勒索金额再创新高，企业应如何防范？

今年上半年的数据表明，勒索软件活动和赎金金额有望创下历史新高。

Check Point Research在《2023 年年中安全报告》中指出，今年上半年，随着新的勒索软件团伙不断涌现，勒索软件攻击态势持续升级。

区块链分析公司Chainaanalysis的报告显示，勒索软件是2023年迄今为止唯一呈上升趋势的基于加密货币的犯罪形式，勒索赎金有望创下新的纪录。

截至6月份，勒索软件攻击者已勒索至少4.491亿美元，累计收入已达到2022年总收入的90%。

勒索攻击已经成为了互联网世界的顽疾，近年来几乎所有国家的政府、金融、教育、医疗、制造、交通、能源等行业均受勒索攻击影响。

在面对新型勒索软件攻击时，大多数企业组织会处于极度弱势，根本难以招架。

01

勒索攻击呈五大趋势

日前，安全服务商Heimdal Security的安全研究人员分析了近一年来的勒索攻击典型案例后发现，各大勒索攻击团伙一直在不断改进攻击手法和模式，使得新一代勒索软件攻击变得更加复杂和更有针对性。

关基设施勒索攻击仍在继续

“勒索软件团伙破坏了至少860个关键基础设施组织的网络。”这一数据出自美FBI在今年一季度发布的2022年的互联网犯罪报告。媒体报道指出，该数据仅限于“投诉数据”，实际数量可能更高。

安全机构统计了2022年发生的600起勒索软件攻击事件称，针对关键基础设施的攻击翻了一倍。

针对关键基础设施的攻击要更具威胁性，这些企业可能的妥协一方面来自于数据的重要性，更重要的是对企业核心生产连续性的威胁。

勒索软件组织优先考虑数据泄露

通常企业在遭受勒索软件攻击之后，支付赎金并不是他们的第一选择。现在，勒索组织将视野转向数据，并威胁企业如不支付赎金就会泄露数据，从而主动挑起企业安全违规事件。

勒索软件组织越来越多地针对数据泄露，而不再是过去的系统不可用性。

这方面有多家安全组织的报告都支撑了这一点，如在2022年勒索软件赎金支付下降了约40%，这一点也出自于企业已经投资于更强的安全性和更好的备份。

数据备份、针对业务系统做好容灾建设，是安全企业在对应勒索攻击的后期兜底建议，有一部分企业认识到了这一点，他们就可以有勇气在受到勒索之后不支付赎金，利用安全系统来恢复业务或数据。但如果勒索组织威胁泄露数据，留给企业在安全与合规之间的问题就有些麻烦了。

勒索软件受害者可能很快面临后续攻击

根据Akamai公司的研究报告，一旦受到勒索软件的攻击，企业很快就会面临第二次攻击的更高风险。报告称，事实上，被多个勒索软件组织攻击的受害者在前三个月内遭受后续攻击的可能性几乎是遭遇第一次攻击之后的六倍。

