從2020年十大勒索攻擊事件聊聊企業安全“防盜”新思路

自2017年WannaCry、NotPetya席捲全球以來，勒索病毒一直以不可忽視的危害性和破壞力，被全球企業和機構視為最大網路威脅之一。回顧整個2020年，受新冠疫情大流行和全球數字化程式加快的驅動，數以百萬計遠端辦公場景的快速激增一定程度上因網路開放度的提升和介面的增多，而給勒索病毒造就了新的攻擊面。

SonicWall第三季度威脅情報資料顯示，勒索軟體攻擊以40%的增長率，位居2020年增長最為迅猛的網路威脅榜首。同時，安全公司CrowdStrike最新調查資料顯示，有56％的企業表示在過去一年內曾遭受過索軟體攻擊。其中，全球71％的網路安全專家更擔心由COVID-19引發的勒索軟體攻擊。

“瘋狂”速度增長的攻擊規模和頻率，加之甚至足以影響美國總統大選的驚人破壞力，使得勒索病毒已成為2020年幾乎籠罩在全球企業、機構心頭的一團“烏雲”。全球知名安全公司Check Point研究指出，勒索軟體是2020年給企業、機構造成損失最大的攻擊手段。而相關資料披露，預計到2021年，全球由勒索軟體攻擊帶來的損失將增至200億美元。

在加速構建的數字化新場景下，面對更為瞄準企業或機構、技術手段越發成熟且多變、產業分工更精細的勒索病毒攻擊，跳脫贖金“綁架”的有效防範與應對已成為各行業和領域的必答題。換言之，面對持續表現出旺盛活躍度且信用度不高的勒索病毒攻擊團隊，依賴贖金支付的修復策略已經失效，而防患未然的安全前置部署正顯得更為重要，是最大限度規避攻擊風險、降低攻擊成本的有效路徑。

不難看出，在安全前置部署中，2020年已發生的勒索軟體攻擊事件所呈現的“對手”軌跡將為企業和機構制定應對策略、佔據攻防優勢提供重要參考。“知己知彼”顯然應為企業和機構實現有效防禦的第一步。

01

2020年度十大勒索攻擊事件回顧

1、特斯拉、波音、SpaceX供應商拒付贖金遭機密洩露

2020年3月，據外媒報導，因未收到勒索贖金，勒索軟體DoppelPaymer在網上公開了SpaceX、特斯拉、波音等公司的機密資訊，包括軍事裝備細節、賬單和付款表格、供應商資訊、資料分析報告、法律文書以及供應商保密協議等。據悉，這些機密資訊皆來源於特斯拉、波音、SpaceX等行業巨頭的零件供應商—Visser Precision。攻擊者是透過先竊取資料後向其傳送贖金訊息，實施勒索攻擊的。

2、日本汽車製造商本田全球網路遭勒索攻擊，工廠被迫關閉兩天生產

2020年6月，據外媒報導，日本汽車製造商本田全球網路因遭受勒索病毒攻擊被迫關閉其位於美國、土耳其、印度和南美部分工廠，導致生產停頓、產量下降。據BBC報導，勒索軟體迅速地擴散到了本田的整個網路系統，計算機伺服器、電子郵件以及其他內網功能皆受到不同程度的影響。

3、阿根廷電信1.8萬臺計算機感染勒索軟體，駭客要價750萬美元

2020年7月，阿根廷電信公司遭到REVil勒索軟體攻擊，兩日內造成約1.8萬臺計算機被感染。在本次攻擊事件中，攻擊者以公司網路訪問許可權的獲取為跳板，實現利用其內部Domain Admin系統感染上萬臺計算機的。這一事件導致諸多網站陷入離線轉檯，對阿根廷電信公司運營造成了嚴重影響。據瞭解，勒索軟體團伙要價750萬美元作為贖金，並聲稱三天內不支付則將翻倍。

4、佳明遭勒索軟體重創：業務癱瘓產線停運，被勒索千萬美元贖金

2020年7月，健身追蹤器、智慧手錶和GPS產品製造商Garmin遭受了WastedLocker勒索軟體的全面攻擊，主要產品服務和網站均癱瘓，攻擊者向Garmin索要高達1000萬美元贖金以恢復資料和業務。其中，Garmin Connect網站和移動應用程式以及Garmin Pilot、Connext和FlyGarmin。Garmin Pilot等商用航空產品被迫關閉停運，影響全球大量使用者。

