2021年勒索攻擊特征與趨勢(shì)研究白皮書-55正式版

顧 問丁珂、司曉、張顯龍、陳勝喜編委會(huì)李剛、劉瓊、柳雁軍、張雪琴、王融、董文輝、程虎編寫組騰訊研究院翟尤、宋揚(yáng)、秦天雄、劉金松、袁媛、吳朋陽、周丹、竇淼磊、白惠天騰訊安全李鐵軍、胡龍、黃佩鈺、謝飛、恒海濤、劉穎、譚昱、付蓉潔、陳娟娟、王成、張靚《中國(guó)信息安全》雜志社王丹娜、向繼志、袁勝、李鑫、邱辰杰、彭琳、張婷CONTENTS目錄第一章勒索攻擊成為全球新挑戰(zhàn)一、科技競(jìng)爭(zhēng)對(duì)國(guó)民經(jīng)濟(jì)安全帶來挑戰(zhàn)06二、產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型帶來安全挑戰(zhàn)07三、技術(shù)破壞式創(chuàng)新帶來安全挑戰(zhàn)10四、勒索攻擊帶來的安全風(fēng)險(xiǎn)和挑戰(zhàn)11第二章勒索攻擊演進(jìn)路徑與特征一、從勒索病毒向勒索攻擊的轉(zhuǎn)變12二、勒索攻擊形式與傳播渠道的變化14三、勒索攻擊事件數(shù)量不斷增加16四、勒索攻擊事件支付成本大幅攀升21五、各國(guó)加速調(diào)整反勒索相關(guān)立法22第三章勒索攻擊主要特點(diǎn)一、勒索攻擊行為隱蔽性強(qiáng)且危害顯著29二、勒索病毒變異較快且易傳播30三、勒索攻擊路徑和目標(biāo)多元化發(fā)展38四、受勒索攻擊領(lǐng)域更加寬泛39第四章勒索攻擊七大發(fā)展趨勢(shì)一、影響社會(huì)正常運(yùn)轉(zhuǎn)且難解密42二、勒索攻擊SaaS化44三、加密貨幣普及助推贖金快速增長(zhǎng)44四、大型企業(yè)和基礎(chǔ)設(shè)施成為攻擊重點(diǎn)45五、“多重勒索”模式引發(fā)數(shù)據(jù)泄露風(fēng)險(xiǎn)47六、供應(yīng)鏈成為勒索攻擊重要切入點(diǎn)48七、引發(fā)網(wǎng)絡(luò)保險(xiǎn)行業(yè)的惡性循環(huán)49第五章防范勒索攻擊建議與思考一、聚焦安全前沿技術(shù)，提高防護(hù)能力50二、構(gòu)建安全前置能力，提升“免疫力”51三、增強(qiáng)人員安全意識(shí)，降低攻擊風(fēng)險(xiǎn)53參考文獻(xiàn)54序言勒索軟件又稱為“贖金木馬”，勒索軟件攻擊是指網(wǎng)絡(luò)攻擊者通過鎖定設(shè)備或加密文件等方式阻止用戶對(duì)系統(tǒng)或數(shù)據(jù)的正常訪問，并要挾受害者支付贖金的行為。如同我們把錢放在保險(xiǎn)箱，小偷沒有撬開保險(xiǎn)箱偷錢，反而把放保險(xiǎn)箱的房間加了把鎖。如果沒有房間的鑰匙，我們依然拿不到保險(xiǎn)箱里的錢。如今，新型勒索攻擊事件層出不窮。勒索攻擊事件在全球各地頻頻發(fā)生，可歸因于三個(gè)方面：一是企業(yè)內(nèi)部基礎(chǔ)設(shè)施建設(shè)落后，聯(lián)網(wǎng)后缺少有效的安全防護(hù)措施。美國(guó)國(guó)家漏洞庫NVD資料顯示，僅在2020年上半年就發(fā)現(xiàn)了多達(dá)365個(gè)工業(yè)控制系統(tǒng)相關(guān)的漏洞，比2019年上半年增長(zhǎng)10.3％，其中，超過75％的漏洞被認(rèn)定為嚴(yán)重等級(jí)，這些漏洞涉及53個(gè)廠商。而我國(guó)的情況也不容樂觀，《2020年上半年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測(cè)數(shù)據(jù)分析報(bào)告》數(shù)據(jù)顯示，我國(guó)工業(yè)控制系統(tǒng)的聯(lián)網(wǎng)信息持續(xù)遭受境外不法分子的窺探，日均掃描超2萬次，能源、制造、通信等行業(yè)的基礎(chǔ)設(shè)施及控制系統(tǒng)成為主要目標(biāo)。二是對(duì)于網(wǎng)絡(luò)攻擊者來說，高額的贖金成為他們實(shí)施犯罪的極大動(dòng)力。美國(guó)網(wǎng)絡(luò)安全公司PaloAltoNetworks公布的數(shù)據(jù)顯示，發(fā)生于2020年的勒索攻擊事件贖金平均為312,493美元，較上年增加171%。區(qū)塊鏈分析公司Chainalysis的報(bào)告也提到，2020年市面上各類活躍的勒索軟件共計(jì)獲利3.7億美元，較上年增長(zhǎng)336%，其中僅DarkSide一家就獲得超過9000萬美元的贖金。三是遠(yuǎn)程辦公增加安全風(fēng)險(xiǎn)。新冠肺炎疫情期間，犯罪分子利用遠(yuǎn)程辦公帶來的安全漏洞，通過技術(shù)迭代、數(shù)據(jù)泄露、加密數(shù)據(jù)等方式不斷進(jìn)化攻擊手法，開辟新的攻擊面，利用人們?cè)谖C(jī)期間的恐慌心理，持續(xù)增加勒索次數(shù)。例如，2020年6月，斯洛伐克安全公司發(fā)現(xiàn)了通過偽裝成“新冠病毒跟蹤應(yīng)用程序”加密Android設(shè)備上文件的勒索軟件。2021年，勒索攻擊事件此起彼伏。例如，以色列HillelYaffe醫(yī)療中心遭到勒索攻擊。日本著名企業(yè)奧林巴斯遭遇2021年度的第二次勒索攻擊導(dǎo)致美洲地區(qū)的網(wǎng)絡(luò)系統(tǒng)被迫下線。中國(guó)臺(tái)灣知名電腦企業(yè)宏碁公司也遭遇了兩次勒索。最令人不可思議的是，在已經(jīng)遭遇過勒索攻擊后，卻沒見宏碁和奧林巴斯的網(wǎng)絡(luò)防御能力變得強(qiáng)大。其中，奧林巴斯兩次遭劫前后僅僅間隔一月有余。隨著AI、5G、物聯(lián)網(wǎng)等技術(shù)的快速普及和應(yīng)用，以及加密貨幣的持續(xù)火爆，如今勒索攻擊呈現(xiàn)出持續(xù)高發(fā)態(tài)勢(shì)。勒索攻擊已經(jīng)成為未來一段時(shí)期網(wǎng)絡(luò)安全的主要威脅之一，如何有效防范勒索攻擊成為當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域關(guān)注和討論的焦點(diǎn)。各國(guó)都認(rèn)識(shí)到，勒索軟件是一種不斷升級(jí)的全球安全威脅，會(huì)造成嚴(yán)重的經(jīng)濟(jì)和安全后果。勒索軟件對(duì)關(guān)鍵基礎(chǔ)設(shè)施、基本服務(wù)、公共安全、消費(fèi)者保護(hù)和隱私構(gòu)成重大風(fēng)險(xiǎn)，例如，勒索軟件針對(duì)當(dāng)?shù)匦l(wèi)生服務(wù)提供者的惡意操作，危害了病人護(hù)理；針對(duì)限制其向公眾提供燃料、生活用品或其他商品能力的企業(yè)的操作，影響了企業(yè)運(yùn)營(yíng)。與其他網(wǎng)絡(luò)威脅一樣，勒索軟件的威脅是復(fù)雜的、全球性的，需要各國(guó)共同應(yīng)對(duì)。勒索攻擊特征與趨勢(shì)研究白皮書（2021）01第一章勒索攻擊成為全球新挑戰(zhàn)數(shù)字技術(shù)應(yīng)用的泛在化、融合化意味著更多終端暴露在網(wǎng)絡(luò)攻擊范圍之內(nèi)，網(wǎng)絡(luò)攻擊隨時(shí)隨地可能發(fā)生，攻擊頻次和深度逐步加大?；A(chǔ)設(shè)施逐漸成為被攻擊的主要對(duì)象，導(dǎo)致國(guó)家經(jīng)濟(jì)社會(huì)安全受到挑戰(zhàn)。總的來看，數(shù)字經(jīng)濟(jì)時(shí)代我們將面臨以下三個(gè)方面的安全挑戰(zhàn)。一、科技競(jìng)爭(zhēng)對(duì)國(guó)民經(jīng)濟(jì)安全帶來挑戰(zhàn)后疫情時(shí)代，貿(mào)易、技術(shù)、人員流動(dòng)面臨更多限制，區(qū)域性、雙邊性投資和貿(mào)易安排更加頻繁，全球產(chǎn)業(yè)鏈布局區(qū)域化特征凸顯。與此同時(shí)，為科學(xué)劃分國(guó)家經(jīng)濟(jì)安全邊界、保障產(chǎn)業(yè)鏈安全，全球主要經(jīng)濟(jì)體紛紛加快基礎(chǔ)性技術(shù)主導(dǎo)權(quán)戰(zhàn)略布局、構(gòu)建產(chǎn)業(yè)安全邊界，搶占新一輪科技革命制高點(diǎn)。一方面，各國(guó)持續(xù)增厚科技實(shí)力“安全墊”。隨著科學(xué)技術(shù)體系日益復(fù)雜，單一技術(shù)難以引領(lǐng)新一輪科技革命。為維護(hù)國(guó)家安全，提高競(jìng)爭(zhēng)實(shí)力，發(fā)達(dá)國(guó)家加快重大科技戰(zhàn)略制定成進(jìn)程。例如，英國(guó)發(fā)布《未來科技貿(mào)易戰(zhàn)略》，對(duì)數(shù)字經(jīng)濟(jì)、科技創(chuàng)新投資進(jìn)行戰(zhàn)略部署1。美國(guó)發(fā)布《改善國(guó)家網(wǎng)絡(luò)安全的行政命令》，明確指出要增強(qiáng)軟件供應(yīng)鏈安全、成立網(wǎng)絡(luò)安全審查委員會(huì)，同時(shí)要求美國(guó)政府部門制

