ENISA 2022勒索软件攻击的威胁图景（下）

在介绍和定义勒索软件之后，本节将提供2021年5月至2022年6月之间样本事件的分析，提供勒索软件的情况及其特征。

在展示结果之前，出于本次分析的目的，澄清什么被认定是勒索病毒事件很重要。勒索软件事件是一次成功的攻击，其中威胁行为者设法访问目标，在目标资产上执行任何一项LEDS动作(上锁，加密，删除，偷窃)，并实施勒索。注意，不需要进行赎金谈判当然也不鼓励将攻击视为勒索软件事件。

我们的分析考虑了全球623起勒索软件事件，特别是在欧洲、英国和美国。这些事件选自新闻报道、安全公司报告、政府报告和勒索软件威胁行动者的原始网站。每个事件都经过了深入调查，并从多个来源得到证实。

5.1 数据采样技术

了解数据收集过程的局限性是很重要。为寻找、发现和收集本报告中的勒索病毒事件，使用了不同来源的数据，如政府报告、安全公司报告、新闻媒体报道、暗网及认证博客。然后对这些来源进行处理、分析和汇总尽可能多地提取有关事件的信息。勒索软件事件研究一直是项具有挑战性的任务，因为没有足够的可用信息。

2021年5月至2022年6月期间，勒索软件事件的真实数量很难估计，因为许多组织没有报告事件和威胁行为者从网页中删除事件。

根据所提取的信息事件来源对事件数量进行分类很重要，因为它说明了所收集信息的信任水平。

这里可以考虑四类事件的数量：

勒索软件事件的真实数量
向政府报告的勒索软件事件数量
新闻媒体和安全公司报道的勒索软件事件的数量
勒索软件组织在其网页上报告的勒索软件事件数量

勒索软件事件的真实数量是整个世界发生的勒索软件事件。众所周知，许多组织不公开承认事件，因此让这个数字几乎不可能得到。

向政府报告的勒索软件事件的数量，是组织联系政府请求援助和报告攻击的数量。例如，2021年，来自互联网犯罪投诉中心(Internet Crime Complaint Center，IC3)的FBI犯罪报告收到3729个被确认为勒索软件的投诉。

新闻媒体和安全公司报道的勒索软件事件的数量是更常见的报道，但严重偏向于被攻击组织的重要性。例如，从2021年4月到2022年4月，Sophos IT安全公司间接报告了3696起勒索软件事件(来自5600名调查对象，66%有勒索软件)。

勒索软件组织在其网站上报告的勒索软件事件数量是对事件最真实的记述，但由于勒索软件基础设施的不稳定性难以衡量。这些事件经常被删除或更改，网页也经常下线和转移。然而，一些组织抓取威胁行动者网站信息，在2021年报告了2252起事件，从2022年1月到6月报告了1858起事件。

我们估计从2021年5月到2022年6月的事件总数为3640起。由于本报告分析了623起事件，因此它涵盖了估计案件总数的17.11%。在那个时间框架内。所提出的所有结果和结论都应考虑到本分析中使用的事件数量的免责声明。

更重要的是，从发生了多少勒索软件事件的不同数字中可以明显看出，报告此类事件存在问题。要详细分析和减轻勒索软件威胁，就必须更好地了解威胁情况，要做到这一点，就需要更高效和有效的事件报告。另外，我们对能够找到17.11%的案例信息强调，当涉及勒索软件时，只有冰山一角已经暴露出来，其影响远高于人们的认知。

5.2 事件的统计

为了定性分析这623个事件，我们进一步研究了每个事件的细节(使用公开可获得的信息)，并提取了以下类别的信息。

分类	描述
目标	针对机构的名称。
行业	目标所处行业
国家	目标国家
威胁行动者	威胁行动者的名字
初始访问技术	入侵和访问目标所使用的MITR E ATT&CK技术范围
支付赎金吗?	能否确认赎金是否已支付
数据被盗了吗?	是否有任何类型的数据被盗
被窃取的数据量	被窃取数据的大小(以千兆字节为单位)
被窃取数据的类型	被窃取数据类型的类别(个人数据，财务数据，数据、知识产权等)
泄露的数据	勒索之后，确认数据是部分泄露还是全部泄露

