​勒索攻击为什么成为了黑产“财富密码”？

2021年刚刚过半，勒索病毒的爆发量已超过去年全年总和。7月19日，厄瓜多尔最大的国营电信公司被勒索，导致运营出现大面积故障，勒索病毒再次出现在公众面前。就连最近备受关注的日本东京奥运会，其奥委会称在去年4月的时候也曾遭网络攻击，导致无法访问。
 

勒索病毒的危害已不言而喻，但为何企业机构仍然频频中招，难以防范？
 

我们邀请到腾讯安全玄武实验室负责人于旸、腾讯安全反病毒实验室负责人马劲松、翼盾（上海）智能科技有限公司及上海第五空间信息科技研究院创始人朱易翔三位资深安全专家，从勒索病毒的攻击偏好、攻击手段、趋势变化、攻击误区及解决方案5个纬度解读勒索病毒的攻防之道。

勒索病毒有攻击偏好吗？

Q：最近厄瓜多尔等的运营商企业遭到攻击，去年法国运营商也遭遇过勒索攻击，是否意味着勒索病毒在选择攻击对象的时候偏好运营商？对比5月份美国燃油管道公司被勒索的事件，此次攻击有什么不同？

马劲松：勒索病毒的攻击对象确实是有一定针对性的，犯罪分子会更倾向于选择本身信息化程度较高，对计算机系统，网络的依赖度较高的大中型企业下手。而这些企业一旦被勒索病毒攻击得逞以后，造成的影响也会非常大。

朱易翔：勒索病毒确实偏爱基础设施类的企业或组织，具体特征包括：一、一般这类企业对信息化的依赖程度比较高；二、一旦出现问题，影响面会比较大，影响程度也较深；三、（攻击者认为这样的组织）支付能力强；四、（攻击者认为这样的组织）网络安全能力，尤其是追溯能力相对偏弱。

于旸：美国燃油管道被勒索事件和此次攻击相比，首先，从目标看这两者都是为了钱。其次，在操作细节上有分别，主要体现在根据被攻击目标本身的IT资产的情况不同，攻击者采取的攻击方式也不同。但归根到底，在操作路线，操作思路上都是一致的。
 

勒索病毒的攻击手段

Q：勒索软件的攻击越来越多，从技术角度来看是什么原因？企业被攻击之后，能够破解的概率有多高？ 

于旸：以前的网络犯罪，套现是很复杂的，而且成功率也不高。早些年的安全事件，主流是偷数据然后贩卖，类似偷了东西销赃。但数据有其特殊性，一方面对特定数据感兴趣的买家可能非常少，其次是有需求的买家，犯罪的意愿可能非常低。所以这个模式对于犯罪分子来说不是特别理想。

而勒索病毒，其实很多年前就有人尝试，但是那时只能通过银行转账，所以很容易通过线索被抓住。现在网络犯罪者发现了加密货币，它的匿名性和难以追溯性与网络攻击和勒索结合起来之后，形成了一个完美的网络犯罪模式。他们意识到这一点之后，就开始纷纷投身于这个模式。

马劲松：一旦被勒索病毒击中，破解的难度会非常高。因为勒索病毒使用的加密算法，秘钥长度非常长，很难反向破解，在一些报道中，也有破解勒索病毒的案例，主要包括两种情况：一、极个别勒索病毒的作者出于各种各样的原因，泄露了资料；二、在勒索病毒的威胁过程中，有些漏洞可以被利用，让破解的难度降低，但这种情况越来越少。

整个勒索病毒的演进已经非常标准化，甚至专业化，有成套完整的代码可以参考。所以靠勒索病毒本身的漏洞进行破解的可能性也越来越低了。
 

勒索病毒的趋势变化

Q：现在勒索攻击在逐渐的APT化吗？

于旸：是的，最初，勒索病毒就是攻击者给恶意软件加入勒索功能，放出去基本上就完成了操作，接下来勒索病毒就会像传统病毒一样去造成危害，比如大家非常熟悉的WannaCry。最初这一招确实收割了不少目标，但这种模式的问题是——它依赖破坏力很大的漏洞。因此逐渐演变成了现在的方式——取消病毒的自动攻击模式，采用传统网络入侵的思路，即有针对性的手动操作，在入侵完成之后再植入病毒进行勒索。严谨地说，勒索攻击从几年前的病毒模式转向了今天的APT模式。