美國(guó)發(fā)布《加強(qiáng)國(guó)家網(wǎng)絡(luò)安全的行政命令》英國(guó)發(fā)布《未來科技貿(mào)易戰(zhàn)略》印度加快研究發(fā)布《新網(wǎng)絡(luò)安全戰(zhàn)略》1引自/s?id=1669290498915404046&wfr=spider&for=pc06第一章勒索攻擊成為全球新挑戰(zhàn)定實(shí)施零信任架構(gòu)的計(jì)劃、加快云服務(wù)安全化的步伐等具體措施2。印度加快研究發(fā)布《新網(wǎng)絡(luò)安全戰(zhàn)略》，旨在確保安全、可靠、有彈性、充滿活力和值得信賴的網(wǎng)絡(luò)空間3。另一方面，細(xì)分領(lǐng)域技術(shù)優(yōu)勢(shì)影響產(chǎn)業(yè)鏈安全。部分核心技術(shù)和專利集中在少數(shù)國(guó)家或企業(yè)手中，對(duì)其他國(guó)家經(jīng)濟(jì)安全帶來較大影響。以芯片產(chǎn)業(yè)為例，韓國(guó)總統(tǒng)文在寅在參與“K—半導(dǎo)體戰(zhàn)略報(bào)告大會(huì)”時(shí)表示，半導(dǎo)體競(jìng)爭(zhēng)已經(jīng)超越公司層面，成為國(guó)家角力的戰(zhàn)略領(lǐng)域4。二、產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型帶來安全挑戰(zhàn)產(chǎn)業(yè)互聯(lián)網(wǎng)時(shí)代，安全范疇進(jìn)一步擴(kuò)大。攻擊發(fā)起方已經(jīng)從過去個(gè)人、單點(diǎn)黑客行為向組織化、系統(tǒng)化、專業(yè)化方向快速蔓延。一方面基礎(chǔ)設(shè)施、物理資產(chǎn)、生命安全都將成為比特世界的潛在攻擊對(duì)象，安全保障能力成為行業(yè)發(fā)展的“生命線”。另一方面，數(shù)字化貫穿企業(yè)研發(fā)、制造、物流、服務(wù)等全流程，安全需求覆蓋全部環(huán)節(jié)，安全能力的強(qiáng)弱程度逐漸成為企業(yè)持續(xù)發(fā)展的“天花板”。引自/6430922966/1807283053引自/articles/325584引自/baijia/2021-05/28/34883896.html07勒索攻擊特征與趨勢(shì)研究白皮書（2021）（一）安全是產(chǎn)業(yè)互聯(lián)網(wǎng)的基石數(shù)字經(jīng)濟(jì)時(shí)代，數(shù)字化加快推動(dòng)傳統(tǒng)產(chǎn)業(yè)轉(zhuǎn)型升級(jí)。一方面，產(chǎn)業(yè)數(shù)字化促使數(shù)字經(jīng)濟(jì)加快進(jìn)入高級(jí)階段，生產(chǎn)效率的提高更加依賴數(shù)據(jù)深度挖掘和全流程打通。另一方面，傳統(tǒng)產(chǎn)業(yè)安全防護(hù)能力參差不齊，海量設(shè)備接入網(wǎng)絡(luò)當(dāng)中，網(wǎng)絡(luò)安全、數(shù)據(jù)安全在全流程應(yīng)用場(chǎng)景中均涉及。因此，網(wǎng)絡(luò)攻擊、勒索攻擊、DDoS攻擊逐漸增多，攻擊面逐漸擴(kuò)大化。以智能網(wǎng)聯(lián)汽車行業(yè)為例，智能化、網(wǎng)聯(lián)化、共享化、電動(dòng)化成為行業(yè)主要發(fā)展趨勢(shì)，伴隨而來的是大量安全漏洞和遠(yuǎn)程控制風(fēng)險(xiǎn)。攻擊者利用車輛自帶的安全系統(tǒng)漏洞對(duì)汽車軟硬件部分實(shí)施攻擊、竊取并發(fā)送信息甚至遠(yuǎn)程控制車輛。一旦發(fā)生安全事故，將對(duì)消費(fèi)者人身安全產(chǎn)生重大風(fēng)險(xiǎn)。（二）基礎(chǔ)設(shè)施成為攻擊重點(diǎn)當(dāng)前，網(wǎng)絡(luò)攻擊更加組織化、系統(tǒng)化、專業(yè)化，攻擊范圍向行業(yè)、基礎(chǔ)設(shè)施領(lǐng)域拓展，金融、交通、醫(yī)療、城市管理等領(lǐng)域都成為新的攻擊對(duì)象。一旦基礎(chǔ)設(shè)施遭受攻擊，將導(dǎo)致整個(gè)產(chǎn)業(yè)鏈的停擺或癱瘓，甚至影響社會(huì)穩(wěn)定。以醫(yī)療衛(wèi)生行業(yè)為例，醫(yī)療數(shù)字化一直08第一章勒索攻擊成為全球新挑戰(zhàn)是社會(huì)關(guān)注焦點(diǎn)，隨著大量數(shù)字化設(shè)備和醫(yī)療設(shè)備的廣泛應(yīng)用，醫(yī)療效率、就醫(yī)體驗(yàn)、服務(wù)精準(zhǔn)度都有大幅提升，但也給安全防護(hù)和醫(yī)療數(shù)據(jù)安全保護(hù)帶來新的挑戰(zhàn)。11%據(jù)媒體報(bào)道，2020年，法國(guó)有11%的網(wǎng)絡(luò)攻擊目標(biāo)是醫(yī)院系統(tǒng)。2021年2月，法國(guó)兩家醫(yī)院連接遭到大規(guī)模勒索攻擊，造成醫(yī)院信息系統(tǒng)癱瘓，部分外科手術(shù)被迫推遲，甚至需要手工繪制醫(yī)院排班圖表5。（三）惡意攻擊實(shí)時(shí)化全面化惡意攻擊不分時(shí)間和地點(diǎn)，隨時(shí)對(duì)目標(biāo)發(fā)起攻擊，因此，安全投入資源不足、安全監(jiān)測(cè)能力較低、安全防御碎片化的企業(yè)和機(jī)構(gòu)，將面臨較大風(fēng)險(xiǎn)。安全防護(hù)需要做到前置和未雨綢繆，不論是個(gè)人、企業(yè)、還是民用設(shè)施、基礎(chǔ)設(shè)施都可能成為惡意攻擊的跳板，鏈條中的薄弱環(huán)節(jié)將成為攻擊的重要突破口。美國(guó)燃油運(yùn)輸管道商科洛尼爾遭到勒索攻擊來源：ColonialPipelineCompany

2021年5月，美國(guó)最大的燃油運(yùn)輸管道商科洛尼爾公司遭到勒索攻擊，導(dǎo)致5500英里輸油管系統(tǒng)被迫停運(yùn)，該管線供應(yīng)了美國(guó)東海岸45%的燃料。網(wǎng)絡(luò)攻擊者在短時(shí)間內(nèi)獲取企業(yè)約100G數(shù)據(jù)，并鎖定相關(guān)服務(wù)器等設(shè)備要求支付贖金。能源運(yùn)輸管道作為國(guó)家重要基礎(chǔ)設(shè)施，成為越來越多犯罪分子攻擊對(duì)象。安全風(fēng)險(xiǎn)逐步從小范圍局部向基礎(chǔ)設(shè)施大范圍進(jìn)行擴(kuò)散。5引自/omn/20210406/20210406A00LHJ00.html09勒索攻擊特征與趨勢(shì)研究白皮書（2021）三、技術(shù)破壞式創(chuàng)新帶來安全挑戰(zhàn)一方面，技術(shù)創(chuàng)新在造福民眾和提升經(jīng)濟(jì)社會(huì)效率方面發(fā)揮牽引作用；另一方面，新技術(shù)也是一把雙刃劍，容易引發(fā)新的安全風(fēng)險(xiǎn)，給現(xiàn)有安全保障措施帶來巨大挑戰(zhàn)。數(shù)字經(jīng)濟(jì)時(shí)代，安全的價(jià)值和重要性愈發(fā)突出，安全的內(nèi)涵也在不斷豐富。（一）海量終端與網(wǎng)絡(luò)虛擬化帶來更多攻擊面一方面，海量多樣化終端接入網(wǎng)絡(luò)。智能終端設(shè)備的接入規(guī)模、技術(shù)架構(gòu)的異質(zhì)化帶來了安全管理難度和復(fù)雜度的提升。另一方面，新型網(wǎng)絡(luò)架構(gòu)導(dǎo)致安全邊界模糊。SDN、NFV、云計(jì)算和邊緣計(jì)算等技術(shù)和技術(shù)框架的應(yīng)用帶來了新的攻擊面，在這些新技術(shù)研發(fā)中廣泛使用開源代碼，帶來了新的安全設(shè)計(jì)缺陷和安全漏洞。同時(shí)，基于網(wǎng)絡(luò)切片端到端邏輯虛擬網(wǎng)絡(luò)技術(shù)的垂直領(lǐng)域應(yīng)用，在資源共享、跨領(lǐng)域安全、身份認(rèn)證和權(quán)限控制等方面出現(xiàn)新的安全風(fēng)險(xiǎn)。例如5G的開放性網(wǎng)絡(luò)容易遭受攻擊、虛擬化模糊了物理邊界、海量數(shù)據(jù)連接帶來安全風(fēng)險(xiǎn)。（二）破壞式技術(shù)創(chuàng)新帶來負(fù)面影響技術(shù)在給經(jīng)濟(jì)社會(huì)帶來大量便利和效率提升的同時(shí)，破壞式創(chuàng)新也帶來不利影響。一方面，犯罪分子使用新技術(shù)工具逐漸增多，對(duì)個(gè)人、企業(yè)和政府部門帶來損害。根據(jù)世界經(jīng)濟(jì)論壇發(fā)布的《2021年全球技術(shù)治理報(bào)告：在疫情時(shí)代利用第四次工業(yè)革命技術(shù)》，比特幣支付占2019年第一季度全球勒索事件贖金交付方式的90％以上，尤其是區(qū)塊鏈技術(shù)的匿名性使得監(jiān)管部門難以溯源打擊違法犯罪分子。另一方面，新技術(shù)應(yīng)用安全風(fēng)險(xiǎn)難以界定。例如，隨著自動(dòng)駕駛技術(shù)的進(jìn)一步普及，相關(guān)技術(shù)落地后產(chǎn)生的安全風(fēng)險(xiǎn)難以界定。自動(dòng)駕駛汽車發(fā)生交通事故，如何判斷責(zé)任方是一個(gè)較為復(fù)雜的過程，其中涉及汽車制造商、軟件研發(fā)人員、網(wǎng)絡(luò)服務(wù)商、汽車所有者、使用者以及乘客等多方。10第一章勒索攻擊成為全球新挑戰(zhàn)（三）隱私保護(hù)與數(shù)據(jù)共享面臨挑戰(zhàn)當(dāng)前，數(shù)據(jù)已經(jīng)成為企業(yè)的重要核心資產(chǎn)。能否對(duì)數(shù)據(jù)進(jìn)行有效運(yùn)用和深度挖掘，成為衡量一家企業(yè)能否創(chuàng)造價(jià)值的重要依據(jù)之一。需要意識(shí)到，數(shù)據(jù)安全在企業(yè)價(jià)值體現(xiàn)面前具有“一票否決”權(quán)。技術(shù)溢出帶來的風(fēng)險(xiǎn)、算法難解釋性與黑箱性、數(shù)據(jù)質(zhì)量導(dǎo)致計(jì)算結(jié)果可控性差、用戶權(quán)益與隱私屢遭侵犯等是當(dāng)前數(shù)據(jù)安全面臨的巨大挑戰(zhàn)。同時(shí)，隱私保護(hù)和信息共享缺乏統(tǒng)一技術(shù)標(biāo)準(zhǔn)和治理框架。四、勒索攻擊帶來的安全風(fēng)險(xiǎn)和挑戰(zhàn)如果勒索攻擊沒有得到有效解決，將會(huì)帶來大量潛在風(fēng)險(xiǎn)。一是監(jiān)管風(fēng)險(xiǎn)，以歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）為例，備份和災(zāi)難恢復(fù)是GDPR的必選項(xiàng)，如果被攻擊的機(jī)構(gòu)沒有按照法規(guī)定期對(duì)數(shù)據(jù)進(jìn)行備份，將會(huì)面臨罰款等懲罰措施。二是服務(wù)風(fēng)險(xiǎn)，數(shù)據(jù)或文件被加密或泄露，機(jī)構(gòu)將被迫停止其經(jīng)營(yíng)活動(dòng)，如果受害機(jī)構(gòu)沒有可以恢復(fù)正常運(yùn)營(yíng)的備份數(shù)據(jù)，可能會(huì)導(dǎo)致客戶的投訴和不滿，最終失去客戶。三是經(jīng)濟(jì)風(fēng)險(xiǎn)，數(shù)據(jù)恢復(fù)流程長(zhǎng)、復(fù)雜度高，費(fèi)用昂貴?；謴?fù)已遭破壞的數(shù)據(jù)時(shí)需要重新收集數(shù)據(jù)，這使得機(jī)構(gòu)信譽(yù)受到質(zhì)疑，對(duì)機(jī)構(gòu)品牌帶來較大損害。重大威脅勒索軟件應(yīng)用到的關(guān)鍵技術(shù)6趙子鵬、張奇.解讀重大勒索攻擊事件下的網(wǎng)絡(luò)安全態(tài)勢(shì)及應(yīng)對(duì)[J].中國(guó)信息安全，2021(6):64-67.11勒索攻擊特征與趨勢(shì)研究白皮書（2021）02第二章勒索攻擊演進(jìn)路徑與特征20世紀(jì)80年代首個(gè)勒索病毒AIDS出現(xiàn)到2021年的30余年間，勒索攻擊經(jīng)歷了萌芽期、活躍期和高發(fā)期三個(gè)階段。已經(jīng)形成了分工明確的產(chǎn)業(yè)鏈條，受害用戶和造成的損失與日俱增。世界范圍內(nèi)，勒索攻擊主要針對(duì)能源、電信、醫(yī)療、教育等國(guó)民經(jīng)濟(jì)重要行業(yè)，已經(jīng)成為網(wǎng)絡(luò)安全的主要威脅。一、從勒索病毒向勒索攻擊的轉(zhuǎn)變1989年，哈佛大學(xué)學(xué)生約瑟夫·L·波普制作了全球首個(gè)勒索病毒—AIDS木馬。這位哈佛高材生將勒索病毒隱藏在軟盤中并分發(fā)給國(guó)際衛(wèi)生組織艾滋病大會(huì)的參會(huì)者。此款勒索病毒會(huì)記錄用戶設(shè)備重啟次數(shù)，一旦超過90次就會(huì)對(duì)設(shè)備中存儲(chǔ)的文件進(jìn)行加密，并要求郵寄189美元才能解密重新訪問系統(tǒng)。雖然“名牌大學(xué)生惡作劇+郵寄支付贖金”的標(biāo)簽在今天看來既沒有多大危害，也不夠?qū)I(yè)，但是，該勒索病毒所建立的對(duì)經(jīng)濟(jì)社會(huì)的攻擊模式，在此后的30多年中逐漸演變?yōu)樽屓寺勚兊木W(wǎng)絡(luò)攻擊浪潮。21%根據(jù)咨詢機(jī)構(gòu)埃森哲調(diào)查顯示，2021年上半年，全球網(wǎng)絡(luò)威脅活動(dòng)16%較去年增長(zhǎng)125%。其中，消費(fèi)品10%與服務(wù)、工業(yè)制造業(yè)、銀行業(yè)和旅9%游與酒店業(yè)成為主要被攻擊對(duì)象，占比分別為21%、16%、10%、23%9%。聚焦在勒索攻擊領(lǐng)域，勒索攻17%擊最常針對(duì)的行業(yè)是保險(xiǎn)、消費(fèi)品和服務(wù)、電信，占比分別為23%、16%17%、16%，三者總計(jì)占比達(dá)到56%。受害企業(yè)按照年收入分布來看，10-99億美元的公司占比超過10-9945%45%，年收入在100-200億美元的20%企業(yè)占比20%。100-20012第二章勒索攻擊演進(jìn)路徑與特征勒索攻擊發(fā)展歷程并不長(zhǎng)，在30多年的發(fā)展過程中，主要經(jīng)歷三個(gè)階段：萌芽期。1989至2009年是勒索攻擊的萌芽期。在這20年中，勒索攻擊處于起步階段，勒索攻擊軟件數(shù)量增長(zhǎng)較為緩慢，且攻擊力度小、危害程度低。2006年甚至更早，出現(xiàn)了使用RSA非對(duì)稱加密算法的勒索病毒GPcode，其密碼長(zhǎng)度更長(zhǎng)，在此基礎(chǔ)上還衍生出諸如Gpcode.AK的變種，使得勒索病毒的破解難度急劇增加。同年，中國(guó)大陸首次遭到名為“Redplus”的勒索病毒的入侵，勒索金額從70到200元不等?；钴S期。2010年以后，勒索攻擊進(jìn)入活躍期，幾乎每年都有勒索軟件的變種出現(xiàn)，其攻擊范圍不斷擴(kuò)大、攻擊手段持續(xù)翻新，此階段的勒索攻擊事件大多分散發(fā)生，勒索軟件本身并不具有主動(dòng)擴(kuò)散的能力。2013年9月，Cryptolocker勒索病毒的出現(xiàn)標(biāo)志著以比特幣為贖金支付方式時(shí)代的來臨，此后很長(zhǎng)一段時(shí)間內(nèi)沒有有效的解密被感染文件的手段，黑客團(tuán)伙據(jù)此賺取近41000枚比特幣（市值為10億美元）。自此之后，越來越多的攻擊者要求以比特幣形式支付贖金。2014年，出現(xiàn)了第一個(gè)真正意義上針對(duì)Android平臺(tái)的勒索攻擊軟件，標(biāo)志著攻擊者的注意力開始向移動(dòng)互聯(lián)網(wǎng)和智能終端轉(zhuǎn)移。高發(fā)期。勒索攻擊在2015年后進(jìn)入高發(fā)期，此階段勒索攻擊已呈現(xiàn)產(chǎn)業(yè)化、家族化的特點(diǎn)，勒索軟件作者、勒索者、傳播