5、佳能遭Maze勒索軟體攻擊，2.2GB美國公司資料被“撕票”洩露

2020年8月，著名數碼攝像機廠商佳能(Canon)被曝遭受勒索攻擊，影響電子郵件、微軟團隊、美國網站及其他內部應用程式。其中，佳能image.canon雲照片和影片儲存服務的可疑中斷，導致其免費10GB儲存功能的使用者丟失資料。隨後，Maze因未收到贖金，在暗網洩露了佳能大約2.2GB的美國公司資料，從而導致佳能部分內部系統中斷。

6、首個國家機構被勒索？阿根廷移民局遭遇攻擊中斷服務4小時

2020年9月，阿根廷官方移民管理機構遭受Netwalker勒索軟體攻擊，直接造成邊境入出境事務陷入癱瘓。據外媒報導，此次攻擊導致邊境過境點停擺四個小時，或將是首例針對聯邦政府一級目標發起的已知攻擊活動。攻擊方向阿根廷政府開出了400萬美元贖金的要價。

7、智利銀行遭勒索軟體攻擊，被迫關閉所有分行

2020年9月，智利三大銀行之一的國家銀行（BancoEstado）遭到勒索軟體攻擊，被迫決定關閉所有分支機構。據稱，發起該次攻擊的是 REvil (Sodinokibi)勒索軟體。其是藉助一份惡意攻擊郵件實現在銀行網路安插後門，並以此跳板訪問銀行內網，實施勒索行動，加密了該行大部分內部服務和僱員工作站。

8、全球首例勒索軟體致死事故：醫院系統癱瘓導致搶救延誤

2020年9月，德國杜塞爾多夫大學醫院遭受勒索軟體攻擊，導致30多臺內部伺服器遭到感染。而一女性患者被迫須轉移至距離30多公里以外的另一家醫院接受救治。然而在轉移途中，患者不幸身亡。此事件也被認為是首例因勒索攻擊導致人員死亡案例，德國警方也將案件性質調升為謀殺案。

9、富士康工廠遭勒索攻擊：上千臺伺服器被加密，索要3400萬美元贖金

2020年11月，位於墨西哥的富士康工廠遭到了“DoppelPaymer”勒索軟體的攻擊，導致1200臺伺服器被加密。據悉，攻擊者在對裝置進行加密前已竊取了100GB的未加密檔案（包括常規業務文件和報告），並刪除了20-30 TB的備份。隨後，攻擊者釋出了一個指向DoppelPaymer付款站點的連結，要求富士康支付1804.0955 比特幣作為贖金（約3486.6萬美元），否則將把盜取資料在暗網出售。

10、印度電商支付公司Paytm被勒索軟體攻擊，支付贖金仍被“撕票”

2020年12月，網路安全公司Cyble披露，印度電子商務支付系統和金融技術公司Paytm遭受了大規模的資料洩露，其電商網站Paytm Mall的中心資料庫被入侵，駭客在向Paytm Mall索要贖金的同時，並未停止在駭客論壇上出售其資料。駭客是透過兩個線上ID實施資料庫無限制訪問等攻擊行為的，並向Paytm Mall開出了高達4233美元的贖金。

（注：上述事件為按發生時間先後排序，不作為事件影響力大小說明）

02

持續“進化”革新

勒索病毒的“瘋狂”模式才剛剛開啟

眾所周知，勒索病毒實際上是一種透過劫持企業或個人資料檔案和系統以索要贖金的惡意軟體。其能透過電子郵件、遠端桌面協議（RDP）網站木馬、彈窗、可移動儲存介質等載體，實現對使用者檔案、資料庫、原始碼等資料資產的加密劫持，從而以此為條件向使用者索要贖金以換取解密密匙。

