2021年的勒索病毒市场

2021年，新冠肺炎仍在全球肆虐。除了应对疫情的持续冲击，各行各业还面临着多样且高频的疫情——勒索病毒。他们加密窃取数据，甚至威胁销毁或泄露数据，以此要挟受害者支付高额赎金，获取暴利。为什么勒索病毒的能量这么大，让所有行业都胆战心惊？面对勒索软件，我们只能平躺吗？接下来，我们来一盘。

从1989年世界上第一个已知的勒索软件AIDSTrojan的出现，到2006年中国大陆第一个勒索软件Redplus的出现，在世界各地都遭到了勒索软件的攻击。尤其是近年来，勒索攻击形势更加严峻，国际知名企业被勒索病毒攻击的事件层出不穷，赎金不断刷新纪录。勒索病毒已经成为全球网络安全的头号威胁。那么，勒索软件主要有哪些类型呢？

用RSA、AES等加密算法加密用户文件，索要赎金。这类勒索软件已经成为勒索软件的主要类型，以WannaCry为代表。WannaCry今年再次复苏，最常被攻击的主要是政府和军事单位，其次是制造业、银行业、金融和医疗系统。

通常使用各种加密算法对用户数据进行加密，但在勒索过程中，攻击者会筛选并窃取用户的重要数据，以暴露重要数据来胁迫用户支付赎金。2021年3月，知名电脑厂商宏碁遭到REvil勒索软件攻击。攻击者要求5000万美元(约合3.3亿人民币)的赎金，否则窃取并加密的数据将被公之于众。2021年5月，美国联邦调查局声称康迪勒索软件攻击了16个美国卫生和紧急服务机构，影响了400多个全球组织。

系统盘的主引导记录和卷引导记录采用各种加密算法加密，阻止用户访问磁盘，影响用户设备的正常启动和使用，勒索用户赎金，甚至加密所有磁盘数据。以2016年首次发现的Petya勒索病毒为代表。

全屏锁定用户设备屏幕，并显示含有勒索信息的图片和文字，或者假装系统出现蓝屏错误，直接导致用户无法登录使用设备(系统组件会同时被禁用)，从而勒索用户支付赎金。这种勒索攻击在移动端依然存在。比如2017年发现的Leatherlocker。

免费获取学习资料

全套网络安全数据包及2021年最新面试问题

(渗透工具、环境搭建、HTML、PHP、MySQL基础学习、信息收集、SQL注入、XSS、CSRF、暴力破解等。)

勒索软件攻击的目标已经从个人用户转移到更有能力支付赎金、更依赖数据的政企用户。比如高校被WannaCry感染严重，就是因为大量设备在安全加固和漏洞修复方面疏于管理。承载重要数据资源的行业，如能源、医疗等，由于对业务连续性要求较高，成为勒索软件攻击的高价值目标。此外，政府重要部门/机构、军事单位以及关系民生的关键基础设施和工业控制系统面临的攻击风险也在增加。

经济利益驱动运营模式升级，初步形成勒索病毒黑色生产链。近年来活跃于提供RaaS(勒索软件即服务)平台服务的DopplePaymer、Egregor、Netwalker、REvil/Sodinokibi、DarkSide、Ryuk等家族，威胁能力较高。

2021年7月，黑客发起了全球勒索软件攻击，攻击了1000多家公司，迫使瑞典最大的连锁超市之一Coop关闭了数百家商店。在这场似乎是迄今为止对供应链最大的黑客攻击中，黑客将目标对准了IT管理软件提供商Kaseya，并再次揭示了勒索软件即服务(RaaS)的趋势正在蔓延。

2021年7月，LockFile利用Exchange server的ProxyShell漏洞入侵企业内部网络，已经攻击了至少10个组织或企业，主要针对美国和亚洲。

由于勒索病毒的加密信息难以恢复，攻击来源难以追溯，勒索病毒一旦被攻击，不仅会带来赎金损失、停机损失、赔偿和罚款、数据重新上线成本等直接损失，还会带来停机或服务中断可能带来的社会损失。比如赎金的损失，根据Censuswide的研究报告，勒索攻击发生后，相当一部分企业会选择支付赎金。然而，2021年3月，美国最大的保险公司之一CANFinancial遭到黑客组织Phoenix的勒索软件攻击。大约15，000台设备被加密，无数客户数据面临被泄露的风险。在试图恢复文件未果后，CNAFinancial开始与攻击者谈判。黑客最初索要6000万美元，谈判结束后，他向黑客支付了4000万美元，创下了历史最高赎金支付纪录。

2021年5月，美国最大的成品油管道运营商ColonialPipeline遭到了由Darkside黑客组织的勒索病毒的攻击，美国东海岸的燃油网络陷入瘫痪。同月，美国东部17个州和首都华盛顿特区进入紧急状态。

