賽迪：全球數據勒索攻擊威脅新特點及對策建議（2022）（13頁）.pdf

1、 - 1 - 2022 年 3 月 28 日 第2022 年 3 月 28 日 第1414期 總第 716 期期 總第 716 期 全球數據勒索攻擊威脅新特點及對策建議全球數據勒索攻擊威脅新特點及對策建議 隨著全球數字化進程的不斷推進，數據價值越發凸顯，網絡攻防雙方均圍繞數據展開角力，其中，對數據強行加密的勒索手段成為最常用且有效的攻擊方式。2021 年，數據勒索成為全球網絡攻擊的主角，給多國帶來機密數據泄露、社會系統癱瘓等重大危害，嚴重威脅了國家安全。在此背景下，美國首次因網絡攻擊宣布進入國家緊急狀態，并將數據勒索攻擊（以下簡稱“勒索攻擊”）提升至與“911”恐怖襲擊同等的級別；英國、澳大利

2、亞、日 - 2 - 本、加拿大等國也紛紛將勒索攻擊視為當前最大的網絡威脅。毫無例外，我國政府、醫療等機構也頻遭勒索攻擊，成為頭號重災區。賽迪研究院網絡安全研究所在分析全球數據勒索攻擊新特點的基礎上，研究了國外應對勒索攻擊的最新舉措，并提出了我國推進勒索攻擊治理法治化、強化關鍵信息基礎設施網絡安全保護、加強組織或國際間合作等建議。 一、全球數據勒索攻擊新特點 攻擊目的：由單純經濟牟利轉向實施數據破壞、竊取戰略機密、謀取政治訴求等多重企圖，勒索意圖愈加復雜化。一、全球數據勒索攻擊新特點 攻擊目的：由單純經濟牟利轉向實施數據破壞、竊取戰略機密、謀取政治訴求等多重企圖，勒索意圖愈加復雜化。 一方面，具

3、有國家背景的黑客組織以“勒索”為幌子，以掩護其進行數據破壞、情報獵取等真實意圖，秘密發動網絡戰。2021 年，伊朗國家級黑客組織 Agrius 對以色列實施勒索攻擊， 表面留下了索求贖金的信息， 但背后早已竊取了目標系統的重要情報數據， 并通過“隨機字符覆寫文件”機制， 對相關數據進行了永久性銷毀。 另一方面，對某一領域問題持有不同政治立場的黑客組織以“發動勒索攻擊”為要挾，謀求自身政治訴求。2021 年，極為關注“地球和網絡空間和平”問題的黑客組織對隸屬北約機密云平臺1發起勒索攻擊， 1 隸屬北約 IT 現代化戰略中的四大核心項目之一。 - 3 - 并宣稱此次攻擊出于“政治目的”，意在通過勒

4、索手段阻礙通過云平臺對北約 IT 基礎設施進行整體合并戰略的落地。2022 年，白俄羅斯網絡游擊隊黑客組織對白俄羅斯國家鐵路系統實施了勒索攻擊，意在通過中斷其正常運營，要挾白俄羅斯政府釋放部分政治犯。該組織聲稱，只要自身訴求得到滿足，就將主動釋放數據加密密鑰，使鐵路系統恢復正常狀態。 攻擊對象：由無差別的個人設備轉向政府及公共部門、大型企業等具有關鍵信息基礎設施攻擊對象：由無差別的個人設備轉向政府及公共部門、大型企業等具有關鍵信息基礎設施2屬性的定向機構， 且勒索策略日趨精準化。屬性的定向機構， 且勒索策略日趨精準化。與個人設備相比，關基機構數據資產價值較高，遭受勒索攻擊的影響范圍較廣、后果較

5、重，加之其部分具有網絡安全保險的保障，在遭遇重大勒索攻擊下，“關基”機構的贖金支付意愿和能力均較強，也使其日漸成為勒索攻擊的焦點。為了制定精準化勒索策略， 攻擊者會在事前分析評估目標機構的 IT 安全建設現狀、遭受勒索攻擊后的損失程度和贖金支付能力等，精心選擇可為其帶來最大投資回報率的目標機構。此外，針對定向目標機構的 IT 系統， 攻擊者會進行長期持續的潛伏滲透和技術分析， 探尋核心系統位臵、尋找系統漏洞、判別系統對加密數據的依賴程 2 以下簡稱“關基” - 4 - 度等。2021 年，多國關鍵信息基礎設施頻繁遭受勒索攻擊，引發全球震蕩，醫療、能源、制造、交通、金融、教育等行業無一幸免，美國