從最初的“愛滋病木馬”（或PC Cyborg）軟盤到2017年的WannaCry、NotPetya，勒索病毒攻擊表現出的變種繁多且難以查殺、傳染性極強且難以追蹤等特點，使其以“勢不可擋”之勢在全球範圍內“肆虐”。在2018年短暫“醉心”挖礦之後，受加密貨幣價值變化無常和企業級攻擊利益攀升的雙重影響，勒索軟體攜帶著日趨成熟的手段革新和愈發隱蔽、複雜的“進化”能力，在後疫情時代開啟了“重灌上陣”的瘋狂模式。

無論是從攻擊頻率、勢頭，還是在攻擊技術和策略的複雜程度，以及引發的成本損益，“瘋狂”模式下的勒索軟體較之以往都表現出了持續“進化”後的新特徵。企業及機構不得不認清一個事實：正如全球知名安全公司賽門鐵克（Symantec）在最新報告中提及的，2021年針對性勒索軟體仍是最大威脅。

從贖金換金鑰到資料盜取，雙重勒索漸成主流

特斯拉、波音、SpaceX供應商拒付贖金遭機密洩露、佳能勒索軟體攻擊者因未收到贖金公開洩露了2.2GB美國公司資料等事件的發生，都在指向勒索軟體攻擊策略的同一演進趨勢，即“雙重勒索”。

這一“業務創新”最早是由Maze勒索病毒團隊在2019年率先實施，至今已為Sodinokibi、Lockbit等勒索團隊所效仿。與傳統基本信守支付贖金即提供解密金鑰的策略不同，雙重勒索採取先竊取政企機構敏感資料，再對企業資產進行加密的攻擊路徑。如若相關政企機構一旦拒絕繳納贖金，攻擊者將以在暗網公開部分資料威脅實施進一步勒索。若失敗，則將直接公開所有竊取資料。

這一趨勢似乎是攻擊者對抗企業資料備份方案增多、避免勒索失敗而進行的策略“進化”。在數字化加速推進的當下，這無疑將迫使政企機構面臨更大的資料洩露壓力。換言之，被攻擊者不僅要面臨資料洩露帶來的經濟損失，還需要承受贖金支付後資料仍被公開的不確定性，以及相關資料洩露法規的處罰和聲譽影響。從暗網中持續增多的勒索攻擊資料洩露網站上看，雙重勒索正漸成為勒索軟體攻擊的新主流。

從個人到企業，目標精準的擴延“戰術”

安全公司Malwarebytes 2019《勒索軟體回顧》報告顯示，2019年，針對企業的勒索軟體攻擊數量首次超過了針對消費者的數量，且與2018年第二季度相比，2019第二季度同比增長了363％。換句話說，勒索軟體攻擊已由最初面向個人消費者的“廣撒網式”安全威脅，完成了向具有高度針對性和定向性的企業級安全威脅的演變。

據騰訊安全《2020上半年勒索病毒報告》分析，受企業級安全攻擊高回報率的誘惑，越來越多的活躍勒索病毒團伙將高價值大型政企機構作為重點打擊物件。勒索病毒產業鏈針對政企目標的精確打擊、不斷革新的加密技能、規模化的商業運作，正在世界範圍內持續產生嚴重危害。騰訊安全專家分析發現，日本汽車製造商本田集團在今年6月遭受到的SNAKE勒索團伙攻擊，就是勒索團隊精準定向攻擊演變趨勢的一大例證。簡言之，未來，政企機構將面臨比個人更為嚴峻的勒索病毒攻擊局勢。

與此同時，從2020年勒索攻擊事件輻射的範疇上看，當前勒索軟體攻擊顯然已跳出了瞄準醫療行業的侷限。費城天普大學研究團隊透過針對全球關鍵基礎設施的勒索軟體攻擊跟蹤發現，近兩年來，各行業遭受的勒索病毒攻擊頻次逐年上升。其中，僅2020年前8個月就有241起與關鍵基礎設施相關的勒索軟體攻擊事件，涉及科技、航運交通、金融、商業、教育、政務等各個行業領域及其遠端辦公、線上業務等場景。以航運業為例，法國達飛公司一週之內連遭兩次勒索攻擊事件，再次佐證了勒索軟體攻擊廣領域覆蓋的發展趨勢。