198920092010201413勒索攻擊特征與趨勢(shì)研究白皮書（2021）渠道商和解密代理四個(gè)角色分工明確，共同2015發(fā)起一次完整的勒索攻擊事件。2017年，WannaCry勒索攻擊在全球范圍內(nèi)大規(guī)模爆發(fā)，至少150個(gè)國(guó)家、30萬名用戶受害，共計(jì)造成超過80億美元的損失，至此勒索攻擊正式走入大眾視野并引發(fā)全球關(guān)注。二、勒索攻擊形式與傳播渠道的變化在勒索攻擊形式方面，目前主要有文件加密、數(shù)據(jù)竊取、系統(tǒng)加密和屏幕鎖定等四種主要的形式。一是文件加密，這是最典型的攻擊形式，攻擊者通過對(duì)用戶文件進(jìn)行加密來索要贖金，文件一旦被感染極難恢復(fù)。二是數(shù)據(jù)竊密，數(shù)據(jù)竊密與文件加密相類似，即使用多種加密算法來給用戶數(shù)據(jù)加密，攻擊者以威脅公開重要數(shù)據(jù)來脅迫受害者支付贖金。三是系統(tǒng)加密，主要是通過加密算法對(duì)系統(tǒng)磁盤主引導(dǎo)記錄、卷引導(dǎo)記錄進(jìn)行加密來阻止用戶訪問磁盤，影響用戶正常使用設(shè)備。四是屏幕鎖定，相對(duì)其他三種攻擊形式，屏幕鎖定危害較輕，主要迫使用戶無法登錄和使用設(shè)備，數(shù)據(jù)具備可恢復(fù)的可能。勒索攻擊形式14第二章勒索攻擊演進(jìn)路徑與特征在勒索攻擊傳播方面，釣魚郵件、安全漏洞、網(wǎng)站掛馬、移動(dòng)介質(zhì)是較為常見的方式， 勒索攻擊傳播同時(shí)，軟件供應(yīng)鏈、遠(yuǎn)程桌面也成為新的傳播渠道。具體來看，一是安全漏洞，攻擊者通過弱口令、遠(yuǎn)程代碼執(zhí)行等安全漏洞來入侵受害者內(nèi)部網(wǎng)絡(luò)，從而發(fā)起攻擊。二是釣魚郵件，攻擊者把勒索軟件內(nèi)嵌在郵件文檔、圖片等附件中，或者將勒索惡意鏈接寫入釣魚郵件正文，誘發(fā)用戶點(diǎn)擊。三是移動(dòng)介質(zhì)，攻擊者通過U盤、移動(dòng)硬盤等移動(dòng)存儲(chǔ)介質(zhì)，并創(chuàng)建移動(dòng)介質(zhì)盤符或圖標(biāo)等快捷方式，誘導(dǎo)用戶進(jìn)行點(diǎn)擊。四是軟件供應(yīng)鏈，攻擊者利用用戶對(duì)軟件供應(yīng)商的信任關(guān)系，通過軟件供應(yīng)鏈的分發(fā)和更新等機(jī)制來發(fā)起勒索攻擊。五是遠(yuǎn)程桌面，攻擊者利用弱口令暴力破解等方式獲取攻擊目標(biāo)服務(wù)器遠(yuǎn)程登錄信息，進(jìn)而通過遠(yuǎn)程桌面登錄服務(wù)器植入勒索病毒。在勒索攻擊實(shí)施階段方面，探測(cè)偵查、攻擊入侵、病毒植入和實(shí)施勒索4個(gè)方面是勒索攻擊實(shí)施階段 主要的攻擊階段。一是探測(cè)偵查，攻擊者首先需要收集攻擊目標(biāo)，一般通過主動(dòng)掃描、網(wǎng)絡(luò)釣魚以及暗網(wǎng)購買等方式，來收集攻擊目標(biāo)信息，從而發(fā)現(xiàn)被攻擊者存在的安全隱患。二是攻擊入侵，攻擊者根據(jù)發(fā)現(xiàn)的漏洞作為網(wǎng)絡(luò)攻擊突破口，并部署相應(yīng)的攻擊資源。同時(shí)，采用合適的攻擊工具來獲取訪問權(quán)限。三是病毒植入，攻擊者通過惡意賬本、動(dòng)態(tài)鏈接庫DLL等部署勒索病毒，以此來規(guī)避軟件監(jiān)測(cè)，并利用文件共享協(xié)議等方式來橫向移動(dòng)，擴(kuò)大感染范圍。四是實(shí)施勒索，攻擊者通過加載勒索信息來索要數(shù)據(jù)，勒索信息包括聯(lián)系方式、支付贖金等內(nèi)容。15勒索攻擊特征與趨勢(shì)研究白皮書（2021）三、勒索攻擊事件數(shù)量不斷增加如今，勒索軟件已經(jīng)成為一個(gè)全球性問題，而且勒索攻擊事件的數(shù)量也不斷攀升，自2018年以來，勒索軟件攻擊數(shù)量猛增了350%。根據(jù)澳大利亞信息專員辦公室（OAIC）的一份報(bào)告，與2020年下半年相比，2021年上半年，由勒索軟件攻擊引起的數(shù)據(jù)泄露事件增長(zhǎng)了24%。勒索攻擊不僅帶來了代價(jià)高昂的服務(wù)中斷，還直接威脅政治安全、經(jīng)濟(jì)安全、科技安全等各個(gè)方面。近年來全球典型勒索攻擊匯總表名稱出現(xiàn)時(shí)間特點(diǎn)典型受害企業(yè)WannaCry2017.5蠕蟲擴(kuò)散傳播和勒索軟件全球150多個(gè)國(guó)家和地區(qū)的20萬臺(tái)電腦設(shè)備受感染。加密文件雙重功能，比特美國(guó)波音飛機(jī)生產(chǎn)工廠、全球知名半導(dǎo)體廠商臺(tái)積電幣支付NotPetya2017.6加密和鎖死整個(gè)硬盤，從全球領(lǐng)先的助聽器制造商Demant、航運(yùn)巨頭馬士基、內(nèi)存提取密碼快遞服務(wù)商聯(lián)邦快遞、俄羅斯最大石油企業(yè)RosneftBitPaymer2017針對(duì)大型公司，攻擊行業(yè)全球知名自動(dòng)化工具生產(chǎn)商之一皮爾茲（Pilz）、蘇的供應(yīng)鏈解決方案提供商格蘭醫(yī)院、美國(guó)阿拉斯加自治市政府、美國(guó)飲料供應(yīng)商-亞利桑那飲料公司Ryuk2018.8對(duì)大型企業(yè)定向攻擊全球知名自動(dòng)化工具生產(chǎn)商之一皮爾茲（Pilz）、蘇格蘭醫(yī)院、美國(guó)阿拉斯加自治市政府、美國(guó)飲料供應(yīng)商-亞利桑那飲料公司Ryuk2018.8對(duì)大型企業(yè)定向攻擊美國(guó)通用健康服務(wù)公司、法國(guó)IT巨頭SopraSteriaMaze2019.4針對(duì)專業(yè)部門，攻擊北美美國(guó)跨國(guó)IT服務(wù)商Cognizant、美國(guó)軍事承包商和歐洲組織WestechInternationl、佳能Sodinokibi2019.5通過混合方式發(fā)動(dòng)攻擊，阿根廷電信公司、美國(guó)烈酒和葡萄酒行業(yè)Brown-對(duì)國(guó)內(nèi)系統(tǒng)做定制化操作Forman公司NetWalker2019.8針對(duì)政企、醫(yī)療組織和遠(yuǎn)阿根廷移民局程辦公員工，利用系統(tǒng)內(nèi)工具攻擊Ekans2019.12依靠釣魚郵件傳播澳大利亞航運(yùn)及物流公司W(wǎng)astedLocker2020.4針對(duì)高價(jià)值企業(yè)健身追蹤器、智能手表和GPS產(chǎn)品制造商Garmin16第二章勒索攻擊演進(jìn)路徑與特征名稱出現(xiàn)時(shí)間特點(diǎn)典型受害企業(yè)Avaddon2020.6以垃圾郵件傳播保險(xiǎn)巨頭安盛集團(tuán)Revil-加密所有文件，通過比特智利國(guó)家銀行、中國(guó)臺(tái)灣PC巨頭宏基(Acer）、幣支付贖金全球最大肉制品供應(yīng)商JBS、美國(guó)核武供應(yīng)商SolOwriens公司、日本富士、美國(guó)IT管理軟件開發(fā)商KaseyaDarkside2020.8以RaaS模式運(yùn)作，具有美國(guó)最大的燃料管道運(yùn)營(yíng)商ColonialWindows和Linux雙平臺(tái)攻擊能力，只針對(duì)大型盈利性公司RansomEXX 2020.6 通過購買憑證、暴力破解RDP服務(wù)器、利用安全漏洞等方式入侵，出現(xiàn)Linux版本