5.3被窃取数据量

在报告中包含的623起事件中，我们发现了288起数据泄露的证据，也就是占事故总数的46.2%。所有事件的累计被盗数据为136.3 TB，平均每次事件518 GB，平均每月10 TB。在一次事件中发现被盗最大数据量为50 TB；这是被Lapsus$威胁行动者从巴西卫生部(MoH)偷取的。如图2所示时间轴说明了每月被盗数据的累积数量。

5.4泄漏数据量

在勒索软件事件中，有两种主要的数据泄露方式。首先，数据可以被威胁行为者部分泄露，以证明他们确实窃取了数据或敲诈目标支付赎金。第二，由于赎金谈判失败，威胁行为者通常对窃取的数据进全部公开。完整的数据泄漏通常包含所有的偷来的数据。

许多不同的平台被用来泄露被盗数据。威胁行为者可能会使用他们自己的网站、云服务商或该组织的Telegram频道。云服务商出于隐私考虑通常会下架这些泄密数据，但在攻击者的网站上泄密数据仍然可以下载，也可以在Telegram上下载。

在分析的623起事故中，有62起发现数据部分泄露事件，占总事件的9.95%。同样，在236起事故中，也发现了完全泄露数据的证据，占37.88%。总的来说，在几乎一半的案例中（47.83%)被盗数据被泄露。

5.5 泄漏数据类型

在分析的623起事件中，超过136TB的数据被盗。31%的事件中，攻击者提供了被窃取数据的类型情况，通常包括个人和商业信息。

5.6 个人数据

在欧洲，《通用数据保护条例》(GDPR)将个人数据定义为“任何与已识别或可识别的自然人有关的信息”，并保护他们。我们的分析显示，所有被盗数据中有58.2%包含GDPR个人数据。这些个人数据的范围从受保护的健康信息(PHI)、护照号码和签证，到地址和新冠疫情状态。

在欧盟以外的国家，个人数据分为两类：个人识别信息(PII)和个人保护信息(PPI)。PII是任何可以潜在识别特定个体的数据，而PPI是很重要但不一定用来识别一个人的个人信息。

我们的分析显示，33%的被盗数据包括员工PII和18.3%包括客户PII。相比之下，只有0.4%的被盗数据包含员工PPI，3.8%包含客户PPI。

5.7 非个人数据

此外，41.7%的被盗数据包含非个人数据。非个人数据为与可识别的自然人无关的任何信息。此数据包含以下直接影响目标业务的信息，如财务信息、蓝图、保险、市场调查、内部网络数据等等。

在被盗数据中，19%包含财务信息。财务信息指具体与业务的财务方面有关的业务数据。这些数据可能包括部门预算、收据、收入申报、财务报表等。

超过24%的被盗数据包含业务信息。业务信息指对公司业务很重要的数据，如生产数据、行政文件、法律档案、商业登记、保密协议(NDA)协议，等等。

5.8 每个国家发生的事件

因为本报告主要关注发生在欧洲、美国和英国的事件，对每个国家事件的估计(如图2所示)因我们的数据选择而存在偏差。因此，研究结果很有趣，但并不完全具有代表性，因为如上所述，报告的事件和公开的信息稀缺。