此外，工程師Hron在2019年6月透過修改韌體，成功將一臺智慧咖啡機改造成了勒索軟體機器等類似事件的發生，還對映出了勒索軟體攻擊的一大新發展方向。即伴隨著物聯網的普及應用，各類IoT裝置或將為駭客實施勒索攻擊提供新突破口和跳板。事實上，相關事實顯示，早在2017年，就出現了首個針對聯網裝置的勒索軟體攻擊報告：55個交通攝像頭感染了WannaCry勒索軟體。換言之，新技術的應用普及也將衍生出更多的攻擊變化。

贖金之外，持續攀升的攻擊損失

聯邦調查局（FBI）在RSA 2020會議上公佈的最新統計資料顯示，在過去6年中，勒索軟體受害者已向攻擊者支付了超過1.4億美元的贖金。很顯然，動輒成百上千萬級美元的贖金是勒索軟體攻擊帶來的最直接的損失。然而，伴隨著“雙重勒索”策略的常態化，在高額贖金帶來的巨大經濟損失之外，遭受攻擊的企業及機構還將面臨包括機會成本、產效降低、品牌和信譽損失、風險事故處理成本、內部士氣損害等方面的損耗挑戰。

一方面，勒索軟體的攻擊往往會造成政企機構的網路系統和資源陷入癱瘓、當機。而由此引發的業務中斷，勢必給政企機構的產能和生產效率帶來大幅削減、降低的影響。以丹麥航運公司馬士基遭受NotPetya 勒索軟體攻擊為例，因勒索攻擊暫時關閉了該公司的運營系統，導致其因運營中斷遭受到了高達 30 億美元的業務損失。

另一方面，隨著勒索攻擊加密效能、投毒方式、定向攻擊、商業合作等技術和策略上的升級，相關政企機構還需要面臨事故處理成本增加投入的問題。這一投入包括時間和人力上的雙重挑戰。McAfee最新調查報告《The Hidden Costs of Cybercrime》中支援，對於大多陣列織來說，勒索攻擊事件發生後，平均需要安排8個人，用時 19 個小時對IT系統或服務進行恢復補救。這顯然不僅增加了被攻擊方的風險處理成本，還或因外部援助和風險保險等方面需求的激增，衍生出新的成本增長點。

再者，從長遠來看，勒索軟體攻擊帶來的業務中斷通常會使使用者體驗受到不同程度的影響，從而導致使用者對企業及機構的品牌信任度和聲譽存有質疑，同時還在一定程度上將對企業員工計程車氣造成負面影響。而這無形中也將增加被攻擊企業或機構在品牌聲譽和內部企業文化上的額外投入。Veritas Technologies的最新調查研究顯示，44％的消費者表示會停止從遭受過勒索軟體攻擊的公司購買商品。

03

贖金換密正在失效

防患未然方為“上策”

“贖金到底該不該付？”一直以來都是業內在應對勒索軟體攻擊時備受爭議的問題。儘管在大多數企業機構看來，向勒索軟體攻擊團隊支付贖金的行為一定程度上是對攻擊行為的縱容，但仍有部分企業或機構基於資料價值和自我修復成本等的考慮，而選擇與勒索軟體攻擊者達成妥協交易。

然而，類似印度電商支付公司Paytm在駭客支付贖金的同時，其資料仍被駭客“撕票”等事件的發生，加之美國財政部外國資產控制辦公室(OFAC)“向勒索攻擊者支付贖金將面臨處罰”警告的釋出，都在表明：試圖透過支付贖金以換取解密金鑰的危機處理策略因不確定的攀升和政策處罰的雙重壓力，正在失效。正如騰訊安全專家所言，面對愈見覆雜的勒索軟體攻擊局勢，防患未然是身處數字化大潮下的企業都必須重點考量的關鍵。

• 從業務角度最佳化防範決策

結合企業場景風險需求特點，從勒索病毒攻擊即將對業務造成的損失量化出發，找準安全影響的重要節點，制定匹配業務連續性的安全決策，提升安全關鍵防禦部署的準確性。簡單來說，就是把每一分支出都花在“刀刃”上，獲取最佳防範效果和回報率；

