勒索攻擊為什麼成為了黑產“財富密碼”？

2021年剛剛過半，勒索病毒的爆發量已超過去年全年總和。7月19日，厄瓜多最大的國營電信公司被勒索，導致運營出現大面積故障，勒索病毒再次出現在公眾面前。就連最近備受關注的日本東京奧運會，其奧委會稱在去年4月的時候也曾遭網路攻擊，導致無法訪問。

勒索病毒的危害已不言而喻，但為何企業機構仍然頻頻中招，難以防範？

我們邀請到騰訊安全玄武實驗室負責人於暘、騰訊安全反病毒實驗室負責人馬勁松、翼盾（上海）智慧科技有限公司及上海第五空間資訊科技研究院創始人朱易翔三位資深安全專家，從勒索病毒的攻擊偏好、攻擊手段、趨勢變化、攻擊誤區及解決方案5個緯度解讀勒索病毒的攻防之道。

勒索病毒有攻擊偏好嗎？

Q：最近厄瓜多等的運營商企業遭到攻擊，去年法國運營商也遭遇過勒索攻擊，是否意味著勒索病毒在選擇攻擊物件的時候偏好運營商？對比5月份美國燃油管道公司被勒索的事件，此次攻擊有什麼不同？

馬勁松：勒索病毒的攻擊物件確實是有一定針對性的，犯罪分子會更傾向於選擇本身資訊化程度較高，對計算機系統，網路的依賴度較高的大中型企業下手。而這些企業一旦被勒索病毒攻擊得逞以後，造成的影響也會非常大。

朱易翔：勒索病毒確實偏愛基礎設施類的企業或組織，具體特徵包括：一、一般這類企業對資訊化的依賴程度比較高；二、一旦出現問題，影響面會比較大，影響程度也較深；三、（攻擊者認為這樣的組織）支付能力強；四、（攻擊者認為這樣的組織）網路安全能力，尤其是追溯能力相對偏弱。

於暘：美國燃油管道被勒索事件和此次攻擊相比，首先，從目標看這兩者都是為了錢。其次，在操作細節上有分別，主要體現在根據被攻擊目標本身的IT資產的情況不同，攻擊者採取的攻擊方式也不同。但歸根到底，在操作路線，操作思路上都是一致的。

勒索病毒的攻擊手段

Q：勒索軟體的攻擊越來越多，從技術角度來看是什麼原因？企業被攻擊之後，能夠破解的機率有多高？ 

於暘：以前的網路犯罪，套現是很複雜的，而且成功率也不高。早些年的安全事件，主流是偷資料然後販賣，類似偷了東西銷贓。但資料有其特殊性，一方面對特定資料感興趣的買家可能非常少，其次是有需求的買家，犯罪的意願可能非常低。所以這個模式對於犯罪分子來說不是特別理想。

而勒索病毒，其實很多年前就有人嘗試，但是那時只能透過銀行轉賬，所以很容易透過線索被抓住。現在網路犯罪者發現了加密貨幣，它的匿名性和難以追溯性與網路攻擊和勒索結合起來之後，形成了一個完美的網路犯罪模式。他們意識到這一點之後，就開始紛紛投身於這個模式。

馬勁松：一旦被勒索病毒擊中，破解的難度會非常高。因為勒索病毒使用的加密演算法，秘鑰長度非常長，很難反向破解，在一些報導中，也有破解勒索病毒的案例，主要包括兩種情況：一、極個別勒索病毒的作者出於各種各樣的原因，洩露了資料；二、在勒索病毒的威脅過程中，有些漏洞可以被利用，讓破解的難度降低，但這種情況越來越少。

整個勒索病毒的演進已經非常標準化，甚至專業化，有成套完整的程式碼可以參考。所以靠勒索病毒本身的漏洞進行破解的可能性也越來越低了。

勒索病毒的趨勢變化

Q：現在勒索攻擊在逐漸的APT化嗎？

於暘：是的，最初，勒索病毒就是攻擊者給惡意軟體加入勒索功能，放出去基本上就完成了操作，接下來勒索病毒就會像傳統病毒一樣去造成危害，比如大家非常熟悉的WannaCry。最初這一招確實收割了不少目標，但這種模式的問題是——它依賴破壞力很大的漏洞。因此逐漸演變成了現在的方式——取消病毒的自動攻擊模式，採用傳統網路入侵的思路，即有針對性的手動操作，在入侵完成之後再植入病毒進行勒索。嚴謹地說，勒索攻擊從幾年前的病毒模式轉向了今天的APT模式。

Q：之前受勒索病毒攻擊影響的主要是Windows系統，但現在macOS、安卓等其他系統上也陸續出現了，這方面有沒有需要額外注意的事項？

朱易翔：從發展趨勢來說是肯定的，不光這些，還出現了針對移動環境的勒索攻擊。只要有利可圖，犯罪分子都不會放過，關於防護，總體思想和策略是一致的，無非是具體環境或者系統有所區別而已。