在分析的623起事件中，我们发现受攻击最多的三个国家是美国112起，德国96起，法国78起事件。

图2：基于对623起勒索病毒事件的分析，每个国家的勒索病毒事件数量

5.9 初始访问技术

为了解勒索软件最初是如何访问目标的，我们分析了事件报告和勒索软件威胁行为者的能力。根据MITRE ATT&CK框架，我们总结了一些观察到的最常见的初始访问技术。

MITRE ATT&CK 初始访问技术

T1133外部远程服务：利用远程桌面

T1133外部远程服务：远程桌面暴力破解

T1133外部远程服务：利用终端服务漏洞

T1189搭车入侵

T1189搭车入侵：攻击工具包

T1203利用客户端执行：利用软件脆弱性

T1068特权升级

T1078有效账户

T1566.001钓鱼：鱼叉钓鱼附件

T1566.001钓鱼：鱼叉网络钓鱼链接

T1195供应链入侵

在研究的623起事件中，其中594起事件没有报告威胁行为者是如何获得初始权限的，这是压倒性的95.3%。由于安全原因，目标不愿意分享他们过去(或现在)的情况是可以理解的。但同时信息的缺乏并不能帮助其他人认识到他们应该如何改善，否则也可以成为未来的受害者。

在已知的29起最初访问权限被泄露的事件中，剩下的数据很少，据此得出结论；分布如下。

初始访问，参照MITRE	事件数量
T1133外部远程服务	12
T1566钓鱼	8
T1195供应链入侵	4
T1078有效账户	4
T1068特权升级的利用	1

5.10 支付赎金

很难知道目标是否支付了赎金，因为大多数目标都没有公开分享这些支付信息，在许多国家，付钱是违法的，无论如何都是不被鼓励。此外，有时目标想支付较少的赎金，但威胁行为者拒绝，数据还是会泄露。从对所有事件的分析来看，588起案件中无法确认是否支付了赎金，占94.2%。在我们分析的其余事件中，8起支付了赎金，58起没有支付赎金。再一次，在事件报告方面的这种空白限制了我们的理解，从而限制了我们进行适当的分析并减轻勒索软件的威胁的能力；因此需要检查这个问题的解决方案。

有趣的是，从我们之前对泄露数据的分析中，我们发现37.88%的目标公司的数据全部泄露到互联网上。这表明，但并不意味着大约62.12%的事件可能真的支付了赎金，这就是他们的数据没有泄露的原因。当然，也有很多缓解的情况，比如目标付钱了，但他们的数据还是被泄露了，或者目标没有付钱，他们的数据也没有泄露。然而，62.12%的估计与一项Claroty安全公司调查结果非常接近，62.14%的受访者证实自己公司支付了赎金。虽然这些数字不应该作为一个指南，因为它们仅仅是说明，它们确实使问题成为焦点。

5.11 各种行业的事件

从每个行业的勒索软件事件数量可以得出一个有意义的统计。然而，必须特别注意的事实是，我们在一个行业中的每个目标所做的分类过程都有轻微的偏差，因为一个目标可以属于许多类别。

图3显示了每个行业事件数量的比较。这张图说明勒索软件无差别地针对所有行业而且没有任何行业是安全的。

图3：每个行业勒索软件事件数量的比较

5.12 每个威胁行为者造成的事件数量

勒索软件威胁行为者，与任何其他网络犯罪集团一样，经常被抓捕或退出业务。然而，与其他网络威胁组织不同的是，勒索软件威胁行为者公开分享和承认他们的攻击。在分析的623起事件中，只有22起事件没有证实哪个威胁行为者是攻击的幕后黑手，这只占所有事件的3.5%。因此威胁行为者在96.5%的事件中被发现。这与其他网络安全威胁形成鲜明对比，其中威胁行为者不主动公开。然而，勒索软件商业模式致力于增加辨识度和恶名，因此产生了差异。

我们在图4中的分析显示，这些事件是由47个独立的勒索软件威胁行为者实施的。排名前三的攻击者是Conti、LockBit和Hive，考虑到在过去的一年里这些威胁的多产性，这应该不足为奇。然而，这些总数不应作为一个强有力的指南，因为我们的选择过程从每个威胁行为者中至少选择了5起事件，这对评估稍有偏差

