【霄享·安全】勒索病毒施虐的当下，企业应当何去何从？——2023年11月刊（总第45期）

再谈勒索病毒

早在2020年初我们公众号发布的第一篇月刊，主题就是勒索病毒专刊（

今年以来，随着全球数字化转型的步伐加快，勒索病毒引发的安全事件也随之增多，勒索组织也异常活跃。特别是臭名昭著的LockBit勒索软件集团动作频频，屡屡得手，导致全球范围内多家企业蒙受了巨大的经济损失。

相较于其他勒索APT组织，比如长期针对我国的：海莲花、BlackTech、OldFox等，Lockbit其实相对比较“年轻”。自从2019年出道以来，Lockbit组织的拳头产品LockBit 1.0、LockBit 2.0、LockBit 3.0版本不断升级，凭借其夸张的加密、传输速度，逐步蚕食病毒勒索市场。

据网络安全公司Dragos的数据显示，2022年第二季度针对工业系统的勒索软件攻击，约有三分之一是由LockBit发起的。而Deep Instinct发布的报告指出，在2023上半年，LockBit发起的勒索攻击约占总攻击数的44%。

该勒索集团是一个有组织有技术的犯罪团伙，他们甚至在发布Lockbit3.0后，面向全球的黑客发布了一个赏金计划，如同企业发布漏洞赏金计划激励白帽黑客来发掘漏洞一样。Lockbit3.0的赏金计划旨在通过发布高额悬赏来发现自有勒索软件的不足之处。这也是勒索领域首个赏金计划，充分展现出了Lockbit组织那极其庞大的野心。

毫无疑问，经过了“赏金计划”的洗礼，Lockbit的勒索攻击必定会更加难以防御，更加高效和隐蔽！

盘点2023年全球LockBit勒索事件

1月3日，美国铁路和机车公司Wabtec Corporation透露其遭到勒索攻击导致数据泄露。企业公告中显示，早在2022年3月15日，黑客就入侵了他们的网络并在系统上安装了恶意软件，在Wabtec拒绝支付赎金后，8月20日，LockBit对外公开了全部被盗数据。

另据报道，1月12日，英国皇家邮政遭遇勒索软件攻击，致使包裹和信件的国际运输陷入停顿。后经证实勒索软件为LockBit！

2月20日，葡萄牙市政供水公司Aguas do Porto遭到勒索团伙Lockbit的攻击。Lockbit已将Aguas do Porto添加到其Tor网站的被攻击目标列表中，并威胁将对外曝光被盗数据。

4月24日，印度公司Fullerton表示遭受勒索病毒的攻击，被迫暂时脱机运营。随后，LockBit 3.0勒索软件集团宣布对此次攻击负责，称其窃取了600GB的个人和合法公司的贷款协议数据，并要求该公司支付300万美元赎金，Fullerton拒绝支付后，LockBit 3.0集团泄露了全部数据。

6月8日，全球最大的拉链制造商YKK遭到LockBit的勒索攻击，据YKK透露，其美国业务近几周成为黑客攻击的目标，几近瘫痪。

7月中旬，全球最大晶圆代工厂台积电受到LockBit勒索软件组织的攻击，并遭到7000万美元的天价勒索。该勒索软件组织威胁台积电，如果不交付勒索款项，将公开台积电的网络入口点、密码和其他机密信息。这将对台积电本身，以及其重要客户如苹果、高通和英伟达等造成了严重威胁。

与此同时，日本最大货物港口名古屋也在7月遭受到了黑客攻击，病毒入侵系统导致5个集装箱码头卸货作业暂停，2万多个集装箱运输受到影响，物流因此陷入瘫痪。最终判断造成系统故障的原因是受到了勒索软件LockBit 3.0攻击。

10月中旬，勒索软件团伙Lockbit声称入侵了技术服务巨头CDW，并因赎金谈判破裂泄露了部分数据。Lockbit要求支付8000万美元的赎金，但对方只支付了100万美元。Lockbit表示对方的赎金支付对他们来说具有侮辱性，并在泄露网站上发布了包含CDW数据的帖子，其中涉及员工徽章、审计和其他账户相关信息。

10月27日，勒索软件行为者向波音发起了攻击，并要求公司在11月2日之前与他们联系以展开谈判。黑客声称已经窃取了大量敏感数据并准备进行发布，攻击事件对公司零部件和分销业务造成了一些影响，在波音拒绝支付赎金后，LockBit勒索软件泄露了超过43GB的波音文件。