巴西政府網(wǎng)絡(luò)、得克薩斯州交通部（TxDOT）、柯尼卡美能達(dá)、IPGPhotonics、TylerTechnologies、厄瓜多爾最大網(wǎng)絡(luò)運(yùn)營(yíng)商CNT數(shù)據(jù)來源：根據(jù)公開信息整理2021年以來，勒索攻擊事件頻發(fā)。以美國(guó)為例，2021年5月以來，美國(guó)頻繁遭遇勒索病毒攻擊，有媒體甚至用“囂張”兩個(gè)字形容這一現(xiàn)象。而且，勒索的攻擊對(duì)象范圍不斷擴(kuò)大，醫(yī)院、交通、食品、管道運(yùn)輸?shù)刃袠I(yè)和領(lǐng)域，都成為其攻擊的對(duì)象。2021.012021年1月，首款2021年面世的勒索軟件BabukLocker在新年伊始攻擊了5家企業(yè)。其開出的贖金價(jià)格（要求以比特幣支付）在60,000美元到85,000美元之間。60,000 85,0002021.022021年2月，據(jù)BleepingComputer報(bào)道，起亞汽車美國(guó)公司（KMA）疑似遭受了DoppelPaymer團(tuán)伙的勒索軟件攻擊，攻擊者要求提供2000萬美元贖金解密數(shù)據(jù)，以及防止被盜數(shù)據(jù)泄露。此前，BleepingComputer報(bào)道起亞汽車美國(guó)正在遭受全國(guó)性IT系統(tǒng)中斷，受影響系統(tǒng)包括移動(dòng)UVOLink應(yīng)用程序、電話服務(wù)、支付系統(tǒng)、用戶門戶以及經(jīng)銷商使用的內(nèi)部站點(diǎn)。17勒索攻擊特征與趨勢(shì)研究白皮書（2021）2021.032021年3月，REvil勒索軟件團(tuán)伙在其數(shù)據(jù)泄露站點(diǎn)上宣布，他們已經(jīng)成功入侵宏碁電腦公司的系統(tǒng)，并同時(shí)公布了幾張作為證據(jù)的被盜文件截圖，包括關(guān)于財(cái)務(wù)電子表格、銀行結(jié)余以及銀行往來信息的文檔等。3月，澳大利亞最大的電視網(wǎng)絡(luò)之一九號(hào)電視臺(tái)，在官方網(wǎng)站上披露遭受網(wǎng)絡(luò)攻擊，導(dǎo)致生產(chǎn)系統(tǒng)被迫下線。2021.042021年4月，荷蘭BakkerLogistiek公司遭遇勒索軟件攻擊，業(yè)務(wù)網(wǎng)絡(luò)上的設(shè)備被對(duì)方加密，食品運(yùn)輸與配送體系也隨之癱瘓，多地超市發(fā)生食品斷貨。4月，BabukLocker勒索團(tuán)伙宣稱，他們已經(jīng)從美國(guó)哥倫比亞特區(qū)警局的服務(wù)器上總計(jì)下載到超250GB數(shù)據(jù)。該團(tuán)伙隨后主動(dòng)聯(lián)系警局，要求對(duì)方三天之內(nèi)回應(yīng)勒索要求。如果不支付贖金，他們將對(duì)外公布該警局的秘密檔案。4月，REvil勒索軟件團(tuán)伙向蘋果公司提出贖金要求，否則就將機(jī)密信息發(fā)上暗網(wǎng)。REvil團(tuán)伙稱，他們已經(jīng)成功入侵中國(guó)臺(tái)灣廣達(dá)電腦公司。遵循勒索活動(dòng)的一貫套路，REvil團(tuán)伙在某暗網(wǎng)門戶網(wǎng)站上發(fā)表帖子，表示廣達(dá)電腦拒絕贖回這批失竊數(shù)據(jù)，因此REvil決定轉(zhuǎn)而將矛頭指向信息內(nèi)容涉及的各家主要客戶。REvil團(tuán)伙共發(fā)布了21張MacBook產(chǎn)品設(shè)計(jì)圖，并威脅除非蘋果或廣達(dá)電腦支付贖金，否則他們將每天披露更多新數(shù)據(jù)。此外，該勒索軟件團(tuán)伙還暗示，他們有意將這批數(shù)據(jù)出售給多家公司。4月，英國(guó)城市鐵路運(yùn)營(yíng)商默西鐵路（Merseyrail）證實(shí)，遭受勒索軟件攻擊。攻擊方甚至使用該公司內(nèi)部電子郵件系統(tǒng)，向員工及記者發(fā)送了關(guān)于勒索活動(dòng)的說明郵件。2021.052021年5月，美國(guó)最大燃油管道商Colonial遭受勒索攻擊后被迫關(guān)閉。5月，美國(guó)水務(wù)公司W(wǎng)SSCWater稱，其系統(tǒng)遭到了勒索軟件攻擊。5月，專為歐洲能源及基礎(chǔ)設(shè)施企業(yè)提供技術(shù)方案的挪威公司Volue遭遇勒索軟件攻擊。勒索軟件關(guān)閉了挪威國(guó)內(nèi)200座城市的供水與水處理設(shè)施的應(yīng)用程序，影響范圍覆蓋全國(guó)約85%的居民。182021.062021.072021.08

第二章勒索攻擊演進(jìn)路徑與特征2021年6月，據(jù)美國(guó)華盛頓“?？怂?5”電視臺(tái)報(bào)道，華盛頓大都會(huì)警察局（MPD）的服務(wù)器被名為Babuk的黑客團(tuán)伙入侵。Babuk向警方索要400萬美元的贖金，否則將公布250GBMPD機(jī)密文件。6月，全球最大肉類生產(chǎn)商巴西JBS集團(tuán)美國(guó)分公司的CEO表示，該公司向網(wǎng)絡(luò)犯罪分子支付了價(jià)值1100萬美元的比特幣贖金，以解決所遭受的網(wǎng)絡(luò)攻擊，這次攻擊迫使該公司暫時(shí)關(guān)閉了加工美國(guó)約五分之一肉類產(chǎn)品的工廠。6月，中國(guó)臺(tái)灣內(nèi)存和存儲(chǔ)制造商威剛表示，在5月下旬網(wǎng)絡(luò)被攻擊后，勒索軟件的再次攻擊迫使其系統(tǒng)脫機(jī)。6月，美國(guó)最大傳媒集團(tuán)之一考克斯媒體集團(tuán)（CoxMedia）旗下廣播和電視臺(tái)遭遇勒索軟件攻擊，導(dǎo)致直播流被迫中斷。這次事件影響到考克斯媒體資產(chǎn)中的內(nèi)部網(wǎng)絡(luò)與實(shí)時(shí)流媒體功能，令網(wǎng)絡(luò)流媒體與移動(dòng)應(yīng)用業(yè)務(wù)無法正常運(yùn)轉(zhuǎn)。6月，勒索軟件攻擊令美國(guó)馬薩諸塞州的最大輪渡服務(wù)商SteamshipAuthority遭遇班次延誤與中斷，擾亂了馬撒葡萄園島與楠塔基特群島同美國(guó)大陸之間的輪渡交通。6月，日本富士公司宣布正在調(diào)查勒索軟件攻擊，并關(guān)閉了部分網(wǎng)絡(luò)以防止攻擊蔓延。2021年7月，為4萬多家組織提供服務(wù)的美國(guó)IT管理軟件廠商Kaseya披露，它們已經(jīng)淪為“復(fù)雜網(wǎng)絡(luò)攻擊”的受害者。這導(dǎo)致包括瑞典最大雜貨零售品牌在內(nèi)的全球數(shù)百家企業(yè)，啟動(dòng)緊急應(yīng)急響應(yīng)，以應(yīng)對(duì)潛在的違規(guī)漏洞。7月，英國(guó)地方公共鐵路運(yùn)營(yíng)商北方鐵路（NorthernTrains）遭遇服務(wù)宕機(jī)，自助售票亭無法正常運(yùn)行，官方稱遭到了勒索軟件的突然襲擊。7月，厄瓜多爾最大的網(wǎng)絡(luò)運(yùn)營(yíng)商國(guó)家電信（CNT）遭遇勒索軟件攻擊，業(yè)務(wù)運(yùn)營(yíng)、支付門戶及客戶支持全部陷入癱瘓。2021年8月，勒索軟件團(tuán)伙L(fēng)ockBit發(fā)布公告稱，已攻破咨詢巨頭埃森哲內(nèi)網(wǎng)，竊取了一批內(nèi)部數(shù)據(jù)；埃森哲隨后承認(rèn)，確實(shí)遭到勒索軟件攻擊，但公司運(yùn)營(yíng)未受到影響，相關(guān)系統(tǒng)已通19勒索攻擊特征與趨勢(shì)研究白皮書（2021）過備份副本恢復(fù)。8月，日本跨國(guó)保險(xiǎn)公司東京海上控股（TokioMarineHoldings）披露稱，新加坡分公司新加坡東京海上保險(xiǎn)（TMiS）遭受勒索軟件攻擊。8月，巴西政府發(fā)布聲明稱，巴西國(guó)庫（NationalTreasury）遭遇勒索軟件攻擊。巴西經(jīng)濟(jì)部表示，他們立即采取了相關(guān)措施，以遏制網(wǎng)絡(luò)攻擊引發(fā)的影響。8月，美國(guó)醫(yī)療連鎖機(jī)構(gòu)MemorialHealthSystem遭遇勒索軟件攻擊，致使IT系統(tǒng)癱瘓，旗下三家醫(yī)院無法正常運(yùn)營(yíng)。8月，中國(guó)臺(tái)灣電腦巨頭技嘉遭勒索軟件攻擊，上百GB數(shù)據(jù)失竊。2021.092021年9月，南非司法與憲法發(fā)展部所有系統(tǒng)被勒索軟件攻擊者加密，所有系統(tǒng)被鎖死，內(nèi)部員工及公眾均無法使用，運(yùn)營(yíng)陷入“手動(dòng)”。9月，歐洲呼叫中心巨頭Covisian的西班牙與南美洲分部GSS遭勒索，多個(gè)關(guān)基組織客服中斷。9月，美國(guó)第二家農(nóng)業(yè)合作社CrystalValley系統(tǒng)遭遇到勒索軟件攻擊，位于愛荷華州的農(nóng)場(chǎng)服務(wù)供應(yīng)商N(yùn)EWCooperative也遇到勒索軟件攻擊。9月，日本科技巨頭奧林巴斯遭到勒索攻擊導(dǎo)致部分網(wǎng)絡(luò)關(guān)閉。2021.102021年10月，蘇格蘭跨國(guó)工程企業(yè)偉爾集團(tuán)（WeirGroup）披露了一項(xiàng)“勒索軟件攻擊企圖”，稱該事件導(dǎo)致了今年9月的“重大臨時(shí)中斷”。從上述勒索攻擊事件可以看出，勒索攻擊事件發(fā)生的頻率不斷攀高，其所涉及的行業(yè)和領(lǐng)域也不斷擴(kuò)展，例如金融領(lǐng)域已經(jīng)成為勒索攻擊的重災(zāi)區(qū)之一。根據(jù)美國(guó)財(cái)政部當(dāng)?shù)貢r(shí)間2021年10月15日發(fā)布的一份報(bào)告，截至2021年6月，金融機(jī)構(gòu)已經(jīng)向金融犯罪執(zhí)法網(wǎng)絡(luò)報(bào)告了635起與勒索軟件相關(guān)的可疑活動(dòng)，比2020年報(bào)告的所有活動(dòng)增加了30%。20第二章勒索攻擊演進(jìn)路徑與特征四、勒索攻擊事件支付成本大幅攀升勒索軟件攻擊不僅變得越來越頻繁，而且成本也越來越高。遭遇勒索攻擊的當(dāng)事方出于各種原因，不得不選擇交付贖金以重新恢復(fù)正常的秩序。勒索攻擊交易數(shù)額導(dǎo)致受攻擊對(duì)象支付成本增加。根據(jù)美國(guó)財(cái)政部當(dāng)?shù)貢r(shí)間2021年10月15日發(fā)布的一份報(bào)告，2021年報(bào)告的總價(jià)值為5.9億美元，平均每月6640萬美元，2020年全年的總價(jià)值為4.16億美元。網(wǎng)絡(luò)保險(xiǎn)公司的數(shù)據(jù)表明，勒索軟件攻擊不僅變得越來越頻繁，而且成本也越來越高，遭勒索且索賠的案件也呈上升趨勢(shì)。據(jù)報(bào)道，今年5月，REvil公司因攻擊全球肉類供應(yīng)商JBS公司獲得了1100萬美元贖金收入。隨后，該組織在7月攻擊了軟件公司卡西亞（Kaseya），導(dǎo)致這家公司數(shù)百名客戶無法工作，有些甚至長(zhǎng)達(dá)數(shù)月。另一個(gè)組織“黑暗面”（DarkSide）的黑客敲詐了美國(guó)燃料供應(yīng)商科洛尼爾（ColonialPipeline）數(shù)百萬美元，引發(fā)了對(duì)可能出現(xiàn)的天然氣短缺的恐慌。勒索攻擊事件增加促使各國(guó)加大應(yīng)對(duì)勒索攻擊財(cái)政投入。勒索攻擊事件導(dǎo)致的支付成本增加，促使各國(guó)政府不得不考慮通過增加財(cái)政投入改善網(wǎng)絡(luò)安全狀況，甚至考慮幫助受到勒索攻擊方恢復(fù)正常秩序。為應(yīng)對(duì)風(fēng)險(xiǎn)，澳大利亞政府已通過澳大利亞《2020年網(wǎng)絡(luò)安全戰(zhàn)略》批準(zhǔn)了為期十年的16.7億澳元（12.3億美元）的投資，其中勒索軟件計(jì)劃是該項(xiàng)投資的一部分。在這部分投資中，有大約一半的份額用于雇傭另外100名AFP特工。新的工作組將承擔(dān)識(shí)別、調(diào)查和鎖定網(wǎng)絡(luò)犯罪分子的角色。在澳大利亞政府尋求通過的《2021年監(jiān)視立法修正案》中，在支持受害者內(nèi)容方面，還包括610萬澳元（450萬美元），用于幫助企業(yè)從災(zāi)難性的網(wǎng)絡(luò)攻擊中恢復(fù)，并培訓(xùn)中小企業(yè)如何改善其網(wǎng)絡(luò)安全狀況。21勒索攻擊特征與趨勢(shì)研究白皮書（2021）五、各國(guó)加速調(diào)整反勒索相關(guān)立法勒索軟件造成的數(shù)據(jù)安全事件頻發(fā)，成為各國(guó)共同面臨的挑戰(zhàn)，對(duì)勒索軟件進(jìn)行立法規(guī)制的需要已經(jīng)刻不容緩。2016.09美國(guó)加州通過參議院第1137號(hào)法案（SenateBillNo.1137-Chapter725）修訂了《刑法典》第節(jié)2017.09美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院發(fā)布幫助遭受勒索軟件攻擊的企業(yè)制定數(shù)據(jù)恢復(fù)計(jì)劃的專門指南2020.09NIST發(fā)布了新的《數(shù)據(jù)完整性恢復(fù)指南（SP）1800-11》2021.03美國(guó)商務(wù)部《確保信息和通信技術(shù)及服務(wù)供應(yīng)鏈安全》

