“勒索軟體”，又一次在惡意軟體攻擊中站穩了"C位"。

來自Positive Technologies公司最新發布的一份調查報告中一個令人不安的發現，勒索軟體攻擊數量在2021年第二季度再創新高，目前佔所有涉及惡意軟體攻擊的69%。研究還表明，針對政府機構的勒索軟體攻擊數量也從2021年第一季度的12%飆升至第二季度的20%。

日益猖獗的勒索軟體

資訊科技加速發展的今天，勒索軟體似乎總能找到網路安全防護的空子，給各組織機構帶來重創。盤點2021上半年，勒索軟體攻擊愈發頻繁，引發了多起重大安全事件。

3月，計算機巨頭宏碁（Acer）受到勒索軟體REvil攻擊，被勒索5000萬美元贖金；5月，美國最大燃油運輸管道商Colonial Pipeline（科洛尼爾管道運輸公司）遭受勒索軟體攻擊，導致美國東海岸燃油供應因此受到嚴重影響，迫使美國宣佈進入國家緊急狀態。同時還有，安盛保險公司遭遇Avaddon勒索軟體攻擊，3TB敏感資料被竊；日本東芝公司法國分公司遭受DarkSide勒索軟體攻擊，740G機密資訊和個人資料被職業勒索組織竊取等等......

勒索軟體宛若成為全球企業組織的噩夢，深恐被其惦記糾纏。而被勒索的企業組織，往往就只有兩條路：要麼乖乖交錢，息事寧人；要麼拒絕到底，卻難以善終。

追根揭底，勒索軟體就是駭客用來劫持使用者資產或資源實施勒索的一種惡意程式。駭客利用勒索軟體，透過加密使用者資料、更改配置等方式，使使用者資產或資源無法正常使用，並以此為條件要求使用者支付費用以獲得解密密碼或者恢復系統正常執行。其主要的勒索形式就是檔案加密、系統鎖定、資料洩露、鎖屏等等，通常以釣魚郵件、網頁掛馬、遠端登入入侵、供應鏈傳播等方式進行傳播。這麼看似乎很容易理解，但在現實應對時卻往往難上加難。

進階的勒索軟體攻擊

現如今，對那些網路安全存在薄弱環節、防護意識跟不上節奏、人為操作易違規失誤的，被勒索組織當做“香餑餑”的企業組織，越來越多的不法分子開始使用“雙重勒索”策略進行攻擊，完全不講究“武德”。

“雙重勒索”，即不法分子在加密企業檔案的同時，還竊取被勒索公司的資料並進行備份，如果企業不交錢，他們就威脅曝光或售賣資料。資料被加密尚可以透過備份恢復，可一旦機密資料洩露，企業不僅品牌聲譽大損，還要承擔法律責任，還可能要賠償客戶遠高於贖金的損失。

隨著勒索軟體背後的網路犯罪團伙依靠不當資金大肆發展，不斷創造新變種，“改良”勒索方式。勒索軟體即服務（RaaS）的服務已然在勒索行業內興盛起來，形成了又一種商業模式。犯罪團伙透過在非法市場提供能夠訪問其他公司內部網路的許可權，降低勒索的技術門檻，讓更多不法分子嘗試入侵勒索企業組織，然後從中分得利益，還分攤了犯罪活動的風險，一舉多得。

面對這樣猖獗的勒索軟體，企業組織究竟應當做些什麼？

勒索軟體防範措施

常規的勒索軟體防禦措施包括有：

1.資產盤點。企業儘快建立對業務運營至關重要的資料資產的完整清單，儲存資產清單的系統應嚴格控制；

2.端點防護。由於許多勒索軟體感染都是從受感染的工作站開始的，因此使用端點反惡意軟體非常重要。從瀏覽器中刪除不需要的外掛和擴充套件，保持軟體為最新並確保員工帳戶具有有限的特權也至關重要；

3.安全加固。企業應透過執行內部和外部滲透測試並確定暴露於網際網路的任何潛在易受攻擊的系統、伺服器和網路遠端連線（例如VPN或RDP），啟用高熵密碼（消滅弱密碼）和雙因素身份驗證（2FA）。

國家網際網路應急中心（CNCERT）近期釋出的《勒索軟體防範指南》也提出了九要、四不要：

“九要”

1、要做好資產梳理與分級分類管理。清點和梳理組織內的資訊系統和應用程式，建立完整的資產清單；梳理通訊資料在不同資訊系統或裝置間的流動方向，摸清攻擊者橫向移動可能路徑；識別內部系統與外部第三方系統間的連線關係，尤其是與合作伙伴共享控制的區域，降低勒索軟體從第三方系統進入的風險；對資訊系統、資料進行分級分類，識別關鍵業務和關鍵系統，識別關鍵業務和關鍵系統間的依賴關係，確定應急響應的優先順序。

