2021年勒索软件攻击态势分析白皮书

阿里安全 2022年5月 2021勒索软件攻击态势分析白皮书 前言 当今世界正经历百年未有之大变局，新一轮科技革命和产业变革加速推进，习近平总书记强调，数字经济是全球未来的发展方向，要大力发展数字经济，加快推进数字产业化、产业数字化，推动数字经济和实体经济深度融合。随着数字经济重要性、活跃度不断提升，网络安全对数字经济健康发展的作用不断凸显。2021年3月，国务院发布《中华人民共和国国民经济和社会发展第十四个五年 规划和2035年远景目标纲要》，进一步强调统筹发展和安全，提升网络安全防护能力。 近年来，随着数字经济的高速发展，5G、人工智能、物联网、车联网等新技术得到快速普及和广泛应用，国内外勒索软件攻击态势日趋严峻，已经对国内外政府及多个领域重要企事业单位带来严重影响，成为近年来增长最快的网络安全威胁之一。 美国著名网络安全市场研究公司CybersecurityVentures1预测，2021年全球每11秒发生一次针对企业的勒索攻击，全年超过300万次，带来损失预计达 9000亿美元。由于勒索软件加密信息难以恢复、攻击来源难以溯源，勒索软件已经成为网络安全乃至国家安全的重要威胁和挑战。在此背景下，美国司法部在2021年6月宣布将勒索软件攻击的调查工作提升至恐怖主义袭击的高优先级别；英国、澳大利亚、日本、加拿大等国也纷纷将勒索软件攻击视为当前最大的网络威胁。 阿里安全长期进行勒索软件相关研究，监测勒索软件攻击态势，在守护集团业务安全及云上客户数据与系统安全的过程中，积累了丰富的实践经验。我们希望通过本白皮书能把阿里巴巴对勒索软件攻击态势的理解、自身实践经验的总结，以及一些看法和解决方案呈现出来，供业界参考。 1CybersecurityVentures是全球网络经济领域领先的研究机构。 目录 1勒索软件简介1 1.1勒索软件的演进过程1 1.2勒索软件的攻击方式2 1.3勒索软件的攻击类型3 22021年典型勒索家族案例盘点5 2.1RansomEXX/Defray777/RansomX5 2.2BeijingCrypt7 2.3Magniber9 2.4REvil/Sodinokibi10 2.5DarkSide13 2.6LockBit14 2.7Conti15 2.8Clop/Cl0p18 2.9Phoenix20 2.10Babuk/Babyk22 3全球勒索软件攻击态势分析24 3.12021年全球勒索软件攻击目标地域分布24 3.22021年全球勒索软件攻击目标行业分布态势25 3.32021年全球勒索软件家族攻击次数分布态势26 4勒索软件攻击发展趋势预测28 4.1云基础设施勒索软件攻击愈演愈烈28 4.2IoT设备逐渐成为勒索软件攻击目标28 4.3关键基础设施将成勒索软件攻击重要战场29 4.4供应链将成为勒索软件重要攻击目标29 5网络安全治理的风险与挑战30 5.1网络安全意识有待提高30 5.2企业防范能力相对落后30 5.3业界缺乏成熟应对方案30 6阿里安全勒索软件防护实践与解决方案32 6.1完善管理制度，强化网安教育33 6.2安全加固，提升风险“免疫”能力35 6.3感知能力前置，灾难恢复兜底，将风险一网打尽37 6.4回归演练，查漏补缺，进一步完善防御体系39 参考文献40 图目录 图1阿里安全勒索软件防护解决方案32 图2勒索软件执行流程37 图表目录 图表1：2021年勒索软件攻击目标地域分布25 图表2：2021年勒索软件攻击目标所在行业分布26 图表3：2021年1~7月典型勒索家族全球攻击分布情况27 1勒索软件简介 勒索软件是一种极具传播性、破坏性的恶意软件，通常利用多种密码算法加密用户数据或设备，恐吓、胁迫、勒索用户高额赎金。近年来，随着计算机技术的不断发展，勒索软件攻击不断解锁新的形式，威胁指数直线攀升；勒索软件攻击事件频频发生，已经对国内外政府及多个领域重要企事业单位带来严重影响。 