该报告警告说，遭受勒索软攻击并支付赎金也不能保证企业的安全，与其相反，它增加了被同一个或多个勒索软件组织再次攻击的可能性。

如果受害企业没有关闭其外围的漏洞/修复攻击者第一次破坏其网络时滥用的漏洞，那么很可能会再次被利用。

此外，如果受害者选择支付赎金，他们可能会被同一组织和其他人视为潜在的目标。

勒索软件智能化

随着人工智能和机器学习技术不断完善，攻击者也开始利用这些创新技术使勒索软件攻击更具针对性和复杂性。

研究人员发现，勒索软件组织开始使用人工智能技术来识别漏洞、撰写逼真的网络钓鱼邮件，并根据防御措施实时调整攻击策略，这对勒索软件防护工作构成了重大挑战。

由于勒索软件的智能化程度正在迅速增长，组织也需要及时关注更先进、更智能的网络安全措施，同时加强员工安全意识培训，以防范这种日益严峻的威胁。

攻击并不常见的应用系统

任何泄露事件都可能带来灾难，因此在面对新型勒索软件攻击时，任何攻击途径都不能被忽视。

在新型勒索软件攻击模式下，攻击者会更加重视一些没有备份的业务系统，或者一些并不常见的应用，这些看上去的“小应用”往往会给组织带来大威胁。

佐治亚理工学院的安全研究人员已经验证，勒索软件攻击可以通过屡试不爽的已知漏洞利用代码部署到程序逻辑控制器中。

遗憾的是，这类设备的重建或更换成本过高，新型勒索软件组织正是瞅准了这一点以勒索受害者。

02

企业应如何防范勒索攻击？

目前活跃在市面上的勒索攻击病毒种类繁多，极高频率的变种使得基于病毒特征库的传统杀毒软件在应对海量新型勒索病毒时，毫无用武之地。

要防范勒索病毒攻击，需要从勒索病毒本身出发，深度剖析勒索病毒的普遍性特点，有针对性地进行干预和防范。

其实，勒索病毒行为具有高度趋同性，整个勒索杀伤链涉及：感染准备、遍历加密、破坏勒索三个环节。

感染准备阶段主要行为是漏洞利用、自身模块释放、进程中止和服务清除；遍历加密阶段主要行为是文件遍历、数据加密；破坏勒索阶段主要行为是删除系统备份、弹出勒索通知。

摸清楚了勒索病毒杀伤链的典型行为特征，接下来就能有效应对勒索病毒，企业可以从检测、防护、恢复三个阶段来应对勒索病毒。

勒索行为监测

勒索病毒的磁盘遍历、进程终止、文件加密、回收站清空等行为，实际上都是在调用操作系统底层驱动的高危指令。

所以防勒索系统安装操作系统后，会接管操作系统底层的进程、文件、磁盘、网络驱动，勒索病毒在执行高危指令调用时，必然优先被防勒索系统感知。

防勒索系统内置恶意行为监测引擎，通过规则树的匹配来识别恶意破坏行为，进而实现对勒索病毒的拦截和阻断。

关键业务保护

勒索病毒加密文件前，会优先终止业务进程，以解除文件占用，便于文件加密或删除操作。所以防勒索系统安装到操作系统后，会接管操作系统进程驱动。

当有进程终止或线程退出指令时，防勒索系统会对指令来源和指令类型进行判断。

如果是不可信的进程发起的跨进程、跨地址空间的指令行为，防勒索系统将会对指令操作进行拦截，从而避免勒索病毒对关键业务进程的破坏，在保障业务连续性的同时，保持关键应用对数据文件的持续占用，进而确保数据文件不会被加密勒索。

勒索病毒诱捕

勒索病毒在遍历文件时，会优先检索系统常规路径，如桌面、文档路径、磁盘根目录等，然后破坏这些文件。

防勒索系统安装后在系统中投放诱饵文件，并持续监控对诱饵文件的操作，由于正常应用一般不会访问诱饵文件，因此对诱饵文件的操作基本上可以判定为勒索病毒，防勒索系统会直接杀死可疑进程并置于隔离区。

核心数据保护

未安装防勒索系统时，无论是正常的应用如word、数据库服务，还是勒索病毒，对应用数据的读写都是不受限制的，勒索病毒随意的对数据文件进行加密写入，致使用户无法正常使用数据文件。

安装防勒索系统后，通过内置规则及动态识别技术，可以很方便地建立可信应用与应用数据间的访问关系模型。

因为勒索病毒不在可信应用列表内，不具备应用数据的访问权限，所以勒索病毒尝试加密系统中文档、数据库、工程文件、音视频等数据文件时，将会被拦截阻断。

核心数据保护功能一方面可避免应用数据被恶意加密，防范典型的文件加密勒索行为，另一方面还可以防范双重勒索中文件信息泄露的勒索行为。

数据智能备份

备份恢复技术用于对抗勒索病毒很有效，因为由于误操作、安全策略配置不当可能导致检测、防护能力被绕过，所以还需要备份恢复能力做技术兜底。

防勒索系统安装后，任何文件的操作均会触发防勒索的安全检查，可信应用文件操作放行，非可信应用文件操作将触发备份动作。

在备份入库前，防勒索系统会检查入库数据的安全性，通过文件名、后缀名、信息熵、方差值完成文件是否被勒索加密的判断。

这是因为被勒索病毒加密的文件会被修改文件名、后缀名，文件的熵值和方差值会发生显著变化，基于防勒索系统可识别被勒索加密的文件，已经被勒索加密的文件将直接丢弃，并对操作该文件的进程进行终止和隔离操作，被识别为正常的数据文件则经过重复检查后进入备份区。

此外，防勒索系统的备份机制并非是全盘备份，而是经过巧妙设计的按需触发，既可以实现勒索病毒的精准防范，又能确保最小的系统资源消耗。

03

结语

未来的勒索软件攻击还将持续演进，并且增长速度也会更快，攻击的目标和形势不断变化，防御对抗将是长期性的。

为了共同抵抗这项威胁，还需要全行业携手合作、推动创新，共同应对勒索攻击的挑战，才能保障企业的安全和稳定发展，打赢这场持久战。