（一）美國(guó)2016年9月，美國(guó)加州通過參議院第1137號(hào)法案（SenateBillNo.1137-Chapter725），修訂了《刑法典》第523節(jié)，在法律層面明確了實(shí)施勒索軟件行為的刑事責(zé)任，規(guī)定以獲取錢財(cái)或其他利益為目的，直接放置或感染勒索軟件，或者指使、引誘他人這樣做，從而將勒索軟件感染到計(jì)算機(jī)、計(jì)算機(jī)系統(tǒng)或計(jì)算機(jī)網(wǎng)絡(luò)中，在獲取利益后為受感染者提供移除或其他方式的恢復(fù)服務(wù)的，將視情節(jié)處以2至4年的監(jiān)禁。2017年9月，美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院（NationalInstituteofStandardsandTechnology，NIST）發(fā)布了幫助遭受勒索軟件攻擊的企業(yè)制定數(shù)據(jù)恢復(fù)計(jì)劃的專門指南，提供了包括高級(jí)架構(gòu)、實(shí)現(xiàn)案例、安全特性分析等正確處理勒索軟件攻擊的方法建議。2020年9月，NIST發(fā)布了新的《數(shù)據(jù)完整性恢復(fù)指南（SP）1800-11》7，幫助組織制定從影響數(shù)據(jù)完整性的攻擊中恢復(fù)的策略，恢復(fù)并維持運(yùn)營(yíng)及管理企業(yè)風(fēng)險(xiǎn)。在遭遇“太陽風(fēng)”（SolarWinds）大型供應(yīng)鏈安全事件后，美國(guó)又緊急出臺(tái)了一系列有關(guān)供應(yīng)鏈安全的政策法規(guī)。2021年月，美國(guó)商務(wù)部《確保信息和通信技術(shù)及服務(wù)供應(yīng)鏈安全》（SecuringtheInformationandCommunicationsTechnologyandServicesSupplyChain）8生效，要求對(duì)半導(dǎo)體芯片等四類供應(yīng)鏈產(chǎn)品開展審查，并在一年內(nèi)完成對(duì)美國(guó)國(guó)防、通信科技、能源等六大部門的生產(chǎn)供應(yīng)鏈進(jìn)行風(fēng)險(xiǎn)評(píng)估，提出改善措施。/nistpubs/SpecialPublications/NIST.SP.1800-11.pdf8/content/pkg/FR-2021-01-19/pdf/2021-01234.pdf22第二章勒索攻擊演進(jìn)路徑與特征2021.04美國(guó)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施安全局和NIST聯(lián)合發(fā)布《防御軟件供應(yīng)鏈攻擊》2021.05美國(guó)總統(tǒng)簽署《關(guān)于改善國(guó)家網(wǎng)絡(luò)安全的行政命令》2021.06美國(guó)參議院通過《2021年美國(guó)創(chuàng)新和競(jìng)爭(zhēng)法案》網(wǎng)絡(luò)安全的行政命令》美國(guó)白宮針對(duì)企業(yè)發(fā)布避免勒索軟件備忘錄美國(guó)司法部提交《關(guān)于勒索軟件和數(shù)字勒索調(diào)查和案件的指導(dǎo)意見》備忘錄2021.07美國(guó)眾議院通過《國(guó)土安全部工業(yè)控制系統(tǒng)能力增強(qiáng)法案》

2021年4月，美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CybersecurityandInfrastructureSecurityAgency，CISA）和NIST聯(lián)合發(fā)布《防御軟件供應(yīng)鏈攻擊》（DefendingAgainstSoftwareSupplyChainAttacks）9報(bào)告，描述了與軟件供應(yīng)鏈攻擊相關(guān)的信息、關(guān)聯(lián)風(fēng)險(xiǎn)及緩解措施。2021年5月，美國(guó)總統(tǒng)簽署的《關(guān)于改善國(guó)家網(wǎng)絡(luò)安全的行政命令》（ExecutiveOrderonImprovingtheNation’sCybersecurity）10要求，聯(lián)邦政府采取行動(dòng)確保軟件供應(yīng)鏈的安全性和完整性，其中包括要求向政府出售的軟件必須符合基準(zhǔn)安全標(biāo)準(zhǔn)，并引入軟件物料清單。2021年6月，美國(guó)參議院在通過的《2021年美國(guó)創(chuàng)新和競(jìng)爭(zhēng)法案》（TheUnitedStatesInnovationandCompetitionActof2021）11也提到要推進(jìn)“彈性供應(yīng)鏈戰(zhàn)略”、幫助美國(guó)公司“獲得穩(wěn)定可控的全球供應(yīng)鏈”等，從而確保美國(guó)在供應(yīng)鏈安全方面的領(lǐng)導(dǎo)地位，減少網(wǎng)絡(luò)攻擊的產(chǎn)生。同月，美國(guó)白宮針對(duì)企業(yè)發(fā)布避免勒索軟件備忘錄，總統(tǒng)府助理、負(fù)責(zé)網(wǎng)絡(luò)和新興技術(shù)的副國(guó)家安全顧問安妮·諾伊伯格（AnneNeuberger）指出：“所有組織都必須認(rèn)識(shí)到，任何公司都不能成為勒索軟件的目標(biāo)”，敦促商界領(lǐng)袖“立即召集他們的領(lǐng)導(dǎo)團(tuán)隊(duì)討論勒索軟件的威脅”，并在他們受到攻擊時(shí)加強(qiáng)安全措施和連續(xù)性計(jì)劃，并列出了一系列最佳實(shí)踐和建議，從創(chuàng)建數(shù)據(jù)備份到及時(shí)的系統(tǒng)補(bǔ)丁、第三方網(wǎng)絡(luò)安全審查和分段網(wǎng)絡(luò)。同月，美國(guó)司法部提交《關(guān)于勒索軟件和數(shù)字勒索調(diào)查和案件的指導(dǎo)意見》備忘錄，旨在通過一系列安全指令實(shí)踐來阻止勒索軟件感染、數(shù)據(jù)盜竊和向網(wǎng)絡(luò)犯罪集團(tuán)支付巨額款項(xiàng)等違法行為。2021年7月，美國(guó)眾議院通過了一系列涉及反勒索軟件的立法。一是《國(guó)土安全部工業(yè)控制系統(tǒng)能力增強(qiáng)法案》（HR1833-DHSIndustrialControlSystemsCapabilitiesEnhancementActof/sites/default/files/publications/defending_against_software_supply_chain_attacks_508.pdf/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity//imo/media/doc/USICA%20Summary%205.18.21.pdf23勒索攻擊特征與趨勢(shì)研究白皮書（2021）《網(wǎng)絡(luò)安全漏洞修補(bǔ)法案》《CISA網(wǎng)絡(luò)演習(xí)法案》《州和地方網(wǎng)絡(luò)安全改善法案》《國(guó)土安全關(guān)鍵領(lǐng)域法案》2021.08美國(guó)國(guó)土安全部CISA發(fā)布《保護(hù)敏感信息和個(gè)人信息免受勒索軟件導(dǎo)致的數(shù)據(jù)泄露》

2021）12。目前，該法案已在參議院獲得兩黨支持。該法案要求國(guó)土安全部的網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）帶頭更好地識(shí)別和減輕對(duì)ICS基礎(chǔ)設(shè)施的威脅。二是《網(wǎng)絡(luò)安全漏洞修補(bǔ)法案》（HR2980-CybersecurityVulnerabilityRemediationAct）13，重點(diǎn)關(guān)注關(guān)鍵基礎(chǔ)設(shè)施。該法案旨在授權(quán)美國(guó)國(guó)土安全部（DHS）的網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)協(xié)助關(guān)鍵基礎(chǔ)設(shè)施的所有者和運(yùn)營(yíng)商制定針對(duì)嚴(yán)重漏洞的緩解策略。該法案涵蓋了IT和OT系統(tǒng)中的漏洞，以及不再被支持的硬件或軟件中的安全漏洞。它還授權(quán)國(guó)土安全部為識(shí)別IT和ICS產(chǎn)品漏洞的補(bǔ)救方案引入競(jìng)爭(zhēng)機(jī)制。三是《CISA網(wǎng)絡(luò)演習(xí)法案》（HR3223-CISACyberExerciseAct）14。該法案在CISA內(nèi)部建立了一個(gè)項(xiàng)目，旨在促進(jìn)對(duì)針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊的準(zhǔn)備和恢復(fù)能力的定期測(cè)試和評(píng)估。演習(xí)將模擬網(wǎng)絡(luò)攻擊對(duì)政府或關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)的重大影響，并將幫助組織提高準(zhǔn)備和事件響應(yīng)能力。四是《州和地方網(wǎng)絡(luò)安全改善法案》(HR3138-StateandLocalCybersecurityImprovementAct)15。該法案將創(chuàng)建一個(gè)每年5億美元的撥款項(xiàng)目，由國(guó)土安全部運(yùn)營(yíng)，以幫助各州和地方政府改善網(wǎng)絡(luò)安全。該法案還將創(chuàng)建一個(gè)州和地方網(wǎng)絡(luò)安全彈性委員會(huì)，以確保國(guó)土安全部的網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局與州、地方、部落和地區(qū)政府之間就其網(wǎng)絡(luò)需求進(jìn)行持續(xù)的對(duì)話。五是《國(guó)土安全關(guān)鍵領(lǐng)域法案》（HR3264-theDomainsCriticaltoHomelandSecurityAct）16。該法案授權(quán)國(guó)土安全部識(shí)別對(duì)經(jīng)濟(jì)安全至關(guān)重要的領(lǐng)域的供應(yīng)鏈風(fēng)險(xiǎn)。雖然它沒有特別提到網(wǎng)絡(luò)，但它可能適用于這個(gè)領(lǐng)域。該法案的摘要解釋說，“該法案將美國(guó)經(jīng)濟(jì)安全的關(guān)鍵領(lǐng)域定義為對(duì)美國(guó)經(jīng)濟(jì)安全至關(guān)重要的關(guān)鍵基礎(chǔ)設(shè)施和其他相關(guān)產(chǎn)業(yè)、技術(shù)和知識(shí)產(chǎn)權(quán)，或它們的任何組合?！?021年8月，美國(guó)國(guó)土安全部CISA發(fā)布有關(guān)如何防止勒索軟件數(shù)據(jù)泄露的指南，名為《保護(hù)敏感信息和個(gè)人信息免受勒索/billsthisweek/20210719/BILLS-117hr1833-SUS.pdf/billsthisweek/20210719/BILLS-117hr2980-SUS.pdf/billsthisweek/20210719/BILLS-117hr3223-SUS.pdf/billsthisweek/20210719/BILLS-117hr3138-SUS.pdf/billsthisweek/20210719/BILLS-117hr3264-SUS.pdf24第二章勒索攻擊演進(jìn)路徑與特征2021.10美國(guó)參議員提出《贖金披露法草案》2021.05.24澳洲政府公開表示正在考慮制定政策2021.08.12澳大利亞工黨在參議院重新提出《勒索軟件法案》

