专题·勒索软件治理 | 勒索软件攻击发展趋势分析 - 新鲜讯息

扫码订阅《中国信息安全》

邮发代号 2-786

征订热线：010-82341063

文 | 深信服科技股份有限公司王振兴安东冉

随着数字化经济的飞速发展，网络环境也面临着诸多安全威胁，勒索软件攻击是近年来全球网络安全面临的主要威胁之一。对 2024 年勒索软件攻击及治理进行深入研究，并与业界共同探讨这一热点话题，旨在正确认识勒索软件，探索勒索软件攻击解决方案，以更高效地防范勒索软件攻击。

一、勒索软件发展过程与现状

1989 年至 2009 年是勒索软件攻击的萌芽期。1989 年，全球首次出现勒索病毒 AIDS（因易于破解而未引起过多关注），开启了 30 多年的勒索软件攻击历程。2006 年，第一个使用非对称加密的勒索软件 Archievus 的出现，标志着勒索软件的新纪元。该软件使用 RSA 加密方法，对“我的文档”目录中的所有内容进行加密，要求用户购买解密密钥进行解密，这一方式至今仍是勒索软件的主流获利方式。

2010 年至 2015 年，勒索软件进入成长期。几乎每年都有变种出现，攻击范围不断扩大，攻击手段持续翻新。自 2013 年以来，越来越多的攻击者要求以比特币形式支付赎金，比特币等匿名支付方式帮助犯罪分子更好地隐藏自己。2014 年，出现了第一个真正意义上针对 Android 平台的勒索攻击软件，标志着攻击者的注意力开始向移动互联网和智能终端转移。

2015 年勒索软件即服务（RaaS）正式面世，勒索软件攻击进入高发期。随着勒索技术的逐渐成熟，出现了由病毒制作者、攻击实施者、传播渠道商和收款代理商组成的黑色产业链条。2017 年，“想哭”（WannaCry）勒索病毒在全球范围爆发，导致 100 多个国家的数十万名用户中招，医疗、教育、能源、通信、金融等多个行业受到波及。这使黑客认识到将勒索病毒与蠕虫病毒相结合能带来巨大破坏力，是有史以来在单次攻击波中影响面最大的勒索事件。2021 年，美国最大的成品油管道运营商科洛尼尔管道运输公司遭到 Darkside 勒索软件攻击，是美国关键基础设施遭受的最为严重的网络攻击之一，对全球产业链造成巨大连锁影响，引发了各国对加强关键信息基础设施安全保护的思考。

近年来，双重勒索的流行使勒索软件攻击进入平稳增长期。数据安全愈加重要，双重勒索和多重勒索也变得愈加普遍。根据 Ransomfeed 勒索论坛的数据，2021 年至 2024 年，在暗网被公布的双重勒索软件攻击事件成倍增长，但 2021 年以后并未出现对全球产生深远影响的重大勒索事件，整体呈现平稳增长态势。

二、勒索软件攻击发展趋势与特点

从 20 世纪 80 年代首个勒索病毒 AIDS 出现到 2024 年的 30 余年间，勒索攻击经历了萌芽期、成长期和高发期三个阶段。如今，已经形成了分工明确的产业链条。近年来，勒索软件的攻击频次和数量急剧增加，已然成为全球网络空间安全的最大威胁之一，其攻击发展趋势呈现出一些新特点。下面主要就国外勒索软件攻击的发展趋势与特点、中国的勒索软件攻击发展趋势与特点以及勒索软件网络犯罪特点三个方面，与业界同仁探讨勒索软件的攻击发展趋势与特点。

（一）国外勒索软件攻击发展趋势与特点

综合分析近年来发生的重大勒索软件攻击事件，可以看出勒索软件攻击活动呈现以下特点。一是全球勒索软件攻击事件逐年增多但对全球产生巨大影响的勒索事件有所减少。据不完全统计，Ransomfeed 勒索论坛数据显示，2021 年至 2024 年，暗网公布的勒索软件攻击事件数量分别为 1675、2873、4846 和 3524（1 月至 6 月），预计今年在暗网公布的勒索软件攻击事件将超过 7000 起。以上数据表明，2021 年至 2024 年在暗网公布的勒索软件攻击事件成倍增长。尽管勒索攻击事件数量逐年增多，但自 2021 年以来，未出现对全球产生深远影响的重大勒索事件，2017 年的“想哭”（WannaCry）勒索事件和 2021 年科洛尼尔管道运输公司被勒索软件攻击现象级事件均对全球网络空间格局产生了深远影响，引起了国际社会广泛关注，甚至改变了国际政治、经济和文化的走向，类似上述现象级勒索事件在 2021 年以后尚未出现。二是关键基础设施勒索软件攻击事件频发。2021年全球最大的肉类供应商 JBS 遭到 REvil 勒索团伙攻击，导致部分产线停摆，赎金高达 1100 万美元；2022 年哥斯达黎加政府遭到 Conti 勒索团伙攻击，导致该国财政部陷入瘫痪，该国因勒索攻击宣布进入“国家紧急状态”；2023 年，美国德克萨斯州达拉斯市遭受 Royal 勒索团伙的攻击，导致多项市政服务中断；2023 年，我国工商银行美国子公司遭到 Lockbit3.0 勒索软件攻击，导致部分金融服务（FS）系统中断；2024 年，美国医疗 IT 巨头 UnitedHealth 子公司遭到勒索攻击，初步损失超 60 亿美元。

