安全419盘点 | 2022年Q2勒索软件攻击形势与应对建议

有安全专家在接受安全419采访时就指出，勒索软件攻击将是信息世界长期存在的威胁。根据Resecurity发布的报告预测，到2031年，全球勒索软件勒索活动将达到2650亿美元，对全球企业造成的总损失将达到10.5万亿美元。这些指标表明勒索软件造成的费用损失将超过自然灾害。

此前我们回顾了2022年第一季度勒索攻击事件，站在的是三大勒索组织视角，时至今日，我们仍对总能登上安全头条的Lapsus$勒索组织所犯的案件印象深刻。今天我们将转换一种视角，对第二季度全球勒索攻击形势做出一定的梳理，最后我们也会给出系统性的防范应对建议。

为了躲避检测，勒索软件通常要不断变种升级，第二季度经安全机构、媒体公开报道的变种、升级的事件多到惊人，甚至无法一一陈列。这也表明对抗正在升级。还有迹象显示，多款勒索软件正在转向Rust编程语言，作为一种专注安全的编辑语言，这会将病毒程序的逆向分析工作变得复杂。Rust还有一个优势，那就是高效。

当然安全机构也会不断地升级安全软件的检测能力，这也将是一种长期存在的善与恶之间的持续对抗。

LockBit勒索软件组织在6月份已经完成了升级， LockBit 3.0持续优化阻碍安全软件检测能力，同时他们还提出了首个勒索软件的“赏金计划”，如果有人能够发现该勒索软件的脆弱性、漏洞问题，就可能获得甚至高达百万美元的奖励。当然如果真有人想拿这笔赏金，起码在我国则会触犯相关法律。

有研究表明，勒索软件本身的漏洞确实存在。第二季度，对几款流行的勒索软件的一项研究发现，他们本身均带有一定的安全问题，从而有利于阻止攻击的最后和最具破坏性的步骤，即文件加密。安全研究人员指出并演示了病毒样本容易受到的DLL劫持攻击，在真实对抗场景中，则可以将DLL 放置在“重要位置”，一旦加载了漏洞利用DLL，勒索软件进程将会在开始数据加密操作之前被终止。

韩国网络安全机构KISA最近还发布了一个免费的勒索软件加密解密器，适用于Hive勒索软件v1到v4版本。与加密器一同发布的还包括一份用户操作手册，其中提供了免费恢复加密数据的分步说明。Hive是全世界范围内活跃的勒索软件之一，据报道指出，解密器能力来自研究人员发现Hive勒索软件加密算法中的一个缺陷。第二季度免费解密器不仅这一例，需要知道的是，免费解密器只在一定的时间段内起作用。

此前，关于勒索软件攻击的报道更多的是某某国际品牌遭遇勒索，这会让人产生一定的错觉，勒索软件攻击是否真的有地域性，是不是针对我国的勒索软件攻击就特别少呢？其实不然，在2022年第二季度，安全419接触了数个针对国内企业的勒索软件攻击案例，其中不乏跨国经营的某制造业大厂，也不乏中小商企。

只是他们各自有着不同的结局，其中大厂在安全厂商提供的安全基线建设的帮助下，快速响应，在短时间内即实现了业务系统和生产数据的有效恢复，保障了业务生产的连续性，对跨国业务影响几乎为零。而没有安全基线建设的企业，在勒索攻击病毒已经下发之后，临时参与响应的安全企业能做的已经不多。

灾备解决方案供应商 CloudWonder 嘉云告诉安全419，随着近年来勒索攻击逐渐泛滥，面向大多数在线业务、生产系统等场景的灾备解决方案也可以为企业提供勒索快速恢复，其方案优势相较于数据备份要更具时效性，以及更加快速的业务恢复能力。

某保险科技公司安全专家向安全419解释称，勒索攻击在我国也是一种常见的网络安全威胁，而公开报道多为国外企业，主要是国内还没有实行网络安全披露制度，企业一侧通常不会主动向外披露，所以才会有国内很少被勒索软件攻击的假象。

4月，意大利某奢侈时装品牌对外确认了2021年8月大规模IT系统中断事件源于针对性的勒索攻击。

德国恩德公司是世界上最大的风力涡轮机制造商之一，2021年全年销售额近60亿美元，由于4月初的勒索攻击，该公司被迫关闭了多个IT系统。随后，Conti 勒索软件团伙声称对攻击事件负责。

一款新的被称为Black Basta的勒索软件在4月份的数周时间内就入侵了至少12家公司，其中一家企业被要求支付200万美元，否则将会泄露被盗数据，另外美国牙医协会可能也是该组织的攻击受害者。研究人员对病毒样本的分析工作显示这可能是一个新的勒索组织，但其勒索后的谈判风格与Conti相似。