軟件導(dǎo)致的數(shù)據(jù)泄露》17。該文件建議公司如果成為勒索軟件攻擊的目標(biāo)，不要支付贖金。根據(jù)該機(jī)構(gòu)的文件，為防止成為勒索軟件攻擊的受害者，企業(yè)應(yīng)采取如下步驟：解決面向互聯(lián)網(wǎng)的漏洞和錯(cuò)誤配置，減少攻擊者利用這一攻擊面的可能性；制定、維護(hù)和行使基本的網(wǎng)絡(luò)事件響應(yīng)計(jì)劃、彈性戰(zhàn)略和相關(guān)的通信計(jì)劃；保持?jǐn)?shù)據(jù)的離線、加密副本，并定期驗(yàn)證備份；減少收到網(wǎng)絡(luò)釣魚郵件的可能性；堅(jiān)持正確的網(wǎng)絡(luò)健康準(zhǔn)則。2021年10月，美國(guó)參議員伊麗莎白·沃倫（ElizabethWarren）和眾議員德博拉·羅斯（DeborahRoss）提出《贖金披露法草案》（RansomDisclosureAct）18。草案要求勒索軟件受害者（不包括個(gè)人）在支付贖金之日起48小時(shí)內(nèi)披露有關(guān)贖金支付的信息，包括要求和支付的贖金金額、用于支付贖金的貨幣類型以及有關(guān)勒索軟件的任何已知信息；要求贖金的實(shí)體；要求國(guó)土安全部公開上一年披露的信息，不包括支付贖金實(shí)體的身份信息；要求國(guó)土安全部建立個(gè)人可以自愿報(bào)告贖金支付情況的網(wǎng)站；指示國(guó)土安全部部長(zhǎng)對(duì)勒索軟件攻擊之間的共性以及加密貨幣促進(jìn)這些攻擊的程度進(jìn)行研究，并為保護(hù)信息系統(tǒng)和加強(qiáng)網(wǎng)絡(luò)安全提供建議。（二）澳大利亞2021年5月24日，澳洲政府公開表示正在考慮制定政策，要求因遭到網(wǎng)絡(luò)攻擊而支付贖金的企業(yè)向政府報(bào)告。2021年8月12日，澳大利亞工黨在參議院重新提出《勒索軟件法案》19，如果該法案獲得通過，將要求企業(yè)和政府在為應(yīng)對(duì)網(wǎng)絡(luò)攻擊而支付勒索軟件費(fèi)用之前通知澳大利亞網(wǎng)絡(luò)安全中心。為了進(jìn)一步加強(qiáng)調(diào)查和破壞勒索軟件攻擊的能力，澳大利亞/sites/default/files/publications/CISA_Fact_Sheet-Protecting_Sensitive_and_Personal_Information_from_Ransomware-Caused_Data_Breaches-508C.pdf/imo/media/doc/DUN21766.pdf/knews/24/1140.html25勒索攻擊特征與趨勢(shì)研究白皮書（2021）針對(duì)敲詐勒索信息網(wǎng)絡(luò)技術(shù)支持和幫助、制作傳播計(jì)算機(jī)病毒等危害網(wǎng)絡(luò)安全方面的規(guī)定較為完善1997.03《刑法》及后續(xù)歷次修正案2000.04《計(jì)算機(jī)病毒防治管理辦法》2005《治安管理處罰法》29條

政府還在尋求通過《2021年監(jiān)視立法修正案》以獲得新的權(quán)力。根據(jù)這項(xiàng)新立法，澳大利亞聯(lián)邦警察（AFP）和澳大利亞刑事情報(bào)委員會(huì)（ACIC）將有權(quán)刪除或刪除與涉嫌犯罪活動(dòng)有關(guān)的數(shù)據(jù)，允許訪問設(shè)備和網(wǎng)絡(luò)，甚至允許為了調(diào)查目的接管在線賬戶。這些新權(quán)限將允許執(zhí)法部門刪除在勒索軟件攻擊中竊取的數(shù)據(jù)，以及存儲(chǔ)在攻擊者操作的服務(wù)器上用于雙重勒索的數(shù)據(jù)。通過刪除這些數(shù)據(jù)，執(zhí)法部門希望在受害者不支付贖金的情況下防止?jié)撛诘臄?shù)據(jù)泄露。（三）中國(guó)在我國(guó)，勒索攻擊事件頻發(fā)，對(duì)人民生產(chǎn)生活造成了嚴(yán)重的影響。從法律法規(guī)角度，完善的相關(guān)法律法規(guī)是打擊勒索攻擊的第一步。目前，我國(guó)現(xiàn)行法律沒有針對(duì)勒索軟件的專門性規(guī)定，但是，針對(duì)敲詐勒索、信息網(wǎng)絡(luò)技術(shù)支持和幫助、制作傳播計(jì)算機(jī)病毒等危害網(wǎng)絡(luò)安全方面的規(guī)定較為完善。1997年3月的《刑法》及后續(xù)歷次修正案，在第274條規(guī)定了敲詐勒索罪，第285條規(guī)定了非法侵入計(jì)算機(jī)信息系統(tǒng)罪、非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪、非法控制計(jì)算機(jī)信息系統(tǒng)罪和提供侵入、非法控制計(jì)算機(jī)信息系統(tǒng)程序、工具罪；第286條將計(jì)算機(jī)病毒作為破壞性程序的一種，第287條之一規(guī)定了非法利用信息網(wǎng)絡(luò)罪，287條之二規(guī)定了幫助信息網(wǎng)絡(luò)犯罪活動(dòng)罪。2000年4月，《計(jì)算機(jī)病毒防治管理辦法》明確規(guī)定，任何單位和個(gè)人不得制作、傳播計(jì)算機(jī)病毒，并規(guī)定了相應(yīng)的警告、罰款、沒收非法所得等行政處罰。2005年，《治安管理處罰法》第29條規(guī)定故意制作、傳播計(jì)算機(jī)病毒等破壞性程序，影響計(jì)算機(jī)信息系統(tǒng)正常運(yùn)行的，可予以十日以下拘留。2011年8月，《最高人民法院、最高人民檢察院關(guān)于辦理26第二章勒索攻擊演進(jìn)路徑與特征2011.08《最高人民法院、最高人民檢察院關(guān)于辦理危害計(jì)算機(jī)信息系統(tǒng)安全刑事案件應(yīng)用法律若干問題的解釋》第5條2013.04《最高人民法院、最高人民檢察院關(guān)于辦理敲詐勒索刑事案件適用法律若干問題的解釋》2016.11《網(wǎng)絡(luò)安全法》2021.06《數(shù)據(jù)安全法》

危害計(jì)算機(jī)信息系統(tǒng)安全刑事案件應(yīng)用法律若干問題的解釋》第條界定了破壞性程序的范圍，包括：（1）能夠通過網(wǎng)絡(luò)、存儲(chǔ)介質(zhì)、文件等媒介，將自身的部分、全部或者變種進(jìn)行復(fù)制、傳播，并破壞計(jì)算機(jī)系統(tǒng)功能、數(shù)據(jù)或者應(yīng)用程序的；（2）能夠在預(yù)先設(shè)定條件下自動(dòng)觸發(fā)，并破壞計(jì)算機(jī)系統(tǒng)功能、數(shù)據(jù)或者應(yīng)用程序的；（3）其他專門設(shè)計(jì)用于破壞計(jì)算機(jī)系統(tǒng)功能、數(shù)據(jù)或者應(yīng)用程序的程序。2013年4月，《最高人民法院、最高人民檢察院關(guān)于辦理敲詐勒索刑事案件適用法律若干問題的解釋》明確了量刑標(biāo)準(zhǔn)，并在第7條規(guī)定：明知他人實(shí)施敲詐勒索犯罪，為其網(wǎng)絡(luò)技術(shù)支持等提供幫助的，以共同犯罪論處。2016年11月，《網(wǎng)絡(luò)安全法》出臺(tái)，促進(jìn)了網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的全面開展。該法規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行多項(xiàng)安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。明確要求任何個(gè)人和組織不得從事非法侵入他人網(wǎng)絡(luò)、干擾他人網(wǎng)絡(luò)正常功能、竊取網(wǎng)絡(luò)數(shù)據(jù)等危害網(wǎng)絡(luò)安全的活動(dòng)；不得提供專門用于從事侵入網(wǎng)絡(luò)、干擾網(wǎng)絡(luò)正常功能及防護(hù)措施、竊取網(wǎng)絡(luò)數(shù)據(jù)等危害網(wǎng)絡(luò)安全活動(dòng)的程序、工具；明知他人從事危害網(wǎng)絡(luò)安全的活動(dòng)的，不得為其提供技術(shù)支持、廣告推廣、支付結(jié)算等幫助。同時(shí)，要求網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，及時(shí)處置系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險(xiǎn)；在發(fā)生危害網(wǎng)絡(luò)安全的事件時(shí)，立即啟動(dòng)應(yīng)急預(yù)案，采取相應(yīng)的補(bǔ)救措施，并按照規(guī)定向有關(guān)主管部門報(bào)告。該法建立了較為全面的管理制度遏制勒索病毒。2021年6月，《數(shù)據(jù)安全法》公布，進(jìn)一步加強(qiáng)了數(shù)據(jù)安全領(lǐng)域基礎(chǔ)性制度的建設(shè)，其中第三十二條規(guī)定：“任何組織、個(gè)人收集數(shù)據(jù)，應(yīng)當(dāng)采取合法、正當(dāng)?shù)姆绞剑坏酶`取或者以其他非法方式獲取數(shù)據(jù)”。同時(shí)，第五十一條規(guī)定：“禁止以竊取27勒索攻擊特征與趨勢(shì)研究白皮書（2021）2021.07工信部、國(guó)家互聯(lián)網(wǎng)信息辦公室、公安部聯(lián)合發(fā)布《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》國(guó)家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布《勒索軟件防范指南》2021.08國(guó)務(wù)院發(fā)布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《個(gè)人信息保護(hù)法》