1.1勒索软件的演进过程 自面世至今，勒索软件的演进过程大体可分为导入、成长、成熟、高发四个阶段。 ·导入期 1989年哈佛大学博士JosephPopp制作了世界上第一款加密勒索软件 （“AIDS”木马），将其隐藏于软盘之中，分发给了当时在斯德哥尔摩举行的国际卫生组织艾滋病大会的参与者，经软盘感染计算机。用户被要求支付189美元换取解锁工具。世界上第一例勒索软件由此诞生。AIDS木马技术相对落后，不久就遭到安全专家的重锤。 ·成长期 密码学的发展极大地促进了勒索软件的发展。2006年第一款使用非对称加密算法的勒索软件Archiveus发布，Archiveus使用RSA加密方式对用户的文件内容加密，要求用户到指定站点购买密钥解密文件。这种算法的解密难度更大，如果没有专业工具，极难恢复文件。至此，勒索软件主流的获利方式雏形基本形成。 ·成熟期 随着加密货币的兴起，勒索软件跨入一个新的时代。加密货币满足了攻 1 2021勒索软件攻击态势分析白皮书 击者赎金支付环节隐匿性、难溯源的诉求；加密货币价格的不断攀升，黑客收获的赎金也水涨船高，因此从2011年开始使用加密货币进行交易的勒索软件持续疯狂增长。 ·高发期 2015年后，勒索软件进入高发期，攻击者为了追求利益的最大化，开拓出新的服务模式（RaaS，勒索软件即服务），将勒索软件商品化，整个勒索软件产业化链条形成。 勒索软件产业化链条分工明确，各司其职，使得勒索软件攻击变得简单、高效，将勒索软件攻击推向高潮。 1.2勒索软件的攻击方式 勒索软件攻击方式形式多样，攻击者通常采用一种或多种攻击方式将勒索软件部署到受害者的设备上，对设备上的文件进行加密或者直接阻止、破坏设备操作系统正常运行。例如，借助热点要闻、仿冒管理员等方式诱导受害者点击并下载含恶意程序的邮件附件到本地，恶意程序被执行后致使受害者设备被感染、文件被加密。 1.2.1网络钓鱼 网络钓鱼是最常用的勒索软件攻击方式，攻击者通常借助传输媒介发送钓鱼文案和链接来诱导用户上钩。包括但不限于邮件钓鱼、电话钓鱼、即时通讯软件钓鱼、社交网站钓鱼，攻击者借助传输媒介发送钓鱼文案和链接来诱导用户上钩。 1.2.2漏洞利用 设备的软硬件漏洞常被攻击者当作梯子，用于传播包括勒索软件在内的恶意软件，通过对0day和Nday漏洞的利用，可以很大程度上提高攻击者侵入目标主机的成功率。 1.2.3远程桌面协议利用 通过破解已知的、暴露在互联网上的远程桌面账户密码，获取权限后传播、 2 2021勒索软件攻击态势分析白皮书 部署勒索软件。 1.2.4软件供应链攻击 攻击者通过开源软件、破解软件再编辑等方式将恶意软件与正常软件捆绑，或在软件更新、下载源头替换软件更新地址的方式，来传播、部署勒索软件。 1.2.5移动存储介质 勒索软件以移动存储介质作为媒介，当用户将携带勒索软件的移动存储介质插入到宿主主机设备时，勒索软件随之被复制到宿主设备上。 1.2.6僵尸网络 攻击者借助僵尸网络传播勒索软件，如Locky勒索软件借助Necurs僵尸网络传播。 1.2.7网页挂马 勒索软件被提前植入并隐藏在站点中，当用户访问恶意站点时，勒索软件被自动下载到本地并执行。 1.2.8内鬼 通过雇佣或者利诱内部员工获取企业入网权限或者途径，实施针对性的攻击以部署勒索软件。 1.3勒索软件的类型 早期的勒索软件几乎都是以加密数据为主，如今已逐渐发展出了包括窃取数据、屏幕锁定、数据破坏等多种攻击类型。 1.3.1数据加密类 攻击者通常使用多种加密算法，对用户的照片、文档、视频等文件，及磁盘主引导记录、甚至磁盘本身进行加密，导致用户无法读写文件、访问磁盘、正常使用或启动设备。该类攻击软件以WannaCry为代表。 1.3.2数据窃取类 该类攻击与加密类攻击类似，采用加密算法对用户的数据、磁盘等进行 3 2021勒索软件攻击态势分析白皮书 加密。