組織遭受的攻擊次數(shù)（按行業(yè)劃分）

當前，醫(yī)療行業(yè)成為勒索軟件攻擊的重災(zāi)區(qū)，每個組織平均每周遭受 109 次攻擊（比年初增長 3%），其次是公用事業(yè)（59 次，增長 4%）和保險/法律行業(yè)（34 次，增長 1%）。

地理數(shù)據(jù)

勒索軟件影響（按地區(qū)劃分）

如下圖所示，亞太地區(qū)的組織目前所遭受的勒索軟件攻擊次數(shù)最多。亞太地區(qū)的組織平均每家每周遭受 51 次攻擊。這一比例比今年年初增長了 14%。

北美地區(qū)僅隨其后，每個組織平均每周遭受 29 次攻擊（增長 25%），其次是歐洲和拉丁美洲地區(qū)（14 次，分別減少 6% 和 25%）和非洲地區(qū)（4 次，增長 34%）。

遭受攻擊的熱門行業(yè)（按地區(qū)劃分）

如下表所示，攻擊者涉足全球各個行業(yè)。在北美地區(qū)，醫(yī)療組織遭受的攻擊最多，其次是軟件廠商；而在歐洲地區(qū)，遭受攻擊最多的則是公用事業(yè)部門。在亞太地區(qū)，保險/法律和制造業(yè)受到的影響最大，而在拉丁美洲地區(qū)，通信業(yè)和制造業(yè)分別位居一二。在非洲地區(qū)，金融和銀行部門受到的攻擊最多，其次是制造業(yè)。

三重勒索勒索軟件：第三方威脅

不可否認的是，在過去的 2020 年，尤其是自新冠疫情爆發(fā)以來，雙重勒索蔚然成風。雖然無法掌握有關(guān)所有雙重勒索事件及其結(jié)果（并非全部予以披露和公布）的信息，但僅根據(jù) 2020-2021 年期間收集的統(tǒng)計數(shù)據(jù)，就可以感受到該攻擊向量的強大破壞力。在過去的一年里，平均支付的贖金增長了 171%，當前約為 31 萬美元。2020 年，上千家公司在拒絕黑客贖金要求之后遭遇了數(shù)據(jù)泄漏，在所有新發(fā)現(xiàn)的勒索軟件家族中，約 40% 的勒索軟件在攻擊過程中采用了數(shù)據(jù)滲透手段。這些數(shù)字充分反映了將數(shù)據(jù)泄露和勒索軟件威脅相結(jié)合的攻擊技術(shù)的巨大破壞性，但更令人擔憂的是，攻擊者仍在想法設(shè)法提高贖金支付額和威脅效率。

2020 年底和 2021 年初發(fā)生的多起重大攻擊都源于一條新攻擊鏈，這條攻擊鏈本質(zhì)上是對雙重勒索軟件技術(shù)的擴展，即在雙重勒索攻擊過程中集成了其他獨特威脅，我們稱之為“三重勒索”。第一個值得注意的是 Vastaamo 心理治療中心攻擊事件。該攻擊發(fā)生在 2020 年 10 月，當時這種攻擊方法極具創(chuàng)新性。這家擁有 40,000 名患者的芬蘭心理治療中心遭受了長達一年的數(shù)據(jù)泄露，最終黑客成攻竊取海量患者數(shù)據(jù)并發(fā)起勒索軟件攻擊。黑客要求該治療中心支付巨額贖金，更令人驚訝的是，他們還向每個患者單獨發(fā)送了電子郵件，要求他們支付少量贖金，否則將公布其心理治療記錄。該攻擊戰(zhàn)術(shù)在短時間內(nèi)獨領(lǐng)風騷。

而不久之后，REvil 勒索軟件組織在 2021 年 2 月宣稱，他們在雙重勒索方案的基礎(chǔ)上又增加了兩個階段，即向受害者的業(yè)務(wù)合作伙伴和媒體發(fā)起 DDoS 攻擊并撥打騷擾電話。分發(fā) Sodinokibi 勒索軟件的 REvil 勒索軟件組織采用“勒索軟件即服務(wù)”業(yè)務(wù)模式。該組織現(xiàn)在免費代其成員組織向記者和同事發(fā)起 DDoS 攻擊和撥打語音騷擾網(wǎng)絡(luò)電話，旨在對受害公司施加更大壓力，迫使他們在指定時間段內(nèi)按要求支付贖金。