或者其他非法方式獲取數(shù)據(jù)，違反者，將依照有關(guān)法律、行政法規(guī)的規(guī)定處罰”。2021年7月，工信部、國(guó)家互聯(lián)網(wǎng)信息辦公室、公安部聯(lián)合發(fā)布《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》，其中明確了網(wǎng)絡(luò)產(chǎn)品提供者、網(wǎng)絡(luò)運(yùn)營(yíng)者，以及從事漏洞發(fā)現(xiàn)、收集、發(fā)布等活動(dòng)的各類主體的責(zé)任和義務(wù)，推動(dòng)了網(wǎng)絡(luò)產(chǎn)品安全漏洞管理工作的制度化、規(guī)范化、法制化。同月，國(guó)家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布了《勒索軟件防范指南》，其中規(guī)定了防范勒索軟件要做到九要、四不要，包括要備份重要數(shù)據(jù)和系統(tǒng)、要設(shè)置復(fù)雜密碼并保密、要做好身份驗(yàn)證和權(quán)限管理、要制定應(yīng)急響應(yīng)預(yù)案等九項(xiàng)建議，以及不要點(diǎn)擊來源不明郵件、不要打開來源不可靠網(wǎng)站、不要安裝來源不明軟件，以及不要插拔來歷不明的存儲(chǔ)介質(zhì)等四項(xiàng)建議。2021年8月，國(guó)務(wù)院發(fā)布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》?！稐l例》對(duì)《網(wǎng)絡(luò)安全法》所確立的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度作了進(jìn)一步細(xì)化完善，明確了國(guó)家網(wǎng)信部門、國(guó)務(wù)院公安部門以及重要行業(yè)和領(lǐng)域的主管部門、監(jiān)督管理部門等相關(guān)職能部門的責(zé)任邊界和職責(zé)要求，明確了關(guān)鍵認(rèn)定原則和認(rèn)定機(jī)制，細(xì)化了運(yùn)營(yíng)者的主體責(zé)任和義務(wù)，形成了關(guān)鍵安全保護(hù)工作相關(guān)各方的法律責(zé)任體系。同月，《個(gè)人信息保護(hù)法》正式公布。《個(gè)人信息保護(hù)法》是我國(guó)個(gè)人信息保護(hù)領(lǐng)域的專門立法和基礎(chǔ)性立法，進(jìn)一步建立健全了個(gè)人信息保護(hù)制度，其明確要求任何組織、個(gè)人不得侵害自然人的個(gè)人信息權(quán)益，并不得通過誤導(dǎo)、欺詐、脅迫等方式處理個(gè)人信息。同時(shí)，任何組織、個(gè)人也不得非法收集、使用、加工、傳輸他人個(gè)人信息，不得非法買賣、提供或者公開他人個(gè)人信息；不得從事危害國(guó)家安全、公共利益的個(gè)人信息處理活動(dòng)。該法全面禁止了涉及個(gè)人信息的諸多違法行為，為打擊涉及勒索軟件等侵犯公民、組織個(gè)人信息的行為提供了更加堅(jiān)實(shí)的法治保障。28第三章勒索攻擊主要特點(diǎn)03第三章勒索攻擊主要特點(diǎn)自誕生之日起，勒索攻擊便呈現(xiàn)出與其他形式網(wǎng)絡(luò)攻擊大相徑庭的特點(diǎn)，正是因?yàn)檫@些獨(dú)特之處，傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)措施在應(yīng)對(duì)勒索攻擊時(shí)略顯無力。面對(duì)全球范圍內(nèi)爆發(fā)式增長(zhǎng)的勒索攻擊事件，熟悉勒索攻擊的慣用手段和趨勢(shì)特點(diǎn)將有助于我們更加從容地應(yīng)對(duì)此類攻擊?？偟膩砜?，勒索攻擊有以下主要特點(diǎn)。一、勒索攻擊行為隱蔽性強(qiáng)且危害顯著隱蔽性是勒索攻擊的典型攻擊策略。勒索攻擊善于利用各種偽裝達(dá)到入侵目的，常見的傳播手段有垃圾郵件、網(wǎng)頁廣告、系統(tǒng)漏洞、U盤等。例如，2019年2月出現(xiàn)的勒索病Clop，能夠通過攜帶有效數(shù)字簽名的方式躲避系統(tǒng)和防毒軟件的防御，進(jìn)而達(dá)到入侵目標(biāo)計(jì)算機(jī)的目的。為了保持高隱蔽性，部分勒索攻擊還會(huì)采取智能攻擊策略：在入口選擇上，攻擊者以代碼倉庫為感染位置對(duì)源代碼發(fā)動(dòng)攻擊；在上線選擇上，寧可放棄大量的機(jī)會(huì)也不愿在非安全環(huán)境上線；在編碼上，高度仿照目標(biāo)公司的編碼方式和命名規(guī)范以繞過復(fù)雜的測(cè)試、交叉審核、校驗(yàn)等環(huán)節(jié)。此外，攻擊者往往在發(fā)動(dòng)正式攻擊之前就已控制代碼倉庫，間隔幾個(gè)月甚至更長(zhǎng)時(shí)間才引入第一個(gè)惡意軟件版本，其潛伏時(shí)間之長(zhǎng)再一次印證了勒索攻擊的高隱蔽性。29勒索攻擊特征與趨勢(shì)研究白皮書（2021）調(diào)查發(fā)現(xiàn)，某些勒索攻擊事件的制造者利用尚未被發(fā)現(xiàn)的網(wǎng)絡(luò)攻擊策略、技術(shù)和程序，不僅將后門偷偷嵌入代碼中，而且可以與被感染系統(tǒng)通信而不被發(fā)現(xiàn)。這些策略、技術(shù)和程序隱藏極深且很難完全從受感染網(wǎng)絡(luò)中刪除，為攻擊活動(dòng)細(xì)節(jié)的調(diào)查取證和后續(xù)的清除工作帶來巨大的挑戰(zhàn)。此外，勒索攻擊一般具有明確的攻擊目標(biāo)和強(qiáng)烈的勒索目的，勒索目的由獲取錢財(cái)轉(zhuǎn)向竊取商業(yè)數(shù)據(jù)和政治機(jī)密，危害性日益增強(qiáng)。例如，2021年5月，愛爾蘭衛(wèi)生服務(wù)執(zhí)行局（HSE）遭遇勒索攻擊，犯罪分子竊取多達(dá)700GB的未加密文件，致使全國(guó)多家醫(yī)院電子信息系統(tǒng)無法訪問，新冠病毒檢測(cè)工作受阻。愛爾蘭方面表示，此次網(wǎng)絡(luò)攻擊可能是愛爾蘭遭受的最嚴(yán)重網(wǎng)絡(luò)攻擊。我國(guó)國(guó)內(nèi)也出現(xiàn)過類似的勒索攻擊事件，例如，某建筑設(shè)計(jì)院遭遇勒索病毒攻擊，數(shù)千臺(tái)電腦文件被加密，工程圖紙無法訪問，損失慘重；某網(wǎng)約車系統(tǒng)遭遇勒索病毒攻擊，導(dǎo)致所有用戶無法使用網(wǎng)約車服務(wù)；某醫(yī)院遭遇勒索病毒攻擊，導(dǎo)致醫(yī)院就診服務(wù)全面崩潰等。300二、勒索病毒變異較快且易傳播目前，活躍在市面上的勒索攻擊病毒種類繁多，200而且每個(gè)家族的勒索病毒也處于不斷地更新變異之100中。2016年，勒索軟件變體數(shù)量達(dá)247個(gè)，而2015年全年只有29個(gè)，其變體數(shù)量比上一年同期增長(zhǎng)了030第三章勒索攻擊主要特點(diǎn)752%20。變體的增多除了借助飛速發(fā)展的先進(jìn)網(wǎng)絡(luò)技術(shù)以外，還與網(wǎng)絡(luò)攻擊者“反偵查”意識(shí)的增強(qiáng)相關(guān)。很多勒索軟件編寫者知道安全人員試圖對(duì)其軟件進(jìn)行“逆向工程”，從而不斷改進(jìn)勒索軟件變體以逃避偵查。以下是VirusTotal對(duì)勒索樣本更新速度的追蹤趨勢(shì)21，由此可見大部分時(shí)候，勒索軟件作者都實(shí)現(xiàn)了對(duì)樣本的快速更新，總是使用新的樣本進(jìn)行攻擊投遞，以躲避檢測(cè)。Ransomware-relatedlastsubmissionsFirstseenransomware-relatedsamples2020-01 2020-03 2020-05 2020-07 2020-09 2020-11 2021-01 2021-03 2021-05 2021-07 2021-09VirusTotal對(duì)勒索樣本更新速度的追蹤趨勢(shì)圖此外，蠕蟲式傳播型勒索病毒可進(jìn)行自我復(fù)制、自主傳播，傳播速度更快，波及范圍更廣。近年來，勒索攻擊席卷全球，幾乎所有國(guó)家的政府、金融、教育、醫(yī)療、制造、交通、能源等行業(yè)均受到影響，與勒索病毒的強(qiáng)感染力和易傳播性密不可分。例如，爆發(fā)于2017年的WannaCry，在全球范圍蔓延的同時(shí)也迅速出現(xiàn)了新的變種——WannaCry2.0，與之前版本的不同是，這個(gè)變種不能通過注冊(cè)“開關(guān)域名”來遏制傳播，因而傳播速度變得更快。使用“加密病毒勒索軟件”攻擊技術(shù)的勒索軟件攻擊愈加受到關(guān)注。目前，比較受關(guān)注的勒索軟件及運(yùn)營(yíng)團(tuán)伙見下表。引自國(guó)家保密局官網(wǎng)/n1/2019/0319/c411145-30983492.html/vtpublic/vt-ransomware-report-2021.pdf31勒索攻擊特征與趨勢(shì)研究白皮書（2021）比較受關(guān)注的勒索軟件及運(yùn)營(yíng)團(tuán)伙名詞簡(jiǎn)介工作原理目標(biāo)受害者歸因CerberCerber是一個(gè)RaaSCerber利用Microsoft漏洞感染網(wǎng)絡(luò)，平臺(tái)，于2016年首次其功能與其他勒索軟件類似，主要使出現(xiàn)，并且在當(dāng)年7月用AES-256算法對(duì)文件進(jìn)行加密，攻為攻擊者凈賺200,000擊覆蓋多種文件類型，包括文檔、圖片、美元。音頻文件、視頻、檔案和備份。

似乎沒有針對(duì)任何特定實(shí)體。

Cerber的創(chuàng)作者在一個(gè)私人俄語論壇上出售服務(wù)。ContiContiRaaS平臺(tái)于2020年5月首次出現(xiàn)，被認(rèn)為是Ryuk勒索軟件的后繼產(chǎn)品。目前至少發(fā)現(xiàn)了三個(gè)新版本。

Conti使用雙重威脅策略，即保留解密2021年1月Conti是獨(dú)密鑰并出售或泄露受害者的敏感數(shù)據(jù)。的最新一輪感立團(tuán)伙運(yùn)作，Conti通過使用多線程來快速加密文染似乎針對(duì)政其成員身份件。府組織，但作不明。為RaaS行動(dòng)，對(duì)任何組織/個(gè)人都構(gòu)成威脅。CryptoCryptoLocker于2013Locker年首次被發(fā)現(xiàn)，開啟了現(xiàn)代勒索軟件時(shí)代，并在其高峰期感染了多達(dá)500,000臺(tái)Windows計(jì)算機(jī)，也被稱為TorrentLocker。

CryptoLocker是一種木馬程序，在受感染的計(jì)算機(jī)、任何內(nèi)部或網(wǎng)絡(luò)連接的存儲(chǔ)設(shè)備中搜索要加密的文件。通常通過網(wǎng)絡(luò)釣魚電子郵件進(jìn)行分發(fā)，郵件帶有包含惡意鏈接的文件附件。一旦打開文件，就會(huì)激活下載程序，從而感染計(jì)算機(jī)。

似乎沒有針對(duì)Crypto任何特定實(shí)Locker是體。由犯罪團(tuán)伙成員創(chuàng)建的，該犯罪團(tuán)伙還開發(fā)了銀行木馬GameoverZeus。Crypto 又名CryptoBit或Wall CryptoDefense，于2014年首次出現(xiàn)，并CryptoLocker關(guān)閉后開始流行。

通過垃圾郵件或漏洞，利用工具包進(jìn)該勒索軟件已行分發(fā)。CryptoWall的開發(fā)人員似乎經(jīng)損害全球數(shù)避免使用復(fù)雜的方法，更傾向于簡(jiǎn)單以萬計(jì)的組但有效的經(jīng)典勒索軟件方法。在運(yùn)營(yíng)織，但避開了的前六個(gè)月，它感染了625000臺(tái)電腦。俄語環(huán)境的國(guó)家。

CryptoWall開發(fā)人員很可能來自講俄語的國(guó)家。CTB-CTB-Locker于2014Locker年被首次報(bào)道，以高感染率而聞名。2016年，以web服務(wù)器為目標(biāo)的新版本的CTB-Locker發(fā)布。