图4：由每个威胁行为者引起的勒索软件事件的数量

5.13 勒索软件事件的时间轴

从2021年5月到2022年6月分析的623起勒索病毒事件显示在图5中。此时间轴突出显示了事件数量和累积被偷取的数据。

每个月的事件数量，在水平上方的垂直红色条中显示，使用事件报告的日期而不是攻击发生的时间构，可能几周前就发生了。奇怪的是，研究人员经常由于缺乏透明度，需要依靠勒索软件网站来获取这些数据来报告勒索软件事件。

被窃取的数据的累积量，以TB为单位，水平线以下如垂直的蓝色条所示，50%以上这一事件的信息是未知的。被盗数据的累积数量应该还要强调勒索软件的影响，因为在至少47%的事件中被盗数据部分或全部泄露。

图5：2021年5月至2022年6月勒索软件事件时间轴。红色条表示勒索软件的数量事件显示，蓝条表示被盗数据的累计数据量

6. 建议

勒索软件攻击是一个全球性问题，影响着各种规模、各行各业的组织。此威胁图景希望确定与勒索软件相关的问题和挑战，突出重要趋势，并发现如何改进防治勒索软件的机会。

现实表明，如果不这样充分准备，勒索软件可以对组织产生毁灭性的效果。在本节中，我们将提出一些可以帮助组织的更好地处理勒索软件一般性建议。这些建议集中在几个关键方面：防范勒索软件攻击、降低勒索软件的影响还有支付赎金的决定。

6.1 抗勒索软件的弹性

攻击者使用的技术在不断发展，他们正在寻找新的方法入侵目标。企业不应考虑自己是否会遭受勒索软件攻击，还要看它何时发生。这些建议应该有助于组织为应对勒索软件攻击之前和之后所做的准备。

对所有关键业务文件和个人数据进行良好的、经过验证的备份，保持更新，并与网络隔离。
应用3-2-1备份规则。所有数据：3份拷贝，2种不同的存储介质，1份离线拷贝。
根据GDPR的规定对个人数据进行加密并使用适当的基于风险的控制。
在终端设备上运行可以检测到大多数勒索软件的安全软件。
保持您的安全意识、安全策略和隐私保护政策与时俱进，借助行业最佳实践，在你的信息系统和资产达到期望的效果，如网络分段、最新补丁、定期备份，以及适当的身份、凭证和访问管理(ICAM)，最好和多因子认证配合，这基本上导致了良好的安全健康。
定期进行风险评估，并基于这一评估考虑购买勒索软件保险。
限制管理员权限：要谨慎分配管理权限，因为admin帐户的特权可以访问所有内容，包括更改配置或绕过关键的安全设置。授予任何类型的访问时总是基于最小特权(PLOP)的原则。
熟悉当地政府机构提供的勒索软件事件援助和定义在攻击情况下遵循的协议。

6.2响应勒索软件

组织或个人应该成为勒索软件攻击的受害者吗，人们提出了许多建议，但最重要的是第一个建议，即联系当局。

与国家网络安全主管部门或执法部门联系，了解如何处理以及如何应对勒索软件。
不要支付赎金，也不要与威胁行为者谈判。
隔离受影响的系统：建议将受影响的系统从网络中切断，用于控制感染和阻止勒索软件的传播。
访问欧洲刑警组织(Europol)的“无勒索项目”(No More Ransom Project)，该项目可以解密162个勒索软件变体。
锁定对备份系统的访问，直到感染被清除。

此外，高度推荐与当局分享勒索软件事件的信息。这种信息共享可以使我们更好地吸取经验教训，以帮助其他潜在的受害者，可以协助当局和安全研究人员和响应人员更好地处理事件，识别威胁行为者，为对应威胁图景及其演变提供更可靠的数据。信息共享是网络安全的基石之一。

当涉及到与威胁行为者就支付赎金进行谈判时，这并非如本报告中反复提到的建议。从法律的角度来看，组织应该了解目前关于赎金支付的规定。在一些国家支付赎金是非法的。应该咨询法律团队和当地政府机构如何应对勒索软件攻击。

