勒索攻击洞察：趋势、特点与措施

• 大多数企业不会公开遭勒索攻击的事实，勒索攻击远比公开数据严重

出于企业声誉、品牌影响的考虑，大多数企业遭受勒索病毒攻击并不会公开信息。同时，会要求应急响应服务人员签署保密协议。历年来威努特接触的中勒索病毒的客户，也都选择不公开遭勒索事件。因此我们推测，国内实际的勒索攻击比公开曝光的情况更严重。

• 综合威努特监测数据，制造业及其服务商遭勒索攻击居行业首位

据威努特 2023年统计数据显示，有32%被勒索客户属于制造行业及其服务商，远远超过第二位的医疗行业10%。制造行业及其服务商、医疗行业，对业务连贯性要求较高，被勒索后交付赎金意愿较高，不法分子有利可图，致使这几个行业成为重灾区。

值得注意的是，制造业服务商指设备、耗材、通信、技术支持等上下游产业链，我们将服务商也纳入制造业，是因为一旦这些服务商遭受勒索病毒攻击，也将影响制造业的生产制造业务的连续性。

• 勒索病毒攻击手法愈加隐秘，供应链攻击频发

供应链攻击利用了用户与应用供应商之间的信任，在软件正常传播或升级过程中，利用软件供应商的各种疏忽或漏洞，对合法软件进行劫持或篡改，从而绕过传统安全产品检查。近期这种攻击手法，在多处客户现场出现，应用升级包在上游已经被感染，进入客户网络环境后，进一步渗透到全网。

• 传统防护手段很难应对勒索攻击的渗透

尽管企业网络安全的意识已经提高，部署了网络安全设备，但是仍然会被勒索病毒攻击。勒索病毒有传播隐秘、高速、多途径的特点，传统防护手段很难做到面面俱到。例如，基于特征比对技术跟不上勒索病毒的攻击渗透，高级威胁检测类产品，做不到多维攻击全方位防护，终端威胁防护特征库跟不上勒索病毒变种速度等。

• 加密数据恢复代价大且可能性低

当遭受到勒索病毒攻击后，一般可以从勒索行为、加密货锁定方式判断其勒索组织，利用网络上少部分已经被公开加密算法支撑进行解密工作。但是由于勒索病毒使用复杂的加密算法，数据恢复往往可能性极低，即使成功解密，也可能造成数据损坏或丢失。

• 部分受害者屡遭受二次勒索

部分受害者遭勒索攻击后，会一而再、再而三的遭受勒索攻击。这与勒索病毒伪装性和隐秘性高有关系。一方面是因为受害者在首次攻击后，未能彻底清除恶意程序或修复系统漏洞，导致攻击者能够利用已知的弱点再次发起攻击；另一方面，一些攻击者可能会故意留下后门，以便在未来再次激活并进行攻击。

• 勒索病毒更迭迅速、变种繁多

随着网络安全环境的不断变化和技术的快速发展，勒索病毒也在不断进化，呈现出更高级、更复杂的攻击特点。勒索病毒的更迭变种数目越来越庞大，单纯追求通过样本比对的方式进行防御，很难赶上病毒变化的速度。截止2024年3月，威努特防勒索专家团队已经收集10万种以上病毒样本，仅2023年就增加了1600种。

• 勒索攻击已经形成产业，攻击模式雷同

勒索攻击已经形成产业，从入侵系统、加密文件，到勒索赎金，形成制式攻击模式。产业的形成得益于技术的进步。随着数字化转型的加速，越来越多的企业和个人将数据和业务转移到线上，使得潜在的攻击面不断扩大。其次，一些攻击者通过提供勒索软件即服务（RaaS），使得勒索攻击门槛更低，勒索攻击快速形成规模效应。

• 勒索攻击使用反防护手段

针对有利可图的受害者，攻击者不惜冒险使用反防护手段。在一次为客户提供防勒索服务过程中发现，攻击者通过社工攻击成功渗透后，利用远程桌面协议（RDP）和虚拟私人网络（VPN），卸载终端设备安装的杀毒客户端或停止进程，攻陷了客户终端，继而下钻其他网络环境。

• 勒索攻击传播途径多种多样

威努特安全专家在防勒索研究中发现，勒索病毒会以邮件、程序木马、网页挂马的形式进行大范围传播，绝大多数网络用户安全意识薄弱，上网终端仅使用基础安全防护软件，随意使用开源软件、点击邮件不明链接、访问不安全网页，在不知不觉中成为勒索病毒的传播者。

根据当前勒索病毒攻击的趋势和特点，我们建议建设从防护意识、规章制度、到网络防护、端点防护，再到应急响应处置的全方位勒索攻击防护体系，预防、检测和应对勒索攻击。

在几次客户内部员工意识调研和培训中我们发现，个人的安全意识仍然是攻击者最大的突破口之一。建议企业建立网络安全管理制度，包括责任追究制，同时定期开展网络安全意识培训。

• 网络安全意识培训：通过培训，使员工了解勒索攻击的常见手法、传播途径和攻击危害，学会识别和防范潜在的攻击。有条件可以进行内部钓鱼验证，进一步实践安全意识。
• 系统更新与补丁管理：及时更新系统和软件，修补已知的安全漏洞，是防止攻击者利用漏洞进行攻击的关键。同时，建立有效的补丁管理制度，确保所有系统都及时得到更新。
• 访问控制与权限管理：严格管理用户权限，限制对关键系统和数据的访问。实施最小权限原则，即只授予用户完成其任务所需的最小权限。
• 对于人员的访问权限要严格管控，设立工厂、办公室门禁，设立访客访问制度。

除了老生常谈的部署边界防火墙、入侵检测与防御系统，重点强调，需要部署有针对性的勒索防护产品，并采取数据备份容灾措施。

端点防勒索产品：终端安装专业的防勒索产品。威努特主机防勒索系统，采用行为检测、勒索诱捕、系统防护、病毒查杀、进程防护、数据保护、备份恢复七大机制，专门针对勒索病毒攻击进行防护。值得注意的是，客户端采用多种技术反-反反防护，不在次公开赘述。

备份与恢复策略：通过数据备份与恢复产品、或者其他技术手段，定期备份重要数据，一旦遭受攻击，可以迅速恢复备份数据，减少损失。同时，确保备份数据的安全性也至关重要，防止备份数据被攻击者锁定或加密。

威努特数据备份与恢复产品，是一款全栈式数据安全级别的容灾备份产品，具备文件CDP、整机备份、数据库实时复制、业务容灾接管等多种功能，满足不同场景的灾备需求。

明确在遭受勒索攻击时的应对措施和流程。包括隔离受感染系统、通知相关人员、启动恢复程序等。建议定期开展内部演练和测试，提高应对方案可行性。

安全技术和产品能提供威胁的防护手段，却无法百分之百规避安全事件发生，残余风险依然会威胁工业用户业务安全。网络安全保险，作为应对数字经济特定风险而诞生的新型保险品种，现已日益成为防御网络安全风险的关键手段。工信部近期也在开展《工业和信息化部办公厅关于组织开展网络安全保险服务试点工作的》，以下是威努特携手太平洋保险推出的防勒索保险，欢迎咨询。

原文始发于微信公众号（威努特工控安全）：勒索攻击洞察：趋势、特点与措施