勒索軟件會(huì)員必須向CTB-Locker開發(fā)鑒于其RaaS人員支付月費(fèi)，才能訪問托管的勒索模式，CTB軟件代碼。該勒索軟件使用橢圓曲線Locker對(duì)任密碼來加密數(shù)據(jù)。它還以多語言能力何組織都是威而聞名，這使?jié)撛谑芎φ弑椴既?。脅，尤其是來自西歐、北美和澳大利亞等國(guó)家。32第三章勒索攻擊主要特點(diǎn)名詞簡(jiǎn)介工作原理目標(biāo)受害者歸因DoppelDoppelPaymer于DoppelPaymer團(tuán)伙使用不同尋常醫(yī)療保健、緊疑似由Paymer2019年6月首次出現(xiàn)，的戰(zhàn)術(shù)，即通過偽造的美國(guó)電話號(hào)碼急服務(wù)和教育Dridex特洛至今仍然活躍。打給受害者，要求支付贖金，一般等關(guān)鍵行業(yè)。伊木馬背后贖金為50比特幣左右（最初為60的一個(gè)分支萬美元）。他們聲稱自己來自朝鮮，TA505負(fù)責(zé)。并威脅會(huì)泄露或出售被盜數(shù)據(jù)。在某些情況下，他們還會(huì)威脅受害公司的員工。EgregorEgregor出現(xiàn)在2020Egregor遵循“雙重勒索”趨勢(shì)，既加Egregor破壞Egregor的崛年9月。2021年2月密數(shù)據(jù)又威脅如果不支付贖金就泄露了全球19個(gè)起與Maze勒9日，美國(guó)、烏克蘭和敏感信息。它的代碼庫相對(duì)復(fù)雜，并行業(yè)的至少索軟件團(tuán)伙法國(guó)當(dāng)局在聯(lián)合行動(dòng)中且能夠通過使用混淆和反分析技術(shù)來71個(gè)組織。的關(guān)閉相吻逮捕了Egregor的集團(tuán)避免檢測(cè)。合，因此判成員和附屬機(jī)構(gòu)成員，斷Maze的分使其網(wǎng)站下線。支機(jī)構(gòu)轉(zhuǎn)移到Egregor。FONIXFONIX是一種RaaS產(chǎn)FONIX運(yùn)營(yíng)團(tuán)伙在網(wǎng)絡(luò)犯罪論壇和暗品，于2020年7月首網(wǎng)上宣傳其服務(wù)。FONIX的購買者向次被發(fā)現(xiàn)。經(jīng)歷了多該團(tuán)伙發(fā)送電子郵件地址和密碼。然次代碼修訂后于2021后，該團(tuán)伙將定制的勒索軟件有效載年1月突然關(guān)閉，且荷發(fā)送給買方，攻擊成功后，運(yùn)營(yíng)團(tuán)FONIX運(yùn)營(yíng)團(tuán)伙隨后釋伙收取25%的贖金作為報(bào)酬。放了主要密鑰。

似乎沒有針對(duì) 未知任何特定實(shí)體。GandCrab GandCrab可能是有史以來最賺錢的RaaS產(chǎn)品。GandCrab于2018年1月首次被發(fā)現(xiàn)。

該惡意軟件通常通過網(wǎng)絡(luò)釣魚電子郵GandCrab已俄羅斯網(wǎng)絡(luò)件發(fā)送的惡意MicrosoftOffice文檔進(jìn)經(jīng)在全球多個(gè)犯罪組織行分發(fā)。目前，GandCrab的變體通行業(yè)感染了系過利用Atlassian’sConfluence等軟統(tǒng)，但避免在件中的漏洞注入惡意模板，從而完成俄語地區(qū)的活遠(yuǎn)程代碼執(zhí)行。動(dòng)。GoldenGoldenEye出現(xiàn)在Eye2016年，疑似基于Petya勒索軟件的變種。

GoldenEye最初瞄準(zhǔn)人力資源部門，以說德語的用未知以投遞虛假的求職信和簡(jiǎn)歷發(fā)動(dòng)攻擊。戶為目標(biāo)。一旦其有效負(fù)載感染計(jì)算機(jī)，就會(huì)執(zhí)行一個(gè)宏來加密計(jì)算機(jī)上的文件，并在每個(gè)文件的末尾添加一個(gè)隨機(jī)的8個(gè)字符擴(kuò)展名。然后，勒索軟件使用自定義啟動(dòng)加載程序修改計(jì)算機(jī)的硬盤主啟動(dòng)記錄。33勒索攻擊特征與趨勢(shì)研究白皮書（2021）名詞簡(jiǎn)介工作原理目標(biāo)受害者歸因JigsawJigsaw于2016年首次Jigsaw最特別之處在于它加密了一些不針對(duì)特定目未知出現(xiàn)，但很快研究人員文件后會(huì)索要贖金，然后逐步刪除文標(biāo)就公布了解密工具。件，直到受害者支付贖金為止?；久啃r(shí)刪除一個(gè)文件，一般持續(xù)72個(gè)小時(shí)，超過這個(gè)時(shí)間，將刪除所有剩余文件。KeRanger2016年發(fā)現(xiàn)的通過合法但受感染的BitTorrent客戶KeRanger被認(rèn)為是第端進(jìn)行分發(fā)，該客戶端具有有效的證一個(gè)旨在攻擊MacOS書，能夠逃避檢測(cè)。X應(yīng)用程序的可運(yùn)行勒索軟件。LeatherLeatherlocker于2017當(dāng)受害者下載似乎合法的應(yīng)用程序后，下載受感染未知locker年在兩個(gè)Android應(yīng)該應(yīng)用會(huì)請(qǐng)求權(quán)限，以授予執(zhí)行所需應(yīng)用程序的用程序中被發(fā)現(xiàn)，的惡意軟件訪問權(quán)限。該勒索軟件不Android用戶Booster＆Cleaner和加密文件，而是鎖定設(shè)備主屏幕禁止WallpaperBlurHD。受害者訪問數(shù)據(jù)。LockerLockerGoga在2019LockerGoga使用包含惡意文檔附件的歐洲的制造業(yè)Goga年針對(duì)工業(yè)公司的攻擊網(wǎng)絡(luò)釣魚活動(dòng)來感染系統(tǒng)。有效負(fù)載公司，其中最中活躍。使用有效證書簽名，從而使它們可以著名的受害者繞過安全性。是NorskHydro公司，攻擊導(dǎo)致該全球IT系統(tǒng)的癱瘓。LockyLocky于2016年開始向受害者發(fā)送一封帶有Microsoft早期針對(duì)醫(yī)Locky背后傳播，并使用類似于銀Word文檔的電子郵件，聲稱為發(fā)票，院，后期沒有的網(wǎng)絡(luò)犯罪行惡意軟件Dridex的其中包含惡意宏。針對(duì)性。組織疑似隸攻擊模式。Locky激發(fā)屬于Dridex了包括Osiris、Diablo6背后的組織。在內(nèi)的多個(gè)變種。MazeMaze是一個(gè)相對(duì)較新Maze攻擊者通常使用可以通過網(wǎng)絡(luò)釣遍及全球所有擁有共同專的勒索軟件組織，于魚活動(dòng)來猜測(cè)或獲取有效憑據(jù)，遠(yuǎn)程行業(yè)。長(zhǎng)的多個(gè)犯2019年5月被發(fā)現(xiàn)。進(jìn)入網(wǎng)絡(luò)。然后，該惡意軟件會(huì)使用罪集團(tuán)，而2020年9月，Maze宣開源工具掃描網(wǎng)絡(luò)，以發(fā)現(xiàn)漏洞。接非單一團(tuán)伙。布將關(guān)閉其運(yùn)營(yíng)。著會(huì)在整個(gè)網(wǎng)絡(luò)中橫向移動(dòng)，以尋找更多可用于特權(quán)升級(jí)的憑據(jù)。找到域管理員憑據(jù)后，就可以訪問和加密網(wǎng)絡(luò)上的任何內(nèi)容。34第三章勒索攻擊主要特點(diǎn)名詞簡(jiǎn)介工作原理目標(biāo)受害者歸因NetwalkerNetwalker自2019年從技術(shù)角度來看，Netwalker是相對(duì)醫(yī)療保健和教由Circus以來一直活躍，它使普通的勒索軟件，利用網(wǎng)絡(luò)釣魚電子育機(jī)構(gòu)Spider運(yùn)營(yíng)用雙重威脅，即扣留郵件獲得據(jù)點(diǎn)，對(duì)數(shù)據(jù)進(jìn)行加密和滲解密密鑰和出售或泄漏，并發(fā)送贖金要求。據(jù)悉，該公司露被盜數(shù)據(jù)。2021年發(fā)布被盜數(shù)據(jù)的方法是將數(shù)據(jù)放在暗1月，美國(guó)司法部宣布網(wǎng)上的受密碼保護(hù)的文件夾中，然后一項(xiàng)全球行動(dòng)，擾亂了公開釋放密鑰。Netwalker的運(yùn)作。NotPetya首次出現(xiàn)于2016年，NotPetya與Petya類似，都會(huì)加密文據(jù)稱，集中在據(jù)稱俄羅斯實(shí)際上是數(shù)據(jù)破壞類惡件并要求以比特幣支付贖金。但不同烏克蘭GRU內(nèi)的意軟件（“刮水器”），的是，Petya要求受害者點(diǎn)擊惡意郵件，Sandworm但其偽裝成了勒索軟從而啟動(dòng)惡意軟件并獲取管理員權(quán)限，小組件。但NotPetya可以在沒有人工干預(yù)的情況下進(jìn)行傳播。PetyaPetya惡意軟件的初始Petya通過一封聲稱是求職者簡(jiǎn)歷的郵任何未知版本于2016年3月開件發(fā)送，其中包含兩個(gè)文件：一個(gè)年Windows系始傳播。這個(gè)名字來自輕男子的圖像和一個(gè)可執(zhí)行文件。當(dāng)統(tǒng)都是潛在的于1995年007電影《黃受害者點(diǎn)擊該文件時(shí)，Windows用戶目標(biāo)，但烏克金眼》中的一顆衛(wèi)星。訪問控制警告會(huì)告訴他們，該可執(zhí)行蘭是這次攻擊而一個(gè)疑似該惡意軟件文件將對(duì)計(jì)算機(jī)進(jìn)行更改。一旦受害的重災(zāi)區(qū)。作者的推特賬號(hào)使用了者接受更改，惡意軟件就會(huì)加載，然扮演反派的演員艾倫-后通過攻擊存儲(chǔ)介質(zhì)上的低級(jí)結(jié)構(gòu)拒卡明的照片作為頭像。絕訪問。Pure在2019年發(fā)現(xiàn)的PureLocker依靠more_eggs后門惡只有少數(shù)犯惡意軟件即lockerPureLockerRaaS平意軟件獲得訪問權(quán)，而非釣魚嘗試。罪團(tuán)伙能夠服務(wù)提供臺(tái)，目標(biāo)是運(yùn)行Linux攻擊者針對(duì)已經(jīng)被入侵的計(jì)算機(jī)，有負(fù)擔(dān)得起商可能是或Windows的企業(yè)生選擇地對(duì)數(shù)據(jù)進(jìn)行加密。PureLockerPureLocker產(chǎn)服務(wù)器。因?yàn)樗堑馁M(fèi)用，因此的幕后黑手。用PureBasic語言編寫更針對(duì)高價(jià)值的，因此得名。目標(biāo)。RobbinRobbinHood是使用RobbinHood最獨(dú)特的地方在于其有Baltimore和未知HoodEternalBlue的勒索軟效載荷如何繞過終端安全。它有五個(gè)Greenville的件變體。部分：殺死安全產(chǎn)品的進(jìn)程和文件的地方政府是重可執(zhí)行文件、部署有簽名的第三方驅(qū)災(zāi)區(qū)。動(dòng)和惡意的無簽名內(nèi)核驅(qū)動(dòng)的代碼、有漏洞的舊版本Authenticode-signed驅(qū)動(dòng)、殺死內(nèi)核空間的進(jìn)程和刪除文件的惡意驅(qū)動(dòng)，以及一個(gè)包含要?dú)⑺篮蛣h除的應(yīng)用程序列表的文本文件。35勒索攻擊特征與趨勢(shì)研究白皮書（2021）名詞簡(jiǎn)介工作原理目標(biāo)受害者歸因RyukRyuk于2018年8月通常與TrickBot等其他惡意軟件結(jié)合企業(yè)、醫(yī)院和最初歸因首次出現(xiàn)，是基于使用。Ryuk運(yùn)營(yíng)團(tuán)伙以使用手動(dòng)黑客政府組織于朝鮮拉2017年在地下網(wǎng)絡(luò)犯技術(shù)和開源工具在專用網(wǎng)絡(luò)中橫向移撒路集團(tuán)罪論壇上出售的一個(gè)名動(dòng)，并在啟動(dòng)文件加密之前獲得盡可（Lazarus為Hermes的舊勒索軟能多的系統(tǒng)管理訪問權(quán)而聞名。Group）。件程序開發(fā)的。SamSam SamSam自2015年以來活躍至今，主要針對(duì)醫(yī)療保健組織，并在接下來的幾年中大幅提升。

SamSam的控制器探測(cè)預(yù)選目標(biāo)的弱醫(yī)療保健和政最初被認(rèn)為點(diǎn)，利用從IIS到FTP到RDP的一系府組織起源于東歐。列漏洞。一旦進(jìn)入系統(tǒng)，攻擊者就會(huì)2018年底，升級(jí)特權(quán)，以確保在開始加密文件時(shí)，美國(guó)司法部攻擊具有極大的破壞性。起訴兩名伊朗人，聲稱他們是攻擊的幕后黑手。Simple2014年出現(xiàn)的當(dāng)受害者下載惡意應(yīng)用程序時(shí)，由于贖金票