關於勒索攻擊的誤區

Q：在病毒防禦方面，目前還存在哪些誤區？為什麼很多雄厚財力的企業或者機構會頻頻受到勒索病毒的攻擊？

馬勁松：站在攻擊者的角度看，勒索攻擊是有明確的目的性和利益驅動的，他們會用一切辦法來達到目的，所以不會輕易地停手。

從被攻擊者角度看，隨著資訊化建設程式的發展，網站、郵件、社交網路……都會大大增加被攻擊者的暴露面、攻擊面，防守方的系統必然變得越來越複雜，這就從另一個方面增加了被攻擊可能性，以及被攻擊後的影響。

至於誤區，很多企業的第一個誤區是“銀彈思想”，也是很多企業目前最大的問題，他們認為存在一種辦法或系統，能徹底解決安全問題，但這實際上不存在。因為安全問題永遠是一個動態演進的過程，它需要持續的投入、運營、升級和關注，不可能有一勞永逸的手段。

第二個誤區是企業認為買了防毒軟體，買了邊界防護裝置，請了一些安全人員就沒問題了，但並非如此。對員工的培訓，對日常行為不斷的管理都是很重要的。目前看，現在企事業單位中，這種軟性的工作相對薄弱。

第三個誤區是很多企業把勒索病毒或網路安全定義為IT技術層面的問題，但其實它更大程度上是安全生產運營方面的問題。

於暘：首先，勒索攻擊已經進入了人工入侵和病毒勒索結合的時代，這是一個非常複雜、非常高階、難以防禦的高階入侵狀態，需要相應的高階防禦才能抗衡。

其次，很多企業或者機構在防禦上不夠，攻防不是靜態的，而是一個動態、不斷波動、進化的，每個月都有新的攻擊技術，新的漏洞。

朱易翔：攻防雙方是不對稱的。一是時間上的不對稱，防，要無時無刻地做好；攻，任何時間點上都可以。二是防禦攻擊面的不對稱，防要密不透風，算無遺策；而攻往往只需要找到一個精確的打擊點。

關於勒索病毒的解決方案

Q：企業應該怎樣降低被勒索病毒綁架的風險？

馬勁松：首先，對於重要的資料、關鍵資料及時的備份。其次，在資訊化日常建設當中，要非常重視對漏洞的管理和補丁的及時更新。第三，要重視從業人員的安全教育和安全素養的培訓，如可疑郵件、可疑連結，可疑優盤等情況的處理判斷，是非常長期而細緻的工作。 

於暘：第一，從技術上，需要有一些認知的更新，在大量遠端辦公導致企業安全邊界已經模糊的今天，不能只侷限於防禦外部威脅，做邊界防禦，更要在企業內部做好如零信任、內網密罐、SOC之類安全措施。第二，要警惕另一種勒索，攻擊者不是單純的加密你的資料，而是威脅進行資料公開。

朱易翔：一般建議做好從0到123——0是指常規的隔離、加固、監控、響應等基本功一定要做好；1是指要部署至少一款惡意程式碼的防護軟體系統；2是指建議至少對重要資料和檔案保留兩個離線的備份副本；3是指建議對重要資料和檔案進行三種以上形式的儲存，也包括對重要資料的加密儲存，加密可以從一定程度上防範“威脅公開隱私和保密檔案”形式的勒索。

Q：零信任能夠徹底解決勒索病毒嗎？ 

於暘：零信任是一個相對較新的防守武器，但它和其他武器一樣，都不是萬能的。零信任可以解決我們之前防禦思想裡面的一些盲區，彌補之前防禦體系的一些縫隙。但是它也只是一種技術，根本上還是要和整個安全體系，包括技術更新、管理強化的一系列措施結合在一起才能發揮作用。

Q：業務上雲階段，在面對勒索軟體或其他攻擊時有沒有比較好的防範措施或者解決方案？

馬勁松：業務上雲，是一個比較好的手段。業務上雲後，能更好的集中管控，結合騰訊安全多年積累的能力，能第一時間發現包括勒索病毒在內的各種攻擊，保護客戶資料安全。另外，可以方便地進行資料備份、加密，進一步保護客戶資料。

朱易翔：近兩年上雲的企業使用者比較多，我們已經見到有些雲廠商基於雲環境實現了基於磁碟塊掃描和變化量複製的資料備份以及災備技術，傳輸資料少，佔用頻寬小，但可以較好地實現異地的磁碟多份快照和映象。這種技術恢復資料非常快，可以應對多種災備場景，同樣也可以較好地對應目前主流的勒索攻擊。