Q：之前受勒索病毒攻击影响的主要是Windows系统，但现在macOS、安卓等其他系统上也陆续出现了，这方面有没有需要额外注意的事项？

朱易翔：从发展趋势来说是肯定的，不光这些，还出现了针对移动环境的勒索攻击。只要有利可图，犯罪分子都不会放过，关于防护，总体思想和策略是一致的，无非是具体环境或者系统有所区别而已。
 

关于勒索攻击的误区

Q：在病毒防御方面，目前还存在哪些误区？为什么很多雄厚财力的企业或者机构会频频受到勒索病毒的攻击？

马劲松：站在攻击者的角度看，勒索攻击是有明确的目的性和利益驱动的，他们会用一切办法来达到目的，所以不会轻易地停手。

从被攻击者角度看，随着信息化建设进程的发展，网站、邮件、社交网络……都会大大增加被攻击者的暴露面、攻击面，防守方的系统必然变得越来越复杂，这就从另一个方面增加了被攻击可能性，以及被攻击后的影响。

至于误区，很多企业的第一个误区是“银弹思想”，也是很多企业目前最大的问题，他们认为存在一种办法或系统，能彻底解决安全问题，但这实际上不存在。因为安全问题永远是一个动态演进的过程，它需要持续的投入、运营、升级和关注，不可能有一劳永逸的手段。

第二个误区是企业认为买了杀毒软件，买了边界防护设备，请了一些安全人员就没问题了，但并非如此。对员工的培训，对日常行为不断的管理都是很重要的。目前看，现在企事业单位中，这种软性的工作相对薄弱。

第三个误区是很多企业把勒索病毒或网络安全定义为IT技术层面的问题，但其实它更大程度上是安全生产运营方面的问题。

于旸：首先，勒索攻击已经进入了人工入侵和病毒勒索结合的时代，这是一个非常复杂、非常高级、难以防御的高级入侵状态，需要相应的高级防御才能抗衡。

其次，很多企业或者机构在防御上不够，攻防不是静态的，而是一个动态、不断波动、进化的，每个月都有新的攻击技术，新的漏洞。

朱易翔：攻防双方是不对称的。一是时间上的不对称，防，要无时无刻地做好；攻，任何时间点上都可以。二是防御攻击面的不对称，防要密不透风，算无遗策；而攻往往只需要找到一个精确的打击点。
 

关于勒索病毒的解决方案

Q：企业应该怎样降低被勒索病毒绑架的风险？

马劲松：首先，对于重要的数据、关键数据及时的备份。其次，在信息化日常建设当中，要非常重视对漏洞的管理和补丁的及时更新。第三，要重视从业人员的安全教育和安全素养的培训，如可疑邮件、可疑链接，可疑优盘等情况的处理判断，是非常长期而细致的工作。 

于旸：第一，从技术上，需要有一些认知的更新，在大量远程办公导致企业安全边界已经模糊的今天，不能只局限于防御外部威胁，做边界防御，更要在企业内部做好如零信任、内网密罐、SOC之类安全措施。第二，要警惕另一种勒索，攻击者不是单纯的加密你的数据，而是威胁进行数据公开。

朱易翔：一般建议做好从0到123——0是指常规的隔离、加固、监控、响应等基本功一定要做好；1是指要部署至少一款恶意代码的防护软件系统；2是指建议至少对重要数据和文件保留两个离线的备份副本；3是指建议对重要数据和文件进行三种以上形式的储存，也包括对重要数据的加密保存，加密可以从一定程度上防范“威胁公开隐私和保密文件”形式的勒索。

Q：零信任能够彻底解决勒索病毒吗？ 

于旸：零信任是一个相对较新的防守武器，但它和其他武器一样，都不是万能的。零信任可以解决我们之前防御思想里面的一些盲区，弥补之前防御体系的一些缝隙。但是它也只是一种技术，根本上还是要和整个安全体系，包括技术更新、管理强化的一系列措施结合在一起才能发挥作用。

Q：业务上云阶段，在面对勒索软件或其他攻击时有没有比较好的防范措施或者解决方案？

马劲松：业务上云，是一个比较好的手段。业务上云后，能更好的集中管控，结合腾讯安全多年积累的能力，能第一时间发现包括勒索病毒在内的各种攻击，保护客户数据安全。另外，可以方便地进行数据备份、加密，进一步保护客户数据。

朱易翔：近两年上云的企业用户比较多，我们已经见到有些云厂商基于云环境实现了基于磁盘块扫描和变化量复制的数据备份以及灾备技术，传输数据少，占用带宽小，但可以较好地实现异地的磁盘多份快照和镜像。这种技术恢复数据非常快，可以应对多种灾备场景，同样也可以较好地对应目前主流的勒索攻击。