图远网络

2021年，LockBit升级到2.0版本，加密数据的速度可以达到373MB/s，不到20分钟就可以从受感染设备中窃取并加密100GB的数据，是普通勒索软件加密速度的3倍以上。8月，全球IT咨询巨头埃森哲(Accenture)遭到了LockBit团伙的攻击。LockBit勒索团队声称窃取了超过6TB的数据，并勒索了5000万美元(约合3.2亿人民币)的赎金。

LockBit2.0勒索软件攻击埃森哲国内企业应加强防范

近日，全球it咨询巨头埃森哲遭到LockBit勒索团伙攻击，公司6TB内部数据被盗，2500台电脑被关闭。涉及的病毒是LockBit的2.0版本。由于近期LockBit2.0勒索病毒异常活跃，危害极大，瑞星公司发布安全提醒，建议用户提高警惕，防范LockBit2.0勒索病毒大规模爆发。

事件回顾:

8月11日，全球IT咨询巨头埃森哲(Accenture)遭到一个LockBit勒索软件团伙的攻击，属于其员工和合作伙伴的2500台电脑被中招。埃森哲这次遭受的网络攻击是2.0版本的LockBit勒索软件。LockBit团伙表示，如果埃森哲不尽快支付5000万美元(约合3.2亿人民币)的赎金，就将被盗的6TB数据公之于众。

图:LockBit勒索软件运营商网站显示数据泄露倒计时

据悉，埃森哲是全球最大的上市咨询公司，也是世界500强企业之一，提供战略、咨询、数字化、技术和运营服务及解决方案。为120多个国家的200多个城市的客户提供服务，包括超过四分之三的财富500强公司、政府机构和军队。埃森哲涉足汽车、银行、政府、科技、能源和电信等领域，市值2032亿美元，员工超过50万人。

勒索软件及其组织背景:

早在2019年9月就发现了Lockbit勒索病毒，当时称之为ABCD病毒。使用这种勒索软件的黑客以针对企业和政府组织而闻名，他们的主要目标是中国、印度、印度尼西亚、乌克兰、英国、法国、德国等国家。今年6月，LockBit勒索软件团伙将原来的勒索软件升级为LockBit 2.0版本，并宣称这是世界上最快的加密勒索软件，不到20分钟就能从被感染的系统下载100GB的数据。

图:勒索软件加密速度对比表

据瑞星安全研究院介绍，该勒索软件不仅对本地磁盘文件进行加密，还通过RDP弱密码爆破攻击，对同一网段的所有共享磁盘进行枚举加密。同时加密方式采用RSA结合AES，没有密钥无法破解。

LockBit勒索团伙采用勒索软件即服务(RaaS)的形式，为其客户(实际攻击者)提供基础设施和恶意程序，然后收取部分赎金红利。LockBit自推出以来一直非常活跃，帮派代表在各种俄罗斯黑客论坛上推广RaaS并提供支持。当勒索软件的主题在网络犯罪论坛中被禁止时，LockBit于2021年6月在其数据泄露网站上公布了LockBit2.0RaaS。

图:LockBit2.0RaaS的促销信息

预防措施:

瑞星公司发现国内部分企业已感染LockBit2.0勒索病毒。同时，从瑞星的云安全系统数据可以看出，仅7月份就截获了11200个勒索病毒样本，感染人数为。因此，考虑到LockBit2.0具有传染性和危害性，瑞星为用户提供了以下防御措施:

防范RDP弱密码攻击的建议:

1.限制可以使用RDP的用户，并将远程访问授权给那些必须使用它来完成工作的人。

2.建立双重认证，如Windows平台下的DuoSecurityMFA或Linux平台下的google-authenticator等认证程序。

3.设置访问锁定策略。通过配置账户锁定策略，调整账户锁定阈值和锁定时长，可以有效抵御一定时间内的高频暴力攻击。

4.查看RDP的使用要求。如果业务不需要使用它，那么可以关闭所有RDP端口，或者只在特定时间打开这些端口。

5.重新分配RDP港口。考虑将默认的RDP端口更改为非标准端口号，以避免某些恶意软件对特定RDP端口的直接攻击，并且仍然需要部署额外的端口扫描攻击防范措施。

6.定期检查并修复已知的与RDP相关的漏洞。

7.创建防火墙规则以限制远程桌面访问，只允许特定的IP地址。8。在RDP登录时，应使用高强度的复杂密码，以减少弱密码爆破的机会。

系统安全的预防建议:

1.及时更新软件和系统补丁。

2.定期备份重要数据。

3.开启并保持杀毒软件和防勒索软件的功能正常。

4.定期修改管理员密码，并使用更复杂的密码。

5.打开文件扩展名以防止病毒程序伪装应用程序图标。

局域网安全的预防建议:

1.不需要的时候可以关闭局域网共享文件或磁盘，防止病毒横向传播。

2.设置指定用户对局域网共享文件夹的访问权限，防止不必要的权限被病毒滥用。

3.通过防火墙规则限制端口445和3389/关闭端口445和3389或修改端口号，防止病毒通过扫描端口查询区域资产信息。