6、重要油氣和水務系統、愛爾蘭全國全民醫療系統、巴西國際核心金融系統、加拿大多倫多公共交通系統、南非和法國司法系統等，均成為精準化勒索攻擊的受害者。 攻擊主體：由個人或單個黑客團伙攻擊轉向層級分明、分工明確的黑色產業活動，勒索行為日益專業化。攻擊主體：由個人或單個黑客團伙攻擊轉向層級分明、分工明確的黑色產業活動，勒索行為日益專業化。一方面，為實現價值多向變現，黑客團伙除自身發動勒索攻擊外，還會借由暗網和虛擬貨幣技術，對外出租或售賣成熟的勒索軟件產品和服務，這促使數據勒索“產業鏈”逐漸形成，上中下游的勒索軟件開發者、勒索執行者，以及應運而生的贖金談判3和贖金代管者4之間相互協作配合， 共同瓜分勒索收

7、益， 大大降低了攻擊實施的技術門檻。另一方面，不同黑客團伙之間開始著手構建具有精準配合關系的勒索商業聯盟， 通過共享受害者信息等手段， 擴大勒索商業模式，并進一步增強勒索攻擊能力和隱蔽性。比如 2021 年，擅長獲取系統訪問權限的 Conti 勒索團伙就曾向其他勒索黑客出售受害者 3 贖金談判者：建立 24 小時/7 天獨立服務，協助受害者付款，以加快贖金支付和加密數據的恢復。 4 贖金代管者：負責暫存勒索贖金，事后按照合約分成比例規定，將對應贖金分別打到不同參與者賬戶。 - 5 - 系統初始訪問權限，從而使其能夠更快開展后續攻擊，這就促成了攻擊源頭分散、復雜廣泛的勒索生態網絡的形成，大幅提升

8、了勒索攻擊流程的專業化程度，并增加了勒索攻擊的溯源難度。 攻擊模式：由單一加密勒索轉向多重勒索獲利，勒索手段趨于多樣化。攻擊模式：由單一加密勒索轉向多重勒索獲利，勒索手段趨于多樣化。當受害方采取數據備份等防備措施，拒絕支付勒索贖金后，勒索攻擊手段也在持續演化。目前，已出現數據竊取外泄、DDOS 攻擊威脅、供應鏈攻擊等多重混合勒索模式，以增加贖金數目并提高受害機構的贖金繳納率。例如，在加密之前通過在目標環境中安裝可竊取重要數據并具有 DDOS 攻擊能力的后門程序， 以“拒絕支付贖金則外泄數據或發動DDOS攻擊”為威脅籌碼，逼迫受害方支付贖金5，更有甚者直接在暗網倒賣被竊數據，以獲得更多潛在利益。

9、再如，攻擊者以軟件供應鏈為切入口發動勒索攻擊，使受害層面擴大至供應鏈上下游，從而引發更大范圍、更嚴重的勒索危機。 2021 年， 針對美國技術管理軟件供應商 Kaseya的勒索攻擊，就成功引發了供應鏈下游的系列連鎖反應，導致全球17個國家數千家企業受損， 僅瑞典一家公司就因使用了Kaseya提供的軟件系統，而被迫關閉數百家門店，成為史上最大規模的 5 受害方往往處于聲譽受損和行政處罰壓力，以及對服務癱瘓引發業務危機風險的擔憂而繳納贖金。 - 6 - 一次席卷全球的供應鏈事件。 二、國外應對數據勒索攻擊威脅的最新舉措 加快反勒索立法，強化應對勒索攻擊的法治保障。二、國外應對數據勒索攻擊威脅的最新

10、舉措 加快反勒索立法，強化應對勒索攻擊的法治保障。目前，各國紛紛從立法層面推進勒索攻擊治理，并重點關注以下四個方面的制度建設：一是建立強制性勒索攻擊事件報告機制。一是建立強制性勒索攻擊事件報告機制。為加強執法部門對勒索攻擊犯罪活動運作方式及勒索軟件威脅的全面了解，幫助其制定更好的應對措施，2021 年，美國推出贖金披露法案、制裁和阻止勒索軟件法案和勒索軟件和金融穩定法案，澳大利亞提出2021 勒索軟件付款法案，均強制要求支付勒索贖金的政府部門、企業等實體必須主動向指定執法部門提供勒索攻擊及贖金等相關信息，包括實體名稱和聯系方式、攻擊者身份、勒索金額、加密貨幣錢包類型，以及已泄露的數據字段等。其