• 加固日常風險運維管理體系

首先應深入強化應對勒索軟體攻擊的內外滲透測試，提升風險防禦機制靈活度和響應速度；其次，針對暴露於公網且預判易受攻擊的系統、伺服器和網路遠端連線，啟用高熵密碼（消滅弱密碼）和雙因素身份驗證（2FA），儘可能減少攻擊滲透的突破口。針對遠端連線場景，做好RDP協議防護，嚴格限制遠端訪問。對於存在弱口令的系統，需在加強使用者安全意識的前提下，督促其修改密碼，或者使用安全策略來強制各節點使用複雜密碼，避免遭遇弱口令爆破攻擊。在一些關鍵服務上，加強口令強度，並使用加密傳輸方式；

而在內網，則須確保補丁更新的及時性，可考慮在網路邊界、路由器、防火牆上設定嚴格的訪問控制策略，並在全網安裝專業的終端安全管理軟體，由管理員批次防毒和安裝補丁，後續定期更新各類系統高危補丁。以保證網路的動態安全。並對資料庫的管理訪問節點地址進行嚴格限制，只允許特定管理主機IP進行遠端登入資料庫。

此外，業內專家還認為或可透過零信任安全的實踐，透過其最小特權訪問、微分離、持續驗證、多因子身份認證以及異常行為識別的全面功能，實現對勒索軟體攻擊的阻斷。

• 最佳化威脅態勢監控機制

網路管理員、系統管理員、安全管理員應持續關注並掌握最新安全資訊、安全動態及最新的嚴重漏洞，並將其結論成果轉化至攻與防的迴圈和伴隨每個主流作業系統、應用服務的生命週期中。與此同時，部署流量監控/阻斷類裝置/軟體，便於事前發現、事中阻斷和事後回溯。同時，與供應鏈夥伴形成資訊共享互通，最大限度地掌握風險動態，達到提升威脅預警能力的目的。

• 提高員工安全意識

定期進行安全培訓，以確保員工可以發現並避免潛在的網路釣魚電子郵件。在騰訊安全專家看來，日常安全管理可遵循“三不三要”思路，即不上鉤（標題吸引人的未知郵件不要點開）、不開啟（不隨便開啟電子郵件附件）、不點選（不隨意點選電子郵件中附帶網址）、要備份（重要資料要備份）、要確認（開啟電子郵件前確認發件人可信）、要更新（系統補丁/安全軟體病毒庫保持實時更新）。

• 強化安全災備預案策略

資料備份被認為是當前企業機構防禦勒索軟體攻擊的有效做法之一。因此，企業應當定期備份IT和OT網路系統相關資料，以便在發生災難性故障時，能夠及時恢復。對此，騰訊安全建議可按資料備份321原則進行安全災備，即至少準備三份備份、兩種不同備份介質和一份異地備份。

知名投資諮詢公司 Cybersecurity Ventures預計，2021年企業每11秒將遭受一次勒索攻擊。可以預見，數字經濟新週期下，巨大的企業級利益正在誘發更為猖獗的勒索軟體攻擊。可以說，身處在產業數字化大潮中的每一個企業或機構都可能成為勒索軟體的下一個攻擊目標。做好前置安全部署以防患未然，顯然是各企業與機構面對新威脅局勢的重要計劃。

