勒索病毒作為目前最具有破壞力的惡意軟體之一，在2021年達到爆發高峰，據深信服雲端監測，全網勒索攻擊總次數高達2234萬+，影響面從企業業務到關鍵基礎設施，從業務資料安全到國家安全與社會穩定。同時，隨著Apache Log4j2漏洞等全球網路安全事件頻頻出圈，網路攻擊的強度和破壞性都前所未有。

網路安全不再只是計算機行業的“獨角戲”，已然在無形中影響著每一個人的生活。為保障關鍵基礎設施安全，多國嚴打網路犯罪，勒索病毒攻擊會消失嗎？答案顯然是否定的。

深信服千里目實驗室終端安全團隊通過線上統計、案例跟蹤、輿情監控等多維度的追蹤手段，持續分析全球勒索攻擊技術及發展，為大家呈現2021年勒索病毒攻擊態勢全貌。

看2021勒索病毒攻擊“廬山真面目”

勒索病毒感染行業：

數字化轉型驅動，目標轉移製造業/地產/餐飲等

根據2021年勒索病毒全網行業感染資料，企業、科研教育、政府、金融、醫療等行業感染延續了以往的高佔比。

在2021年勒索攻擊諮詢行業資料中，除企業、醫療、科技、教育、金融等行業仍然是主要受害者外，製造業、能源、地產、餐飲也逐漸成為勒索病毒攻擊目標。

深信服終端安全團隊分析，隨著後疫情時代的發展，各行各業都難以避免數字化轉型趨勢，通過自動化和智慧化提升業務和服務，為公眾帶來便利；但與此同時，資料和系統所面臨的安全問題也逐漸暴露出來。

數字化轉型驅動下，傳統行業的響應需求逐步呈上升趨勢，而勒索病毒攻擊僅僅是數字化轉型安全挑戰的一個開始。

勒索病毒感染地域：

中部地區逐漸成為攻擊新靶

從感染地域分佈來看，廣東、浙江、江蘇等沿海和貿易較為發達的地區受勒索攻擊最為嚴重。值得關注的是，山西、安徽等中部地區感染量在今年也呈現增長趨勢，可見勒索攻擊的目標地區正逐漸發生轉移。

勒索病毒活躍家族：

攻擊次數再創新高，排名變化大

2021年，全網勒索攻擊總次數達2234萬+，再創新高。據深信服安全雲腦監測資料統計，WannaCry仍然依靠“永恆之藍”漏洞（MS17-010）佔據勒索病毒感染量榜首。其次，Crypton、Sodinokibi（REvil）、Crowti、Lucky等常見勒索病毒家族的感染量不相上下，相較於2020年，可以看出，勒索病毒家族排名完全進行了一輪大洗牌。

2021年勒索病毒家族TOP 4 

各國嚴打勒索攻擊，“野火”依舊燒不盡

從勒索病毒家族TOP4看出，2021年勒索團伙格局分佈經歷了翻天覆地的變化。這得益於各國政府打擊勒索團伙的政策，很多老牌主流勒索團伙紛紛倒臺。

國內重要政策

海外重要政策和舉措

但遺憾的是，勒索病毒攻擊事件並沒有就此減少，新型勒索病毒不斷冒頭，老牌勒索團伙宣稱退出運營只是為了暫避風頭，改名換姓後重出江湖。

據深信服安全專家接到的勒索攻擊諮詢情況來看，2021 年全年勒索病毒活動數量仍然持續高走，勒索攻擊諮詢資料中，勒索病毒家族種類增加了約 80%。

安全攻防是一場沒有盡頭的戰爭，而勒索病毒攻擊則是戰場上燒不盡的“野火”。

勒索病毒攻擊演變趨勢，須“窺一斑而知全豹”

在《2021上半年勒索病毒趨勢報告》中，深信服安全專家提到了勒索病毒攻擊的“三大演變趨勢”，從勒索方式、攻擊方式以及目標平臺三個方面總結了勒索病毒近年來的演變特點，詳情點選連結檢視：《深信服「2021上半年勒索病毒趨勢報告」：一場全球爆發“流行病”需要這份“防疫藥方”》