11、中，贖金披露法案還提出，要求美國國土安全部建立專門網站，為各實體提供報告渠道。二是規范勒索贖金支付，防止繳納大額勒索贖金引發的重復攻擊二是規范勒索贖金支付，防止繳納大額勒索贖金引發的重復攻擊6。美國 2021 年在勒索軟件和金融穩定法案中明確要求，勒索贖金超過 10 萬美元的， 62021 年，以色列安全公司 Cybereason 針對全球受勒索企業的調查研究報告顯示，選擇支付勒索軟件贖金的企業中，80%會再次遭遇勒索軟件攻擊，其中 46%的攻擊來自相同的攻擊者。 - 7 - 金融機構需獲得財政部特別授權才可支付贖金。此外，澳大利亞也在2022 犯罪立法修正案（勒索軟件行動計劃）法案中展示出對

12、勒索攻擊采取零容忍的立場，明確提出政府不允許向勒索攻擊罪犯分子支付贖金。三是賦予執法人員三是賦予執法人員“數據中斷數據中斷”權利，以幫助勒索攻擊受害者在不支付贖金的情況下防止潛在的數據泄露風險權利，以幫助勒索攻擊受害者在不支付贖金的情況下防止潛在的數據泄露風險7。澳大利亞2021 年監視立法修正案（識別和破壞）法案賦予澳大利亞網絡犯罪執法人員相關權利，即通過各種方式獲取可能涉及犯罪活動的相關數據，并隨后對其進行破壞的權利。借助該權利，澳執法人員可通過各種手段探尋勒索攻擊者服務器的位臵， 并刪除存儲在這些服務器上用于“雙重勒索”的數據，進而有效打擊由勒索攻擊造成的數據泄露。四是對勒索攻擊者實施更

13、嚴厲的懲罰，增強勒索犯罪活動威懾力。四是對勒索攻擊者實施更嚴厲的懲罰，增強勒索犯罪活動威懾力。澳大利亞2022 犯罪立法修正案（勒索軟件行動計劃）法案明確提出，將對勒索攻擊者最高判處 10 年監禁，對其“關基”實施勒索攻擊的犯罪分子最高判處 25 年監禁。 提升關鍵信息基礎設施系統防護水平和恢復彈性，降低定向提升關鍵信息基礎設施系統防護水平和恢復彈性，降低定向 7 澳大利亞信息專員辦公室 （OAIC）發布報告顯示，與 2020 年下半年相比，2021 年上半年，由勒索軟件攻擊引起的數據泄露事件增長了 24%。 - 8 - 勒索攻擊威脅。勒索攻擊威脅。精準定向化勒索攻擊會引發“關基”長時間癱瘓，

14、嚴重影響大眾的日常生活、安全以及社會的穩定運轉，帶來遠超勒索金額的高昂經濟損失。因此，構建安全且具彈性的基礎設施成為各國普遍關注的重點：一是加強標準化應急響應機制及流程建設，促進勒索攻擊響應實踐良性發展。一是加強標準化應急響應機制及流程建設，促進勒索攻擊響應實踐良性發展。美國2020 數據完整性恢復指南、2021 網絡安全事件與漏洞響應手冊和2020太空/2021 鐵路/2021 航空/行業網絡安全指令，歐盟歐盟事件響應及網絡危機合作戰略、澳大利亞的2022 關鍵基礎設施保護法案等，均從提升“關基”系統彈性訴求出發，提出構建勒索攻擊事件快速反應機制?？傮w來看，可概括為事件準備、檢測評估、事中遏

15、制、根除與系統恢復以及事后復盤五大環節8。二是積極推動零信任二是積極推動零信任9、人工智能等創新技術應用，強化勒索攻擊防御能力。、人工智能等創新技術應用，強化勒索攻擊防御能力。美國2021 關于加強國家網絡安全的行政命令和2022國家安全備忘錄均強制要求，美國聯邦政府、國家安全機構要 8 （1）事件準備，如要求定期掃描修復漏洞，掐斷勒索攻擊入侵渠道；設定安全負責人，定期組織攻防演練；數據備份；內部人員反勒索攻擊培訓等。 （2）檢測評估，如利用流量檢測、開源情報等技術手段支持發現并消除潛在勒索威脅。（3）事中遏制，如將受影響的系統進行隔離；阻止未經授權的訪問；引導攻擊者至沙箱環境監控其活動，識別

16、攻擊特征并收集攻擊證據。 （4） 根除與系統恢復，如啟動數據備份重建系統；安裝補??；重置密碼。 （5）事后復盤，如擴大安全態勢監測覆蓋面，去除盲點；主動與執法部門共享信息。 9 零信任可通過網絡隱身保護端口、微隔離避免橫向擴散、結合使用訪問控制、身份管理和網絡流量等背景數據來驗證用戶請求的合法性，而不依賴于內網等安全邊界。其動態應對網絡環境變化的特性，使其具備良好的檢測評估、態勢感知和響應能力，及時彌補了傳統邊界防護模式在應對勒索攻擊中的先天不足。將零信任能力整合到關鍵系統的安全架構和運營之中，可大大降低被數據勒索的可能性。據知名網絡安全廠商 Gigamon 調研報告顯示，超過三分之二的歐洲組