5月初，哥斯达黎加政府多个部门遭Conti勒索软件攻击，哥政府总统宣布国家进入紧急状态。在这次攻击中，有数以百G的文件被窃取，并要求支付1000万美元赎金，有报道称，哥政府选择拒绝支付该笔赎金。还有报道称，该次攻击从4月份就已经开始，并在哥国内造成广泛影响，比如多个政务系统处于不可用状态。

5月初，可口可乐公司正式发表声明回应称，公司相关网络受到攻击，目前正在开展调查。勒索团伙Stormous宣称对此次攻击负责，称其成功侵入公司服务器并窃取了161GB数据。

2022年5月，拥有157年历史的美国林肯学院宣布关闭，其中最重要的原因被归咎于勒索软件攻击。据该校披露，去年12月份的勒索软件攻击导致该校重要数据被加密，系统无法使用，招生工作和网上教学等工作因此无法正常开展。该校公告显示，到今年3月他们才在攻击事件中完全恢复，5月份该校宣布将永久关闭。

5月份还有另一起针对国家级重要信息系统的勒索攻击，赞比亚银行因Hive勒索软件攻击对勒索组织做出激烈回应，并明确拒绝了支付赎金。可以预见的是，做出激烈回应的底气通常来自良好的安全能力建设。

媒体业巨头是经新加坡总部于5月13日遭到勒索软件攻击，该公司公告显示，他们第一时间检测到了攻击，并做出了响应，比如评估称没有迹象显示数据被攻击者窃取。

5月下旬，富士康确认了其位于墨西哥的一家生产工厂受到了勒索软件攻击的影响。该公司没有提供任何有关负责攻击的组织的信息，但 LockBit 勒索软件团伙声称对此负责。对外公告显示，工厂正在逐步恢复正常。对业务运营造成的干扰，将通过产能调整处理。

6月初，意大利南部巴勒莫市遭受网络攻击，据当地多家媒体报道，受影响的系统包括公共视频监控管理、市警察行动中心以及市政府的所有服务。事件发生数天之后，Vice Society 勒索软件组织声称对网络攻击事件负责，并威胁如不支付赎金将会泄露政务数据。

6月中旬，非洲最大的连锁超市Shoprite Holdings成了勒索攻击的受害者，被称为 RansomHouse 的勒索软件团伙在事后宣布对这次攻击负责，并发布了一份窃取的600GB数据样本。

6月，总部位于日本的汽车零部件制造商 Nichirin 报告称，一家美国子公司因遭遇勒索软件攻击，导致业务系统应急关闭，其地区业务已转移至手工生产和运输，从而避免零部件供应业务停摆。

6月末，巴西最大的零售商之一Fast Shop因勒索攻击，导致网络中断并暂时关闭其在线商店。攻击者还接管了该公司的推特账户，并发表声明称在过去72小时内，他们在访问了Fast Shop的AWS、Azure、GitLab和IBM云上的数据库后，已经窃取了网站/应用程序源代码以及有价值的用户和公司数据。

以上仅展示了较有代表性的勒索攻击事件，事实上第二季度全球的勒索攻击事件公开披露的就有数百起，他们遍布各行各业，没有任何行业能在勒索软件攻击面前幸免于难，除非他们没有任何的现代信息化建设。

有安全机构研究人员跟踪了几大著名勒索组织，在一份报告中他们披露了相关数据，仅在4月份，Lockbit 2.0（已升级为3.0）受害者数量就高达103家企业，Conti数量为45名，曾被国际联合执法的Clop勒索组织也卷土重来，攻击受害者在短时间内迅速来到了21家。根据最新的信息显示，这一数字也仅限4月份，证据显示，仅上半年Lockbit 2.0就展示了420名受害者，这还仅是公开披露的数量，真正的总数还要更多。

有分析公司已确定，2021年支付的勒索赎金已超过6.02亿美元，其中仅支付给Conti一家就高达1.8亿美元，但报告认为实际数据可能比已记录数据还要高。另外一份数据也支持了这一点，美金融犯罪执法网络（FINCEN）表示，去年为期6个月的时间里，共发现约52亿美元的比特币交易可能与勒索攻击支付有关。

企业糟糕的网络安全建设，对于勒索攻击而言已不像是会不会发生的问题，更像是一种寄生关系，勒索组织随时可以吸食企业的“血液”。

但对于支付赎金这件事，Check Point 的一份报告显示，支付赎金作为向勒索攻击的最终妥协，其损失仅占企业遭勒索软件攻击总成本的15%。

该报告认为在勒索攻击发生时，企业在进行评估是否支付赎金时，还会同步处理一系列措施，比如聘请第三方安全公司的进行恶意软件发现和清除工作，并根据现有安全基线设法重新上线被中断的业务等一系列事件响应和补救程序，同时还需要处理来自法律层面上的诸多问题。