不同之处在于，攻击者在加密之前，先识别和窃取受害者的重要数据，以公开、泄露、出售重要数据为由进行威胁施压，逼迫受害者支付赎金。例如，2022年3月，国际知名黑客组织“匿名者”（Anonymous）声称其入侵了俄罗斯央行并窃取了3.5万份文件,事后，该组织宣布在48小时内泄露被盗文件。 1.3.3屏幕锁定类 该类攻击对用户设备屏幕进行锁定，通常以全屏方式呈现含勒索信息的图像、文字，或伪装成蓝屏错误，导致用户无法登录和使用设备，向用户勒索赎金。 1.3.4数据破坏类 该类攻击不会对文件进行加密，而是用随机字符覆盖文件，永久性破坏用户数据。在破坏完成之后，仍要求支付赎金。 4 22021年典型勒索家族案例盘点 2021年勒索软件攻击事件频发，本章对2021年典型的勒索软件攻击事件、家族进行盘点和分析，希望对企业制定安全防护方案提供有益参考。 2.1RansomEXX/Defray777/RansomX 2.1.1案例介绍 RansomEXX（又称Defray777或RansomX），是支持Windows和Linux双平台的勒索软件，2018年以来攻击了美国、加拿大、巴西等地区的许多公司。典型攻击事件包括2021年对中国台湾技嘉公司、2020年对美国德克萨斯州交通部、日本商业巨头柯尼卡美能达，以及巴西法院等的攻击。 2021年8月，勒索软件团伙RansomEXX对中国硬件巨头技嘉公司发动攻击，窃取了112GB数据，其中包括来自AMD和Intel等合作伙伴的机密技术文件，甚至是IntelManageabilityCommander（用于连接和利用英特尔主动管理技术，通过该软件连接到激活的英特尔AMT设备执行功能，如电源控制、远程台式机、硬件库存等）源码，技嘉被迫关闭总部系统。RansomEXX将窃取到的数据作为筹码，向技嘉公司勒索，并公布了其中7GB数据。 这是2021年公开的勒索软件攻击事件中，RansomEXX所发动的影响最大的一次攻击。 2.1.2专家点评 “支持多平台勒索软件，将成为勒索软件攻击新的趋势”。 RansomEXX勒索软件因2020年攻击德克萨斯州交通部(TxDOT)、巴西法院、柯尼卡美能达等组织而知名。RansomExx最初针对windows系统进行勒索软件攻击，其后拓展到Linux操作系统，成为针对双操作系统的勒索软件。这一变化也成为勒索软件攻击值得关注的新趋势。 5 2021勒索软件攻击态势分析白皮书 2021年RansomExx对意大利拉齐奥地区进行攻击影响到该地区COVID-19疫苗的接种，8月份对中国台湾电子企业技嘉进行了勒索攻击，导致技嘉大量商业数据被窃取而再次引起关注。 RansomExx勒索软件主要的攻击手段为邮件钓鱼，通常借助宏病毒添加有效负载对设备投毒，同时也会攻击RDP远程协议以及各种应用/系统漏洞，RansomEXX木马执行后，会尝试对系统上的安全软件进行关闭，然后对系统上的文件加密，由于RansomEXX为无文件攻击，无文件下载，因而增大了对该勒索软件的检测难度。 目前大部分勒索软件攻击是针对windows操作系统，容易导致人们认为Linux操作系统是安全的，或者误以为Linux不会遭受勒索或者很难遭受勒索，从而放松了对Linux以及其它操作系统的网络安全防护能力建设，而勒索软件的多平台兼容趋势应该引起我们足够的重视，加强服务器本身的安全能力建设。 在此我有以下建议： 1）对重要文件或者数据及时进行备份，建议采取异地或者云备份，避免因设备无足够的文件备份保护能力导致备份文件丢失； 2）提高安全意识，不随意点击、下载未知来源的邮件链接以及附件，不随意浏览未知站点，对于来源不明的网站提高警惕。 3）增强企业网络安全水平，建议在日常安全防护中增加行为分析模块，提升对勒索软件攻击进行识别的能力，多方位感知，检测勒索软件攻击。 4）加强服务器自身的网络安全防护能力建设，不断完善多平台操作系统勒