17、織已采用或計劃采用零信任框架以應對強勢的勒索攻擊威脅。 - 9 - 迅速采用零信任新型網絡架構、 云技術安全手段、 端點檢測服務，持續部署多因素身份驗證和強加密等基礎安全工具，提升數據防鎖定和防泄露能力；美國國防部推動防御勒索攻擊的“AI 化”體系建設，利用 AI 技術實現誘捕、判斷、識別、定位和查殺勒索病毒的全流程自動化。新加坡網絡安全戰略 2021要求關鍵信息基礎設施所有者對關鍵系統采用零信任安全架構，加強基礎設施從勒索攻擊中快速恢復的彈性能力。三是提供安全培訓和簡便易用工具，提升反勒索安全意識三是提供安全培訓和簡便易用工具，提升反勒索安全意識10和防護技能。和防護技能。2021 年，美國

18、司法部和國土安全部聯合推出首個一站式勒索軟件資源新網站，提供來自整個聯邦政府的網絡安全資源，其通過課程培訓、網絡研討會等方式，為全美 16 個“關基”部門提供勒索攻擊安全防護指導；美國網絡安全和基礎設施安全局發布勒索攻擊防護能力評估工具，幫助相關部門測試其網絡抵御勒索攻擊和彈性恢復的能力。歐洲刑警組織與全球 150 多個伙伴共同合作，在特定門戶網站提供免費且及時更新的解密工具，目前已成功阻止全球超過400 萬名受害者提供勒索贖金。 10 美國2021 數據完整性恢復指南提出，應通過安全培訓，強化相關人員對于打開未知來源文件或鏈接的危險意識，有效防范勒索攻擊威脅。美國2021 網絡安全素養法案，

19、要求美國國家電信和信息管理局(NTIA)建立網絡素養運動，幫助公眾和組織提升網絡安全防護意識和技能，其中就包括針對應對勒索攻擊的指導培訓，例如，如何識別惡意釣魚郵件、經常更改密碼的必要性、對敏感賬戶使用多因素認證等。 - 10 - 多措并舉強化監管執法，嚴厲打擊勒索攻擊犯罪活動。多措并舉強化監管執法，嚴厲打擊勒索攻擊犯罪活動。勒索攻擊翻新花樣多、迭代速度快，且由于勒索攻擊黑色產業鏈的形成，勒索攻擊源頭愈加分散、攻擊環節愈加復雜，加之勒索犯罪跨國性質凸顯，必須采取多種措施加強監管整治：一是嚴厲封鎖勒索贖金支付渠道，擾亂勒索攻擊業務模式。一是嚴厲封鎖勒索贖金支付渠道，擾亂勒索攻擊業務模式。美國通過

20、開展金融交易監控和調查11、打擊制裁支持勒索黑客的加密貨幣交易平臺12等方式，來打擊虛擬貨幣在勒索攻擊中的使用。二是采用公私合作、獎金激勵等方式，強化勒索攻擊威脅情報共享。二是采用公私合作、獎金激勵等方式，強化勒索攻擊威脅情報共享。2021 年，按照恐怖襲擊調查級別，美國特別成立反勒索軟件和數字勒索工作專項組， 并集結網絡安全和互聯網企業、 非盈利組織等多方力量，通過公私部門合作的方式共享勒索攻擊威脅情報信息，并聯合調查可能支持勒索攻擊的數字商店、出售勒索軟件的在線論壇、勒索軟件分銷鏈等信息，再由執法部門對其進行搗毀破壞。同時，還對外國勒索團伙身份及位臵信息提供者發布懸賞令，對其給予高達 10

21、00 萬美元的獎勵。三是通過國際合作打擊勒索攻擊，破三是通過國際合作打擊勒索攻擊，破 11 美國財政部金融犯罪執法網絡局通過分析 2011 年 1 月 1 日至 2021 年 6 月 30 日期間收集的 2184 份可疑活動報告中相關的交易數據，確定約 52 億比特幣交易與勒索攻擊贖金支付相關，并立即對相關交易賬戶進行了清理和關閉。 12 2021 年，美國財政部與 FBI 聯合對支持勒索黑客，幫助其將加密貨幣轉換為現金，甚至促進加密貨幣與房地產、汽車和游艇等實體資產進行交換的俄羅斯加密貨幣交易所Suex進行制裁，除封鎖Suex在美國的所有財產外，還采用制裁威脅阻止任何個人或組織與其進行商業往