2、要備份重要資料和系統。重要的檔案、資料和業務系統要定期進行備份，並採取隔離措施，嚴格限制對備份裝置和備份資料的訪問許可權，防止勒索軟體橫移對備份資料進行加密。

3、要設定複雜密碼並保密。使用高強度且無規律的登入密碼，要求包括數字、大小寫字母、符號，且長度至少為8位的密碼，並經常更換密碼；對於同一區域網內的裝置杜絕使用同一密碼，杜絕密碼與裝置資訊（例如IP、裝置名）具有強關聯性。

4、要定期安全風險評估。定期開展風險評估與滲透測試，識別並記錄資產脆弱性，確定資訊系統攻擊面，及時修復系統存在的安全漏洞。

5、要常防毒、關埠。安裝防毒軟體並定期更新病毒庫，定期全盤防毒；關閉不必要的服務和埠，包括不必要的遠端訪問服務（3389埠、22埠），以及不必要的135、139、445等區域網共享埠等。

6、要做好身份驗證和許可權管理。加強訪問憑證頒發、管理、驗證、撤銷和審計，防止勒索軟體非法獲取和使用訪問憑證，建議使用雙因子身份認證；細化許可權管理，遵守最小特權原則和職責分離原則，合理配置訪問許可權和授權，儘量使用標準使用者而非管理員許可權使用者。

7、要嚴格訪問控制策略。加強網路隔離，使用網路分段、網路劃分等技術實現不同資訊裝置間的網路隔離，禁止或限制網路內機器之間不必要的訪問通道；嚴格遠端訪問管理，限制對重要資料或系統的訪問，如無必要關閉所有遠端管理埠，若必須開放遠端管理埠，使用白名單策略結合防火牆、身份驗證、行為審計等訪問控制技術細化訪問授權範圍，定期梳理訪問控制策略。

8、要提高人員安全意識。為組織內人員和合作夥伴提供網路安全意識教育;教育開發人員開發和測試環境要與生產環境分開，防止勒索軟體從開發和測試系統傳播到生產系統。

9、要制定應急響應預案。針對重要資訊系統，制定勒索軟體應急響應預案，明確應急人員與職責，制定資訊系統應急和恢復方案，並定期開展演練；制定事件響應流程，必要時請專業安全公司協助，分析清楚攻擊入侵途徑，並及時加固堵塞漏洞。

“四不要”

1、不要點選來源不明郵件。勒索軟體攻擊者常常利用受害者關注的熱點問題傳送釣魚郵件，甚至還會利用攻陷的受害者單位組織或熟人郵箱傳送釣魚郵件，不要點選此類郵件正文中的連結或附件內容。如果收到了單位組織內或熟人的可疑郵件，可直接撥打電話向其核實。

2、不要開啟來源不可靠網站。不瀏覽色情、賭博等不良資訊網站，此類網站經常被勒索軟體攻擊者發起掛馬、釣魚等攻擊。

3、不要安裝來源不明軟體。不要從不明網站下載安裝軟體，不要安裝陌生人傳送的軟體，警惕勒索軟體偽裝為正常軟體的更新升級。

4、不要插拔來歷不明的儲存介質。不要隨意將來歷不明的隨身碟、行動硬碟、快閃記憶體卡等移動儲存裝置插入機器。

在此之外，企業組織還需要有更專業的安全分析人員對企業中潛在的威脅活動進行分析，及時發現企業中存在的潛在威脅，中斷後面被勒索攻擊的風險。現在的駭客組織一般在進入企業之後，會在企業潛伏數天，數週，數月或更長時間，誰能在這個期間更早的發現企業中存在的潛在安全威脅，誰才能有效的阻止企業被駭客進行勒索病毒攻擊的可能。

此時，可以安裝部署聚銘網路流量智慧分析審計系統，提高勒索軟體攻擊的安全風險預警能力。

聚銘網路流量智慧分析審計系統（簡稱：iNFA）是以全流量還原為基礎，結合失陷分析、網路攻擊檢測、威脅情報分析、異常流量行為挖掘、檔案檢測、網路質量檢測等技術，可對網路流量實時進行威脅感知、可疑流量分析，為使用者在面對高階威脅入侵時，及時察覺，及時止損。

系統內建多種網路攻擊檢測策略，支援對一般網路攻擊、明文傳輸、過期系統或軟體、木馬檢測、隱蔽通道、電子加密貨幣活動、勒索軟體進行檢測，支援檢測的型別可達數十種。

【勒索軟體檢測】

系統支援對各類勒索軟體進行檢測，包括其登入行為、橫向擴散行為等，檢測的型別包括但不限於永恆之藍、GandCrab、Satan 等。

目前，聚銘網路流量智慧分析審計系統已廣泛應用於電信、能源、醫療、教育、金融等多個行業，並獲得了客戶的認可與肯定。歡迎廣大行業客戶和安全機構前來了解諮詢~