附錄：2020勒索病毒事件盤點

1. 1月，德國腳踏車廠商Canyon 內部檔案遭勒索加密，訂單下達與交付被迫延遲

2. 1月，美國大型國防承包商遭勒索軟體攻擊，截止3月仍未完全復工

3. 2月，荷蘭馬斯特裡赫特大學被勒索加密一週後，被迫妥協向駭客支付24萬美元

4. 2月，美國某天然氣運營商遭勒索攻擊被迫關閉兩天

5. 2月，美國警方遭勒索軟體攻擊，多起案件關鍵證據丟失，導致至少六名毒犯獲自由

6. 2月，財富500強公司EMCOR遭Ryuk勒索，造成業務停頓

7. 3月，美國馬薩諸塞州電力公司RMLD遭勒索攻擊，近7萬居民電費支付受影響

8. 3月，特斯拉、波音、SpaceX供應商Visser Precision拒付勒索軟體DoppelPaymer贖金遭機密洩露

9. 4月，義大利電子郵件服務商Email.it遭駭客入侵，60萬使用者資料被掛暗網

10. 4月和10月，歐洲能源巨頭遭勒索，分別被索要1000萬歐元和1400萬美元贖金

11. 4月，線上博彩公司SBTech將投入3000萬美元應對勒索軟體攻擊

12. 5月，國際鐵路車輛製造商Stadler遭勒索攻擊，全集團皆受影響

13. 5月，臺灣兩大煉油廠陷（CPC和FPCC）勒索軟體攻擊帶來的加油站混亂

14. 6月，美國核武器承包商Westech International遭Maze雙重勒索攻擊，大量敏感資料被竊取洩露

15. 6月，NASA IT服務供應商Digital Management Inc.(DMI)遭勒索軟體攻擊，相關基礎設施被攻陷

16. 6月，日本汽車製造商本田全球網路遭勒索攻擊，工廠被迫關閉兩天生產

17. 6月，美國佛羅倫薩市被勒索軟體感染後，支付30萬美元勒索贖金，以確保資料不被駭客洩露

18. 7月，韓國LG集團疑被勒索軟體攻擊，75GB內部資料和40GB Python程式碼或洩露

19. 7月，晶圓代工龍頭X－FAB遭Maze勒索軟體攻擊，工廠停工波及中國

20. 7月，雲服務商Blackbaud被曝遭勒索軟體攻擊，已支付贖金

21. 7月，阿根廷電信1.8萬臺計算機感染勒索軟體，駭客要價750萬美元

22. 7月，佳明遭勒索軟體重創：業務癱瘓產線停運，被勒索千萬美元贖金

23. 7月，快閃記憶體巨頭SK Hynix遭Maze勒索軟體攻擊，不少於1.1TB資料被盜

24. 8月，全球最大郵輪運營商嘉年華公司遭遇勒索軟體攻擊，部分系統被加密

25. 8月，美國酒業巨頭百富門遭Sodinokibi勒索軟體竊取超1TB資料

26. 8月，著名數碼攝像機廠商佳能(Canon)遭到Maze勒索軟體攻擊，2.2GB資料慘遭“撕票”

27. 9月，企業旅行社巨頭CWT遭受Ragnar Locker勒索軟體攻擊，影響亞馬遜、波士頓科學、Facebook、強生、SONOCO、雅詩蘭黛等知名公司，或已支付450萬美元贖金

28. 9月，首個國家機構被勒索？阿根廷移民局遭遇攻擊中斷服務4小時，直接導致邊境入出境事務陷入癱瘓，或成首個被勒索的國家機構

29. 9月，智利銀行遭到Evil (Sodinokibi)勒索軟體攻擊，導致所有分行被迫關閉

30. 9月，資料中心巨頭Equinix遭遇勒索攻擊，被要求支付450萬美元贖金解密

31. 9月，全球首現勒索軟體致死事故，德國杜塞爾多夫大學醫院系統癱瘓導致搶救延誤

32. 10月，勒索軟體攻擊襲擊了醫療軟體公司eResearchTechnology（ERT），造成包括施貴寶、阿斯利康、輝瑞和強生等公司的新冠疫苗臨床測試被勒索軟體延誤

33. 10月，德國科技巨頭Software AG遭勒索攻擊，解密贖金2000萬美元，創歷史新高

34. 10月，看門狗即將釋出的遊戲大作被勒索軟體竊取原始碼

35. 11月，臺灣膝上型電腦製造商仁寶遭勒索攻擊，，贖金高達1670萬美元，或影響短期生產

36. 11月，丹麥最大新聞機構遭勒索攻擊，近三成伺服器被加密

37. 12月，勒索軟體攻擊導致溫哥華公交系統癱瘓兩天時間

38. 12月，全球第三大飛機制造商Embraer遭勒索攻擊，內部資料洩露

39. 12月，富士康工廠遭勒索攻擊：上千臺伺服器被加密，索要3400萬美元贖金

40. 12月，印度電商支付公司Paytm被勒索軟體攻擊，支付贖金仍被“撕票”

（以上僅為據媒體報導整理的重要盤點）