除了整體的大演變趨勢外，勒索團伙也時刻跟進熱點、注重創新，無論是在攻擊階段，還是在執行勒索加密階段，都融合了一些新的技術手段，在2021年出現了四個小演變趨勢。

Apache Log4j2 “核彈級”漏洞加持

深信服安全雲腦資料顯示，截至2021年底，利用該漏洞的攻擊已超千萬次，深信服成功幫助6000多家使用者阻斷非法入侵，並捕獲Tellmeyoupass、Mirai、z0miner、H2miner、BillGates等十幾個黑產組織。

從“永恆之藍”到Apache Log4j2元件漏洞可以看出，勒索團伙對新型漏洞的捕捉非常迅速，但其感染資料反映了當前仍存在大量主機沒有針對常見高危漏洞進行合理加固的現象。由此針對Apache Log4j2漏洞，不得不引起高度重視，詳見深信服往期分析：《再曝3個高危漏洞！Apache Log4j 漏洞1個月回顧：警惕關鍵資訊基礎設施安全》

瀏覽器漏洞陷阱

從2021年11月開始，深信服終端安全專家監測到一款名為Magniber的勒索病毒，該攻擊團伙通過網頁掛馬、惡意廣告等方式，讓使用者在不知不覺中訪問了帶攻擊程式碼的惡意連結，觸發瀏覽器漏洞後自動下載執行勒索病毒。該團伙目前主要利用到的漏洞有CVE-2021-26411與CVE-2021-40444，執行遠端命令下載惡意DLL再注入白程式進行加密。

“白+黑”繞過檢測

在2021年的勒索病毒跟蹤中，深信服終端安全專家發現了2種“白+黑”利用方式，一種是常見的DLL注入，而另一種則是直接利用微軟的編譯程式直接編譯執行加密程式碼，例如aspnet_compiler.exe。

攻擊者釋放惡意程式碼目錄下的aspnet_compiler.exe

MSSQL暴力破解入侵

在2021年的勒索病毒攻擊事件攻擊中，深信服安全團隊跟蹤發現，GlobeImposter勒索病毒已經利用MSSQL暴力破解進行入侵攻擊，暴力破解成功後，通過儲存過程執行系統命令，使用cmd命令或powershell命令下載病毒執行勒索病毒。由於MSSQL服務所關聯的業務通常較為重要，一旦入侵成功，攻擊者可以選擇投放後門程式進一步人工滲透，也可以直接通過自動化的執行命令下載執行勒索軟體。

圖片來源於深信服EDR檢測日誌

深信服提醒：科學“抗病毒”，預防姿勢分兩步

勿以“勒索”為小事，積小疾而成大患。

要想科學“抗病毒”，預防姿勢分兩步。

STEP 1：免費享受勒索風險排查

針對使用者擔憂業務安全、想了解業務現存風險的情況，深信服特推出“免費勒索風險排查”。從“高危可利用漏洞”、“高危埠”、“攻擊行為”、“安全裝置行為”的不同維度，安全專家將幫助使用者深入排查勒索利用的脆弱項，提前預知入侵風險，同時免費送上專家級安全加固方案，更有詳細操作指引。報名成功後，0.5天即可部署上線，3天內即可完成圍繞勒索病毒入侵全流程的風險排查。

STEP 2：貼心制定“健康方案”

深信服全新升級的勒索病毒防護解決方案，以“安全裝置+勒索預防與響應服務”為基礎，圍繞邊界投毒+病毒感染+加密勒索+橫向傳播的完整勒索攻擊鏈，全面幫助使用者補齊在勒索預防、監測、處置能力方面的缺失，構建有效預防、持續監測、高效處置的勒索病毒防護體系。

3大優勢，強力對抗勒索病毒

1. 7*24 小時持續監測，微信告警推送全程保護

本地勒索病毒攻擊、感染、傳播等全攻擊鏈檢測機制，雲端安全專家7*24小時勒索病毒監測預警體系，勒索威脅微信告警推送，全程保障使用者業務安全。

2. 5 分鐘快速響應，多裝置聯動高效處置

服務專家線上 5 分鐘響應，多款安全裝置聯動快速隔離遏制勒索病毒。線上線下協助使用者精準溯源排查，徹底根除勒索病毒，高效處置全面降低使用者損失。

3. 專項檢測、專家定期全面排查，有效預防

專項的勒索預防 Checklist，服務專家定期開展勒索風險排查，確保勒索風險全面可視。安全裝置內建勒索病毒對抗專項配置及加固，勒索病毒防禦更有效。

掃碼免費體驗勒索風險排查

可獲取2021勒索病毒態勢報告