报告勒索软件攻击事前防御效果优于事后补救

　　2022年，勒索软件威胁再次成为热门网络安全话题。几年间，勒索软件已从一个新兴威胁，成了最为流行的网络威胁之一，个人、企业、政府都无法逃脱勒索软件的影响。近日，360数字安全集团与光明网网络安全频道联合发布《2022勒索软件流行态势报告》（以下简称《报告》），透过2022年勒索事件探查勒索软件发展方向，并探讨勒索防御的未来模式。
　　勒索攻击意图多元，假借勒索破坏数据将持续存在
　　从年初的Coffee勒索，到Mallox、Magniber，再到下半年的TellYouThePass勒索攻击事件《报告》提到，2022年以来，国内各类勒索攻击事件不断，以Coffee为代表的本土勒索软件强势兴起，国内勒索黑产进一步发展，给未来带来更多挑战。
　　勒索攻击的渠道不断拓展。2019年起，以窃取数据为代表的双重勒索兴起；当前，RDP暴破、僵尸网络、蠕虫、钓鱼邮件、漏洞攻击等均成为勒索投放的方式。在国内外勒索团伙攻击威胁下，国内勒索风险已成为企业常态化的安全风险。
　　（图源网络）
　　成规模的勒索攻击也越来越多。过去，国内的勒索攻击以小规模及定向攻击为主；如今，搭乘Web服务漏洞、僵尸网络、蠕虫等方式传播的勒索软件，可轻易攻陷数万乃至数十万设备。如在2022年，TellYouThePass、Mallox、7Locker等都利用Web服务的漏洞大规模攻击OA服务器，形成多次规模较大的攻击事件。
　　同时，攻击意图多样化是勒索软件发展的新趋势。过去，勒索软件攻击往往被认为是由经济利益驱动的网络攻击。而如2022年的wiper类勒索，其攻击目的不在于勒索赎金，而是对对手的设施发起破坏；国内的Coffee勒索攻击，也是一个典型的非赎金类勒索攻击，攻击者的攻击意图更多地是干扰一些人员的正常工作。《报告》认为，假借勒索软件，对系统、设施、人员发起数据破坏攻击，在未来将持续存在，使用这种手段能够弱化被攻击人员对攻击事件的警惕性，隐藏真实攻击意图与攻击来源。
　　此外，云服务也面临多重勒索风险。近年来，云托管服务商被勒索攻击的事件多次发生，每次攻击均会造成大量企业同时受到波及的事件。对于云托管商、云服务商的安全问题，一般的企业管理员无法知晓与干预，而常规的服务器安全加固策略及日常的安全维护，面对云上系统被攻击的情况，也很难达到防御效果。对于重要的云上系统，管理员应该做好必要保密及离线或异地备份工作，避免因为服务商或云上系统受到攻击，造成使用其业务的企业产生重大损失。
　　重点场景保护、解密技术成为行业研究重点
　　在与病毒木马对抗的过程中，创新是实现技术突破的关键方法。对勒索攻击而言，事前发现与勒索预警能够极大降低攻击的破坏力，事前的防御效果也远好于事后的补救。
　　（图源网络）
　　《报告》提出，根据攻击策略，目前针对企业的勒索攻击可分为常见的两类：
　　一类是通过单点攻击获取少量设备权限后，对内网进行横向渗透，继而在合适的时间点投放勒索软件。此类攻击从拿到单个设备权限，到向整个网络投毒，一般间隔1至3天，部分大型网络可能会有更长潜伏时间。而潜伏时间就形成了发出预警，争取提前阻断的机会。
　　另一类是针对企业的服务器发起攻击，如使Web漏洞对相应的Web服务器实施攻击。攻击者通常选取一些特殊时间点，集中对事前踩点的服务器发起攻击。
　　当前，依靠创新手段解决部分场景下的勒索攻击、数据窃取、横向渗透等问题，成为网络安全行业的研究重点。
　　其中，重点场景保护即针对企业面临勒索攻击的情况，通过专项防护加强，提高攻击难度，降低攻击损失；解密技术是伴随勒索软件产生的一项勒索处置方案，早期勒索软件多存在各种缺陷，可以通过一些技术手段进行破解。
　　《报告》还提到，加密货币的兴起，客观上推动了勒索软件的横行。目前流行的主要勒索软件，支付方式多为加密货币。加密货币可以脱离监管匿名支付、秘密转移的特点，为灰黑产与各类犯罪提供了便利。
　　近年来，各国政府均意识到加密货币带来的问题，对加密货币加以监管已经成为众多国家的共识。我国近年来加大对加密货币的整治力度，清理国内矿场和交易平台。通过治理，提高了加密货币获取难度和获取成本，继而对赎金支付产生了一定的遏制作用，对勒索攻击团队产生了一定打击作用。（记者孔繁鑫刘昊）