2021上半年勒索病毒报告：传统行业受攻击最严重数字化转型企业

5月10日，美国最大燃油管道商遭网络攻击导致暂停运营事件，让勒索病毒再度成为全球焦点。腾讯今日发布的《2021上半年勒索病毒趋势报告及防护方案建议》(下称《报告》)显示，尽管2021年上半年相比去年同时期，勒索病毒的攻击态势稍有下降，但勒索事件仍然频发，仅2021年第一季度，就发生了多起国际知名企业被勒索的案件，并且赎金持续刷新纪录。

勒索病毒“量小毒大”

据悉，勒索病毒能通过骚扰、恐吓甚至采用绑架用户文件等方式，使用户数据资产或计算资源无法正常使用，并以此为条件向用户勒索钱财。1989年，世界上第一个勒索病毒“AIDS trojan”诞生，该时期的勒索病毒因采用的是对称加密与转账等方式支付赎金，制作病毒的人很容易被追踪到，因此没有得到大范围传播。

2013年下半年，勒索病毒该用RSA进行加密，破解率接近0，勒索病毒进入成型期。2016年，勒索软件即服务 (RaaS) 的兴起，勒索病毒呈爆发式发展，最典型的是WannaCry勒索病毒的出现。

2017年5月12日，WannaCry勒索病毒在全球范围爆发，全球至少150个国家、30万名用户中招，造成损失达80亿美元，形成一场影响全球的蠕虫病毒风暴。此后四年间，勒索病毒频繁将魔爪伸向企业及个人用户。

北京时间5月10日早间，美国首次因网络攻击而宣布进入国家紧急状态，并迅速登上微博热搜。记者了解到，使美国进入国家紧急状态的勒索病毒主要以邮件、程序木马、网页挂马的形式进行传播。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。

仍未出现对付“银弹”

目前，尚未出现对付勒索病毒的“银弹”，应对勒索病毒的核心原则仍然是以事前防范为主。从腾讯此次发布的报告来看，2021年上半年，GlobeImposter家族和具有系列变种的Crysis家族等老牌勒索病毒依然活跃，而Phobos、Sodinokibi、Buran、Medusalocker、Avaddon、lockbit、Ryuk、NEMTY等新型勒索病毒家族也有着广泛流行的趋势。其中大部分勒索病毒都有着变种多、针对性高、感染量上升快等特点，像Sodinokibi、Medusalocker等病毒甚至呈现针对国内系统定制化的操作。毫无疑问，不断数字化转型升级的国内企业已经成为诸多勒索病毒攻击的重点目标。

从区域上来看，国内遭受勒索病毒攻击中，广东、浙江、山东、湖北、河南、上海、天津较为严重，其它省份也有遭受到不同程度攻击。而数据价值较高的传统行业、医疗、政府机构遭受攻击较为严重，占比依次为37%、18%、14%，总计占比高达69%。例如在2020年的8月和11月，多家传统企业就先后遭到勒索病毒的攻击，勒索团伙均要求企业支付高额赎金，否则将把盗窃数据在暗网出售。

《报告》显示，目前不少企业机构均升级了网络安全措施，有效防止了勒索软件损失的扩大化，也从一定程度上，反映了“支付赎金”的应对策略正在失效。腾讯安全也对全球勒索病毒深入分析及研判，挖掘其中涉及的安全漏洞、入侵手法和攻击工具，为个人及企业用户提供网络安全防护。

勒索病毒将更加多样化、高频化

从最初的零星恶作剧，到现在频发的恶意攻击，勒索病毒为何能够如“野草”般生命力顽强，肆意生长？

《报告》认为，主要原因在于勒索病毒加密手段复杂，解密成本高；使用电子货币支付赎金，变现快、追踪难；勒索软件服务化的出现，让攻击者不需要任何知识，只要支付少量的租金就可以开展勒索软件的非法勾当，大大降低了勒索软件的门槛，推动了勒索软件大规模爆发。

根据市面较为高发的勒索病毒特征，《报告》将勒索病毒的传播手段分为6个方向：弱口令攻击、U盘蠕虫、软件供应链攻击、系统/软件漏洞、“无文件”攻击技术、RaaS。勒索病毒团伙在利用这些传播手段入侵目标系统后，会利用工具将失陷网络的机密数据上传到服务器，然后实施勒索。

随着全球数字化的不断加速，越来越多企业将业务迁移到云端。由于企业用户数据价值较高，但很多企业对于云上网络安全态势并没有足够的准备。因此在未来一段时间，针对企业用户进行定向攻击，将是勒索病毒的重要目标之一，而且随着技术的普及、勒索病毒产业链的成熟，病毒也将变得更加多样化、高频化。同时，《报告》还指出，目前Mac OS和Android等平台也已陆续出现勒索病毒，随着ows的防范措施完善，未来不法黑客也可能转向攻击其他平台。