从技术角度来看，每个支付赎金的组织都应该清楚并不总是会导致资产的恢复和成功的解密。企业应该考虑支付赎金的成本以及无法恢复业务的成本。此外，支付赎金和恢复资产并不意味着被盗信息不会被泄露或出售；所有被盗的信息都应该是被认为是遭到破坏的。Sophos报告称，只有4%的公司支付了赎金获得了所有的数据，而大多数付费用户只获得了约60%的数据。

从商业的角度来看，组织机构应该评估和考虑在被盗资产不可用的情况下恢复业务，将花费多少，以及即使支付了赎金，被盗信息被泄露的真正影响。在考虑支付赎金之前，组织应该考虑到公众反弹的成本，要注意道德立场。

从道德的角度来看，组织应该意识到他们受到攻击的原因是因为勒索软件的快速增长，增长主要是因为先前被感染组织付钱给勒索软件运营者，相当于资助他们的行动。支付赎金无疑助长了勒索软件的势头。因此，机构应考虑到行业在全球的立场，打击勒索软件和恢复组织本身。

7. 结论

对2021年5月至2022年6月勒索软件威胁情况的分析得出了一些结论，这些结论可以被看作是社区的收获。

7.1 缺乏可靠的数据

一般来说，勒索软件安全事件很少被报道。大多数组织倾向于内部处理问题，避免负面宣传。有些国家有相关的法律强制报告事件，但在大多数情况下，安全攻击首先由攻击者暴露。

美国最近的一项立法要求向司法部及网络安全和基础设施安全部(CISA)报告所有安全以及支付赎金事件。在欧盟，修订后的《网络与信息安全指令2》和增强的安全事件通知规定有望支持更好地了解相关事件。

缺乏来自目标组织的可靠数据，使其很难全面了解这个问题，甚至知道有多少勒索软件案例。找出哪些组织被感染的最可靠的来源是勒索软件威胁者的网页。这种透明度的缺乏对行业不好，因为大部分的数据泄露，正如在这份报告中发现的，是属于员工和客户个人数据。

即使使用来自威胁行为者网页的数据(不可否认，这是一个不可靠的来源)，仍然很难跟踪攻击的数量，特别是因为大多数都被媒体忽略，受害者没有报道。最重要的缺失的信息是关于攻击者如何获得目标访问权限的技术解释。这通常是描述目标的安全态势的私有数据，因此从不与公众分享。因此，我们作为解决问题的共同体的学习仍然是支离破碎和孤立的。

最后，从现在开始，勒索软件即服务的趋势使得很难识别攻击背后的威胁行为者，勒索软件工具和命令及控制在许多不同的附属机构之间还有威胁行为者团伙之间分享。

7.2 威胁图景

对2021年5月至2022年6月的勒索软件攻击进行的研究表明，这一趋势持续平均每个月有超过10TB的数据被勒索软件威胁行为者窃取。我们的研究表明，58.2%的被盗数据包含来自员工的个人数据。鉴于这些数据的敏感性，需要采取协调一致的行动来应对这一威胁。勒索软件威胁者的动机主要是获取金钱，这增加了攻击的复杂性，当然也增加了对手的能力。

在94.2%的事件中，不知道公司是否支付了赎金。然而，37.88%的事件的数据被泄露到攻击者的网页上，说明赎金谈判失败了。这让我们可以估计大约62.12%的公司可能以某种方式达成了协议或关于赎金要求的解决方案。

勒索软件正在蓬勃发展，我们的研究表明威胁行为者正在实施无差别的攻击。各行各业各种规模的公司都受到了影响。任何人都可以成为目标。我们敦促各机构做好应对勒索软件攻击的准备并在攻击发生前考虑可能产生的后果。