22、來，成為美國第一個針對虛擬貨幣交易所的制裁。 - 11 - 壞勒索攻擊犯罪生態。壞勒索攻擊犯罪生態。2021 年，美國聯合保加利亞破壞了NetWalker 勒索軟件暗網設施，包括 tor 支付和數據泄露網站；歐美聯合執法摧毀勒索攻擊組織使用的 VPN 服務，破壞勒索分子的匿名“避風港”。 三、三點建議 探索反勒索立法，積極推進勒索攻擊治理法治化建設。三、三點建議 探索反勒索立法，積極推進勒索攻擊治理法治化建設。我國現行法律還沒有針對勒索攻擊的專門規定，可考慮借鑒美國、澳大利亞的做法， 制定出臺反勒索專項法案， 明確“受害者應承擔主動披露和報告勒索攻擊事件及贖金信息的相關義務、禁止某些特定類別的

23、受害者向勒索攻擊方支付贖金”等勒索攻擊應對路線， 規范勒索攻擊信息共享和贖金支付； 賦予執法人員反勒索攻擊的“數據中斷”執法權， 以及從勒索軟件攻擊者手中沒收、 扣押勒索費的相關權利，強化反勒索執法權力；明確實施勒索軟件行為的刑事責任，加大勒索攻擊犯罪的懲治力度。 強化關鍵信息基礎設施網絡安全保護，增強勒索攻擊防護能力和抵御彈性。一是推進標準化勒索攻擊應急響應機制建設與落實。強化關鍵信息基礎設施網絡安全保護，增強勒索攻擊防護能力和抵御彈性。一是推進標準化勒索攻擊應急響應機制建設與落實。借鑒美國、英國、歐盟的相關做法，從“事前”防范、“事中” - 12 - 監測遏制恢復、“事后”回溯修補等層面出

24、發，研究制定關于勒索攻擊標準化應急響應機制及流程的相關指南文件，在此基礎上，推動“關基”機構嚴格落實應急響應機制建設，并定期組織“關基”機構開展攻防演練，保障重要“關基”系統在遭遇重大勒索攻擊時具備良好的彈性恢復能力。二是加強反勒索攻擊技術的研發與應用。二是加強反勒索攻擊技術的研發與應用。 組織開展底層加密技術研究與攻關， 積極探索零信任、AI 等新型技術在勒索攻擊防御中的應用。在此基礎上，推動“關基” 機構加大在網絡安全防護技術上的投入力度， 比如借鑒美國、新加坡的做法，要求“關基”機構將零信任技術整合至重要系統的安全架構和運營，利用零信任“層層認證”的特性，確保系統動態應對網絡環境變化，及

25、時彌補傳統邊界防護模式在應對勒索攻擊中的先天不足，降低數據被勒索的可能性；推動勒索攻擊“AI化”防御體系建設，利用 AI 技術實現勒索特征識別檢測、勒索病毒遏制根除、勒索贖金支付追蹤等自動化防御流程。三是提供反勒索專業培訓、工具等安全方案支持。三是提供反勒索專業培訓、工具等安全方案支持。借助門戶網站、線下宣講等方式，對“關基”機構開展網絡安全培訓，使相關人員了解勒索攻擊威脅以及應對勒索攻擊的防護常識；官方提供勒索病毒檢 - 13 - 測軟件、勒索攻擊防護能力評估軟件等簡便易用的防護工具。 加強組織或國際間合作，聯合打擊勒索攻擊網絡犯罪行為。加強組織或國際間合作，聯合打擊勒索攻擊網絡犯罪行為。一是加強執法機構與政府部門、私營企業、金融機構等主體之間的威脅情報共享，聯合開展反勒索攻擊專項執法行動，并積極推進勒索攻擊黑色產業鏈的常態化治理。比如，與私營企業合作，開展對郵件、即時通信工具等常見的勒索病毒傳播渠道的監測，及時發現勒索攻擊入侵跡象；與金融機構合作，強化金融交易檢測，對勒索贖金支付流程進行更加嚴密的追蹤、抑制和阻斷。二是加強國際合作，與國際同行開展聯合行動，共同調查并破壞勒索攻擊的全球勒索攻擊犯罪網絡，加強針對勒索攻擊者的起訴、跨境執法數據協調和跨境抓捕等。 本文作者：賽迪工業和信息化研究院 王偉潔 聯系方式：18810775891 電子郵件：wangweijie