)，并刪除備份數(shù)據(jù)，破壞備份機制，防止受害者因為可以利用備份恢復(fù)數(shù)據(jù)，不付贖金造成勒索失敗；

7. 加密數(shù)據(jù)：對數(shù)據(jù)進行加密，造成業(yè)務(wù)系統(tǒng)崩潰或者數(shù)據(jù)庫宕機，一般選在晚上和周末，等用戶發(fā)現(xiàn)系統(tǒng)異常時，已經(jīng)來不及做響應(yīng)；

8. 實施勒索：從多個維度進行勒索，包括數(shù)據(jù)加密造成的生產(chǎn)停頓或者經(jīng)營困難，威脅將下載的數(shù)據(jù)對媒體公開、出售給競爭對手、對企業(yè)高管進行人身攻擊，逼迫受害人就范。如果勒索不成，被下載的數(shù)據(jù)會被在暗網(wǎng)出售，彌補勒索組織的損失。

結(jié)論：即便支付了贖金還有可能由于技術(shù)原因數(shù)據(jù)恢復(fù)失敗，泄露的數(shù)據(jù)也可能重新包裝后進入暗網(wǎng)。

沿著數(shù)據(jù)勒索攻擊鏈：入侵內(nèi)網(wǎng)→內(nèi)網(wǎng)踩點→橫向滲透→竊取數(shù)據(jù)→刪除備份→加密數(shù)據(jù)→實施勒索的每個步驟，《防數(shù)據(jù)勒索解決方案》提出要建立涵蓋事前檢測預(yù)防、事中監(jiān)測防御、事后恢復(fù)溯源的縱深防御體系，將數(shù)據(jù)勒索風(fēng)險降到最低。

事前檢測預(yù)防覆蓋的場景主要包含：主機安全及管理（EDR）、防垃圾郵件、關(guān)鍵數(shù)據(jù)識別、安全評估檢查、安全意識、應(yīng)急演練等。

事中檢測防御采取的安全措施包括：數(shù)據(jù)庫審計、數(shù)據(jù)庫蜜罐、APT攻擊預(yù)警、用戶行為分析（UEBA）、數(shù)據(jù)分析處置等。

事后恢復(fù)溯源的舉措方法主要包括：數(shù)據(jù)備份與恢復(fù)、備份物理保護、應(yīng)急響應(yīng)、談判專家、網(wǎng)絡(luò)保險等。

結(jié)合客戶真實業(yè)務(wù)場景的痛點、需求，為客戶量身定制的防勒索體系詳細設(shè)計，可以通過下載解決方案全文獲取。

安恒信息《防數(shù)據(jù)勒索解決方案》

掃描二維碼下載