（二）我国勒索软件攻击发展趋势与特点

一是制造业成为我国遭受勒索攻击的重灾区。深信服科技股份有限公司数据显示，2024 年上半年国内勒索应急响应事件近百起，制造业占比超过 30%，是国内受勒索攻击影响最严重的行业。据不完全统计，根据 Ransomfeed 勒索论坛的数据，2024 年上半年暗网公布我国的勒索软件攻击事件数十起，制造业占比超过 28%，是被勒索软件攻击最多的行业。制造业之所以受勒索攻击影响最为严重，与其行业特点密切相关。制造业企业的运营技术（OT）系统通常可见性有限，缺乏对网络的充分监控，甚至无法实施最佳安全实践，这种有限的可见性和监控能力使制造业企业更容易成为攻击目标。此外，成本和收益的巨大反差也是一个重要原因，RaaS 的兴起极大地降低了勒索攻击成本，而因勒索攻击导致的停工和业务中断无疑是对制造业的致命打击。二是爆破和漏洞利用是当前主流的勒索攻击手法。深信服科技股份有限公司数据显示，2024 年上半年国内勒索应急响应事件近百起，勒索软件攻击过程使用的主要攻击手法包括 RDP 爆破、MSSQL 爆破登录、SQL 爆破和漏洞利用。Coveware 数据显示，自 2018 年以来，RDP 爆破和漏洞利用一直是全球最主要的勒索软件攻击方式。当前已知被利用漏洞（KEV）目录已标记了 227 个勒索软件利用漏洞，占总体漏洞的 20%，勒索软件利用漏洞入侵已成为普遍现象。综上分析，目前勒索软件攻击手法主要以爆破和漏洞利用为主。

（三）勒索软件网络犯罪特点

成形且紧密的黑色产业链条，实现了勒索资源共享与能力互补。近年来，随着勒索攻击黑色产业的快速发展，围绕数据加密，数据泄露，乃至诈骗等核心元素展开的勒索软件攻击黑色产业链逐渐成形。一次完整的勒索攻击可能涉及 5 个角色，包括勒索病毒作者，勒索者，传播渠道商，代理和受害者。第一是勒索病毒作者，负责勒索病毒编写制作，通过在“暗网”或其他地下平台贩卖病毒代码，与勒索者合作分成。第二是勒索组织，从病毒作者手中拿到勒索病毒源程序，通过自定义病毒勒索信息后得到自己的专属病毒，并与勒索病毒作者进行收入分成。第三是传播渠道商，帮助勒索者传播勒索病毒，最为熟悉的是僵尸网络。第四是代理角色，向受害者声称自己能够解密各勒索软件加密的文件，并且收费是勒索赎金的一半甚至更少，但实际上与勒索者进行合作，赚取差价。第五是受害者，通过勒索病毒各种传播渠道不幸被勒索的用户，如重要文件被加密，需向代理或勒索者联系缴纳赎金以解密文件。

勒索软件已成为当前最主要的网络犯罪形式之一，是全球网络安全领域面临的最大威胁之一。自 2021 年 1 月至今，美国司法部官网的新闻稿中涉及网络犯罪条目总计超过 170 条，其中与勒索软件网络犯罪相关的条目近 40 条，反映出勒索在网络犯罪中占有极大的比重。对美国司法部发布的勒索相关网络犯罪信息进行分析后发现，勒索软件网络犯罪主要涉及以下三个方面：一是全球最猖獗的勒索团伙如 LockBit、Blackcat 等，持续对关键基础设施造成严重破坏，损失金额高达数百亿美元；二是加密生态犯罪系统为勒索犯罪提供了非法洗钱服务，包括非法经营汇款业务及转移和传输非法资金等服务。根据 Chainalysis 发布的《2024 年加密货币调查状况报告》，2018 年至 2024 年间，非法地址收到的加密货币总价值超过 113 亿美元，显示出勒索软件犯罪的非法获利之巨；三是暗网网络犯罪市场为勒索犯罪提供了安全和匿名的环境，暗网提供各种非法商品和服务，其中包括勒索软件和相关工具，黑客可以在暗网市场上购买这些软件，然后对目标发起攻击并索要赎金。暗网的匿名性和加密通信使得黑客更难被追踪，从而增加了勒索活动的隐蔽性。