附录A：值得注意事件

本附录介绍了两种不同情况的生命周期。这两起事件的结果是袭击造成了重大损失，并要求大量赎金。这些案例中的每一个都有助于说明第四章介绍过的勒索软件事件的生命周期。

A.1 科洛尼尔管道运输公司勒索软件事件

科洛尼尔管道运输公司是美国最大的成品油管道系统，提供了美国东海岸大约45%的燃料，包括汽油、柴油、家用取暖油、航空燃料和军用物资。

2021年5月7日，攻击者通过暴露的VPN账户凭证(T1078)，获得了科洛尼尔管道运输公司网络初步访问权限。执行阶段包括部署DarkSide勒索软件。然后勒索软件继续偷窃和加密目标中文件和文件夹，近100GB的公司数据被盗。威胁者威胁如果他们的要求没有得到满足，就公布泄露的文件。这个组织要求75比特币赎金，相当于440万美元，交换文件解密器来恢复文件。谈判的结果是科洛尼尔管道运输公司支付了勒索赎金，从攻击者那里收到了一个文件解密器，并用它来解密受影响的文件和文件夹。生命周期如图6所示。

图6 2021年5月，科洛尼尔管道运输公司勒索软件攻击生命周期

虽然支付了赎金，但解密工具有一个非常长的处理时间，所以该公司无法足够快地恢复系统。这迫使科洛尼尔管道运输公司停止所有管道操作，冻结IT系统，以遏制攻击。除了宕机外，勒索软件攻击还导致了几家加油站的燃料短缺和几个机场受影响，导致航班时刻表的改变，更多的经济损失。

美国司法部表示，他们从最初的赎金中没收了63.7个比特币支付金额，只有230万美元，因为比特币的交易价格自从赎金支付的日期已经下降。

DarkSide勒索软件锁定安全软件和事件记录进程，删除备份，窃取并加密文件和文件夹。

A.2 KASEYA

Kaseya VSA是一个远程监控和管理(remote monitoring and management，RMM)平台。他们的产品是安装在客户端工作站、端点管理服务器和托管服务提供者上(MSP)，即为其他公司提供IT服务的公司。每个MSP都有一个他们服务的公司数量，如果一个MSP被破坏，就会影响到他们所有的客户，这就解释了勒索软件的广泛扩展。

2021年7月3日，攻击者通过软件漏洞获得了Kaseya VSA服务器供应商的初始访问权限，特别是SQL注入攻击(T119061)。SQL攻击导致REvil的恶意负载被释放并作为一个修复程序推到Kaseya客户。攻击者引入了cve - 2021 – 3011664漏洞。

攻击者通过利用Kaseya 软件信任关系(T1199)获得了对Kaseya客户(托管服务商)的初始访问权；攻击者可以向安装在客户上的软件发送指令和命令。在执行阶段，攻击者在目标上部署了REvil勒索软件。然后勒索软件继续加密文件和文件夹。

这一事件的勒索组件很特别。由于攻击的影响，威胁行为者们向Kaseya和其间接客户索要了7000万美元交换文件解密器，在所有受影响的系统中允许恢复受影响资产的可用性。也有满足个人需求的其他选择需求；每个MSP需要500万美元才能得到一个解密器， MSP的客户要求5万美元获得一个解密器，需要4万到4.5万美元对每个客户特定文件扩展名进行解密。威胁者威胁说要如果没有赎金，赎金加倍。

谈判的结果是，Kaseya和受影响的客户都没有支付赎金。文件解密器被获得，不知道为什么，许多系统能够恢复。

总的来说，如图7所示的供应链事件，导致了入侵和加密了超过50个MSP和800到1500个公司，这代表了总数Kaseya的37,000名客户或其总客户群的0.001%。勒索软件的需求截至2021年7月23日，7000万美元是最大的赎金要求。REvil勒索软件加密文件，但没有观察到数据窃取或删除。生命周期如图8所示。

图7：Kaseya供应链攻击示意图。攻击者将代码部署到MSP供应商的VSA实例(是否在云端还是在本地仍在调查中)。然后一些MSP被利用向其客户部署恶意软件和勒索软件。

图8：2021年7月Kaseya MSP客户被攻击的生命周期

（完）