11月9日，中国工商银行美国子公司遭受勒索软件攻击，导致美国国债市场交易出现混乱。Lockbit代表通过在线消息应用Tox告诉路透社：他们支付了赎金，交易完成。据路透社报道，这次黑客攻击的范围如此之大，以至于该公司的企业电子邮件停止运行，员工不得不改用谷歌邮件。

防治勒索病毒的误区

我们在与勒索病毒作斗争的时候，一定要客观看待，理性分析，切忌想当然和固有思维模式，不然容易陷入一些误区。

其实这个就是人性中的侥幸心理作祟，认为勒索病毒攻击就是新闻里的事件，离自己很遥远。而现实是，但凡只要你使用网络，那么理论上就有可能成为勒索病毒的攻击目标。

首先，报道出来的新闻事件始终是少数，很多中了勒索病毒的企业都是低调处理，缴纳赎金花钱消灾，或者损失不大当没发生。仅仅是一家安全公司的数据，2022年监测到的勒索攻击次数就达到了3583万次，在如此规模的攻击频率下，我们不应该存有侥幸心理。

其次，很多勒索病毒会结合APT攻击，潜伏在受攻击的应用、主机和网络设备中，只因还未获取到有价值数据而未实施攻击。换句话说，你的文件、数据未被加密，不代表就一定没有中勒索病毒，它就像生物病毒有潜伏期一样，只是没有发作而已。

诚然，杀毒软件、防火墙是保护系统安全的重要工具，但它们在成熟的攻击者面前是非常脆弱的。攻击者不断改进勒索病毒和投放的方式与对象，轻松逃避杀毒软件和防火墙的检测。

熟悉ATT&CK攻击框架的同学都知道，勒索病毒的攻击是一个非常缜密的过程，每个被攻击的单位所有的防御措施都有办法规避。就拿终端的杀毒软件来说，一般规避的方法是先执行范围保护，利用自解压过程，匹配正确的参数加载有关文件，然后使用PCHunter、PowerTool和Process Hacker等工具来禁用、卸载与安全软件有关的进程和服务从而达到削弱防御机制的目的，接着清除Windows事件日志文件，勒索软件自删除，最后混淆文件或信息，并将向其命令和控制（C2）发送加密的数据建立隧道链接。

因此，仅仅依靠杀毒软件和防火墙是远远不够的。

备份文件是防止数据丢失的关键步骤，但是我们不能有依赖思想，认为命中勒索病毒后大不了恢复备份数据就行。

首先，因为有很多用户的定期备份文件也只是备份在本机或者同局域网内的服务器上，在遭遇勒索病毒的时候就被“一锅端”了，等同于没有备份。

其次，就算是异地备份，但备份数据是需要一定周期和备份时间的，不能完全保障数据的完整性。

再次，我们没法保障备份的数据一定能顺利恢复，特别是一些业务复杂，数据交互频繁的应用，多多少少会存在数据失真。因此，定期备份数据也只能做一个兜底，无法完全规避损失。

从媒体报道的多起企业被勒索病毒攻击事件来看，被攻击企业交纳的赎金越来越多。

事实上，勒索病毒在地下黑客论坛已形成黑色产业链，甚至有成套的销售、售后服务，为获取高收益赎金，高价值企业已成为勒索病毒精准攻击对象。对于这样一个黑色产业链而言，企业即便被攻击后缴纳赎金，只是度过了一时难关，并非彻底安全，依然存在被再次攻击的可能性。

与此同时，虽然攻击者可能承诺在支付赎金后解密文件，但付款并不能保证会真正获得解密工具或解密密钥。在很多情况下，企业即使支付了赎金，也无法恢复所有数据，这有可能是因为攻击者收到钱后不提供解密工具，或者文件在加密的时候就已经损坏了，即使拿到解密工具也无法解密。此外，支付赎金还会变相鼓励攻击者继续进行类似的攻击。

构建主动与前置的应对措施

很多企业十分注重勒索病毒的攻击危害，但是容易被网上一些文章的只言片语或安全厂商给带偏。因为利益使然，都会引导你去使用一些安全产品或者设备来防范勒索病毒，这些产品或者设备有用吗？单独就某个方面来说是有效的，但是，勒索病毒的攻击链和传播链非常的丰富和灵活，要想有效阻止斩断攻击传播链，必须构建主动的、安全前置（安全左移）的应对措施，切忌头疼医头，脚疼医脚。

如何理解这两个概念？首先，杀软、备份数据等措施可以认为是一些被动的防护手段，是受到勒索病毒攻击进行时才会做出进行杀毒或阻断的反应。而主动的防护、应对方式则是通过一些措施手段强化自身的安全防护措施，从而有效的从勒索病毒的攻击路径中去进行阻断。