即便取得了巨大成功，威脅組織仍在不斷尋求更具創(chuàng)新性、更富成效的業(yè)務(wù)模式。我們只能推定是攻擊者的創(chuàng)造性思維以及對雙重勒索軟件攻擊復雜場景的明智分析推動了三重勒索技術(shù)的發(fā)展。盡管這些勒索軟件攻擊并未直接攻擊第三方受害者（例如公司客戶、外部同事和服務(wù)提供商）的網(wǎng)絡(luò)資源，但它們造成的數(shù)據(jù)泄露嚴重影響并損害了第三方受害者。無論黑客是否另外要求他們支付贖金，面對威脅他們都像是待宰的羔羊，一旦被瞄準，也將蒙受巨大損失。因此，他們自然是潛在的勒索目標，并且現(xiàn)在可能已經(jīng)成為勒索軟件組織的攻擊目標。

防御勒索軟件

1. 在周末和節(jié)假日提高警惕 — 在過去的一年里，大多數(shù)勒索軟件攻擊都發(fā)生在人們更可能放松警惕的周末和節(jié)假日。
2. 安裝最新補丁 — 2017 年 5 月，攻擊者利用“永恒之藍”漏洞發(fā)起大規(guī)模 WannaCry 攻擊，其實當時已存在針對該漏洞的補丁。該補丁在攻擊發(fā)生前一個月便已發(fā)布，由于該漏洞很可能被利用，該補丁還被標記為“關(guān)鍵”補丁。然而，許多組織和個人沒有及時安裝補丁，這導致了勒索軟件的急速爆發(fā)，三天之內(nèi)便感染了 200,000 臺計算機。保持計算機處于最新狀態(tài)并及時安裝安全補丁，尤其是關(guān)鍵補丁，可幫助組織降低遭受勒索軟件攻擊的可能性。
3. 反勒索軟件 — 盡管先前的勒索軟件防御措施可幫助組織規(guī)避遭受勒索軟件威脅的風險，但它們無法提供完善的保護。一些勒索軟件運營商使用經(jīng)過精心設(shè)計的具有高度針對性的魚叉式網(wǎng)絡(luò)釣魚電子郵件作為其攻擊向量。這些電子郵件甚至能夠騙過最謹慎的員工，幫助勒索軟件獲得對組織內(nèi)部系統(tǒng)的訪問權(quán)限。防范這種“漏網(wǎng)之魚”需要使用專門的安全解決方案。為了實現(xiàn)入侵目標，勒索軟件必須執(zhí)行某些異常操作，例如打開和加密大量文件。反勒索軟件解決方案可監(jiān)控計算機上運行的程序是否存在勒索軟件通常表現(xiàn)出的可疑行為，如果檢測到這些可疑行為，該程序會及時采取措施阻止加密，以防發(fā)生進一步損害。
4. 培訓 — 培訓用戶如何識別和避免潛在的勒索軟件攻擊至關(guān)重要。當前的許多網(wǎng)絡(luò)攻擊都始于一封針對性電子郵件，該電子郵件甚至不包含惡意軟件，只包含一則鼓勵用戶點擊惡意鏈接的社交工程消息。用戶培訓通常被視為組織可部署的最重要的防御措施之一。
5. 勒索軟件攻擊并非始于勒索軟件 — Ryuk 及其他勒索軟件會購買針對目標組織的感染程序。安全專家應(yīng)注意網(wǎng)絡(luò)中的 Trickbot、Emotet、Dridex 和 CobaltStrik 感染程序，并使用威脅追蹤解決方案將其刪除，否則它們會為 Ryuk 攻擊打開大門。

本報告中使用的數(shù)據(jù)為使用 Check Point 威脅防護技術(shù)檢測到的數(shù)據(jù)，這些數(shù)據(jù)存儲在 ThreatCloud 中，并在其中予以分析。ThreatCloud 提供的實時威脅情報來自于部署在全球網(wǎng)絡(luò)、端點和移動設(shè)備上的數(shù)億個傳感器。AI 引擎和 Check Point 情報與研究部門 Check Point Research 的獨家研究數(shù)據(jù)進一步豐富了情報內(nèi)容。

songjy