报告提出一个观点是即使组织支付了赎金，也无法避免进一步的经济损失，重要的是使用来自攻击者的解密密钥恢复系统通常比使用备份要慢。

前一段时间，针对一款全新的Onyx勒索软件的研究表示，该软件会采用垃圾数据覆盖的方式故意破坏大于2MB的文件。研究人员表示，在其恶意破坏的行径下，支付赎金将毫无意义。在研究人员披露这一信息之前，Onyx已公布了六名受害者。后续信息显示，该勒索软件改正了这一“错误”做法，推出了新的Onyx变种。

Lapsus$勒索组织在第一季度大出风头，但在第二季度，他们似乎已经销声匿迹，但我们在数百起攻击事件当中，还是找到了可以被推敲的，该组织仍然活跃的线索。

在可口可乐的勒索攻击事件当中，Stormous勒索组织当时曾在社交媒体上发表“谁是下一个受害者”投票，除了可口可乐，名单当中还有丹纳赫商业集团、GE航空等大型企业。事实上，Lapsus$勒索组织此前也在社交媒体上发布过公开投票，公开威胁将泄露沃达丰被盗数据。

这两家勒索组织无论是受害者对象的挑选上，以及勒索威胁的手段上，比如主要以窃取数据为主，还是最终作秀式的勒索风格上，均高度相似，不这免让人联想两者存在着一定的联系。

此前Conti勒索组织曾因多种原因，宣布组织正式停止运营，RaaS基础设施将关闭。报道称，Conti勒索组织的大部分成员将去到各个小勒索组织，少部分忠于Conti品牌的可能会继续单干，以Conti之名发起攻击。事实上近一段时间内Conti仍然持续活跃，他们仍然是那个最具威胁的勒索组织。

也有安全报告指出，Conti 正与众多知名勒索软件运营商合作，包括HelloKitty、AvosLocker、Hive、BlackCat、BlackByte等。这些勒索组织也都在最近表示活跃。

第二季度，有证据表明Clop勒索组织也已卷土重来，同时还有安全研究人员基于勒索病毒样本分析发现，同样被执法逮捕的REvil勒索组织也有“重新回归”之势。

有评论称，那些罪行累累的勒索组织重来不会真正消失，他们只会以品牌重塑的形式重新回归，并持续作恶。

为应对勒索攻击，我们汇总了以下建议：（注.以下来源于安全419持续呈现的《勒索攻击解决方案》系列访谈中我们与多家知名网络安全企业（绿盟科技、天融信、安恒信息、奇安信、深信服、CloudWonder 嘉云、威努特）交流总结所得）。

● 1.企业不断的成长和新技术的广泛应用，进一步加剧了安全风险和暴露面，鉴于安全重要性正在日益提升，设立专职岗位（如CSO）负责统筹全面的IT安全风险管理，是应对以勒索攻击为首的网络安全建设的重要前提；

● 2.真实勒索案例中，绝大多数勒索攻击源于员工的意识疏忽所造成。企业一方面需系统的开展安全意识培训工作，同时应针对具体的安全事件进行日常演练，以在攻击发生时最大化降低企业生产运营损失；

● 3.同时安全意识应延伸至企业外部，这对大型生产制造业尤为重要，比如企业将IT运维承包给第三方机构，还有涉及庞大供应链当中的任何一环。可以以安全合约为抓手，建立安全责任制，强化外部的安全风险管理；

● 4.安全基线必不可少，利用专业安全厂商提供的防御、检测类产品为勒索病毒设置重重障碍，可降低80%以上被勒索攻击的可能性。其中终端安全更是重中之重，大量案例证明，特别是国内，终端缺乏安全防护是造成勒索加密的主要原因；安全基线产品或服务以威胁情报建立防御机制，也是应对勒索组织不断变化趋势的有力抓手；

● 5.勒索攻击最终指向的是系统、应用和数据，对于处于数字经济时代的我们，如何让数据在各业务线上安全流通已成当务之急。《数据安全法》催生了数据安全产业的迅猛发展，以数据保护为抓手，应对勒索攻击已是可行方案；

● 6.产品服务化趋势，企业限于没有专业的运维人员来管理网络安全，会存在即使部署了安全产品也没有得到有效利用，这是广泛存在的现状问题，大中型企业尚能自行解决问题，小型企业问题更为明显。现在安全企业也注意到了这一问题，安全托管服务可以帮助企业解决这一难题；

● 7.企业应该认识到针对性地勒索攻击致使数据加密，当前技术上是无法恢复的，应该立即着手数据备份工作，且强化数据备份的隔离加密，始终让备份数据保持高可用性。对于生产经营性质企业，为了追求业务的持续运营，容灾备份解决方案已成为他们的最佳选择，该方案在保证数据高可用前提下，可支持系统在异地迅速再生；

● 8.企业承担勒索攻击所致损失的程度并不相同，为了避免遭受灭顶之灾，可以考虑从网络安全保险一侧切入防范。网络安全保险在国外相对成熟，在国内发展尚处起步阶段，但未来应用的趋势明显。

THE END