其次，相信扁鹊三兄弟的故事大家都听过：治病最佳的时间是病情发作之前，其次是身体微恙，最后才是出现病理症状。同理，安全前置，也就是业内常说的安全左移，其根本目的就是通过一些有效措施去规避风险，降低被攻击的暴露面，将勒索病毒攻击扼杀在摇篮之中，做到事前防范！

具体来说，防御勒索病毒的攻击，除了下列常规的措施之外，更重要的是构建主动与前置的应对措施，来有效遏制勒索病毒的攻击风险：

● 及时安装操作系统和应用程序的安全补丁和更新

● 安装杀毒软件和防火墙，并保证其及时更新

● 备份关键数据并确保备份文件与主系统物理隔离存储

● 实施访问控制和权限管理

至于如何去做？事实上通过梳理分析不难发现，对于一个企业来说，勒索病毒的攻击对象，无非就三个方面：一个是企业的应用、主机、文件数据等“产品资产”；另一个是企业的员工在办公时所使用的电脑终端、办公设备、网络设备等“生产资料资产”；最后一个是企业员工自身的“人员资产”。

针对这三个对象“开出药方”，可以通过以下三方面措施去积极应对勒索病毒的攻击：

对于提升“产品资产”安全性方面，最直接有效的办法就是资产上云。企业自身不仅可以节约基建方面的支出，同时在安全方面优势也显而易见：

当然，今年双十一阿里云的宕机也为我们敲响了警钟。某种意义上说，公有云作为一个承载大量用户的平台，通过这次的事件其健壮性和安全性被打上了问号。因此在公有云或私有云上的选择上，还是要根据自身的诉求慎重选择。一般来说，私有云的安全性相对更高一些。

对于许许多多类似上汽的制造型企业，“生产资料资产”不仅是与IT网络环境有关的终端、办公设备等，还包含生产车间有关的OT网络环境，是一个比较宽泛的概念，即相对于互联网（公网）的企业局域网（内网）的统称。

传统安全防护主要聚焦在注重边界防护，也就是在网络边界上设立防线，防止未经授权的访问和攻击，主要依赖于防火墙、入侵检测系统（IDS）和其他类似的技术。这种方法在一定程度上是有效的，但是存在一个非常致命的问题，就是一旦边界被突破，内网资产就会被一窝端；此外，随着技术的发展，以勒索病毒攻击为代表的安全威胁已经变得更加复杂和多元化，这使得传统的边界防护方法不再可靠。因此，企业不仅要强化自身边界防护的“外功”，同时也要修炼面向内网安全的“内功”！

而内网安全，主要可以从以下两方面着手：

最后一项，企业员工的“人员资产”，这个是最容易被忽略的地方，也是最容易被突破的地方。弱口令、钓鱼等极易被勒索病毒攻击的途径都与企业员工的安全意识息息相关，如何去提升企业员工的安全意识，也是需要企业花力气去不断地培训教育的：

综上所述，勒索病毒肆虐的当下，企业在应对方面不能人云皆云，一定要根据自身的实际情况，将勒索病毒的防御做到事前部署，三个维度同时着手，构建自身的立体防御体系，实现有效应对。

帆一尚行是上汽集团为数字化转型而设立的创新平台，以“消融产业边界，释放数据价值”为己任，聚焦安全云、自动驾驶云、智能制造及产业互联网技术领域，赋能行业数字化转型，加速产业数字化、数字产业化进程，积极推动社会数字经济发展。作为一家深耕汽车行业云计算，同时发展多元化业务的科技公司，帆一尚行为企业、开发者和政府机构等提供安全、可靠的数据计算与处理能力、专属云产品与服务。

帆一尚行可提供文中所述的多个产品和服务，包括资产上云、HIDS、一体化办公（零信任）、安全意识培训服务等：

帆一云作为汽车行业云计算中心，于2015年启动云平台建设，引领中国汽车行业创新的趋势科技基础平台，为客户提供弹性计算、数据、存储、网络、安全、应用、人工智能、IOT等资产上云服务。

主机自适应安全平台（HIDS），通过对主机信息和行为进行持续监控和分析，快速精准地发现安全威胁和入侵事件，并提供灵活高效的问题解决能力，将自适应安全理念真正落地，为用户提供下一代安全检测和响应能力。

一体化办公解决方案，企业数字化转型需要的全新安全架构，基于零信任框架的SASE架构，帮助企业建立企业安全边界，混合办公安全一体化，一站式数据防泄露体系等安全能力。

网络安全意识培训服务是以提高组织或公司内部员工、用户、利益相关者对网络安全问题的认识和警惕性为目的的一种培训服务。