三、勒索软件治理与合作的策略与建议

勒索软件作为一种全球性的网络安全威胁，维护网络安全已成为国际社会的共同责任。以下是勒索软件治理与合作的策略与建议。

第一，全面赎金禁令应结合国情，审查禁令有效的激励因素和障碍。不同国家的全面赎金禁令效果各异。比如，澳大利亚最有可能通过全国禁令获得成功，与美国相比，由于其勒索市场相对较小，即使犯罪分子放弃对澳大利亚的勒索攻击，其网络犯罪的目标市场也不会显著萎缩。相比之下，美国是受勒索软件攻击最严重的国家，占全球勒索攻击的 50%。勒索犯罪分子并不会因为赎金禁令而放弃攻击美国。如果我国希望将禁止支付赎金作为阻止资金流入犯罪分子的战略的重要组成部分，那么一个必不可少的先决条件是国家在应对攻击时采取更有效的干预措施。勒索软件现象的核心是经济和政策激励机制的错位。虽然各国政府都在努力加强网络安全立法和监管，但勒索软件的频繁出现表明，现有的政策和激励机制并未能有效阻止这一威胁的蔓延。资源分配不合理、政府与行业合作不足等问题，导致网络安全防护措施不到位，从而为勒索软件提供了可乘之机。当前，政策激励机制面临的主要障碍包括：一是合法私人利益与公共利益的不一致。当西方国家的私营部门遭到攻击时，是否支付赎金的决定权掌握在私营部门领导手中，他们的职责是保障企业的正常运营，考虑支付赎金对公共利益的影响并非他们考虑的范畴；二是目前没有激励措施促使犯罪分子克制行动，许多勒索犯罪分子并未受到惩罚；三是企业在软件和硬件生产中缺乏商业激励，无法在产品设计中充分考虑安全性，从而为勒索攻击留下了隐患。如果不对激励机制进行更广泛的改革，仅仅剥夺受害者的支付能力很难奏效，只会减少私营部门向政府报告勒索事件的可能性。

第二，加强对勒索软件的执法力度，打击勒索软件网络犯罪。自 2021 年以来，以美国为首的西方国家持续加强勒索软件的执法力度，针对LockBit、Conti 等多个大型勒索团伙的打击，减少了全球范围内产生巨大影响的勒索大事件；同时，加强对加密生态犯罪系统的执法，欧美执法机构对 Bitzlato、BTC-e 等多个加密货币交易所采取执法行动，这些非法加密货币交易所是黑市买家和卖家的主要渠道，也是勒索软件犯罪分子进行非法交易的避风港，对其瓦解和破坏无疑是对勒索软件犯罪活动的沉重打击；此外，针对暗网网络犯罪市场的执法也不可忽视。BreachForums、Hydra Market 等网络犯罪市场因执法机构的打击而纷纷崩溃，基础设施被捣毁，涉案人员被抓获，无疑是对勒索软件犯罪活动的一次次重击。我国应该进一步增强双边和多边联合执法行动，提升对勒索软件的监测和防护能力。

第三，鼓励多元治理，发挥各方防护合力。一是深化国际合作，共同应对勒索软件攻击。自 2021 年起，以美国为首的西方国家一直致力于联合全球合作伙伴共同应对勒索软件威胁，已连续三年举行国际勒索软件倡议（CRI）峰会，已有 50 多个国家和地区参与其中。我国也一直致力于加强双边、多边以及联合国框架下的国际对话与合作，推动构建网络空间命运共同体。在关键基础设施保护方面的国际合作至关重要，也是“一带一路”倡议的重点之一。面对当前勒索软件攻击态势，我们应进一步深化在关键基础设施保护方面的国际合作。二是增强公共部门和私营部门的合作。当前，中小企业和其他非政府组织往往缺乏独立抵御勒索软件攻击的能力，合法私人利益与公共利益的不一致导致私营部门未完全向有关部门报告勒索软件攻击事件。针对上述公私合作的问题，我国有必要采取进一步措施，加强公共部门与私营部门的协同联动。考虑组建促进政企网络安全合作的专门机构，吸引重要网络安全企业参与，并将信息共享升级为操作协同，政府应进一步为中小企业和非政府组织提供实质性帮助，制定对受害者的相应鼓励和补偿机制，以有效改善私营部门报告勒索事件的情况，进而缓解缺乏勒索系统数据的问题。同时，通过加强信息传播、宣传和教育，提高公众对政府机构提供的帮助的认识，积极向公众传达各类帮助和服务。

（本文刊登于《中国信息安全》杂志2024年第8期）

分享网络安全知识强化网络安全意识

欢迎关注《中国信息安全》杂志官方抖音号

《中国信息安全》杂志倾力推荐

“企业成长计划”

点击下图了解详情