勒索软件防护发展报告（2022年）发布版V3

版权声明 本报告版权属于云计算开源产业联盟，并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的，应注明“来源：云计算开源产业联盟”。违反上述声明者，本联盟将追究其相关法律责任。 随着数字化经济的飞速发展，网络安全法、数据安全法的颁布，数字化已成为国家和各行业发展的主旋律。企业在数字化转型的过程中，面临着包括勒索攻击、双重勒索等新型勒索软件带来的巨大威胁。勒索软件是攻击传播面极广、经济损失极大的一种攻击方式。无论是个人、企业还是组织，都可能成为勒索软件攻击的对象。 勒索软件针对企业核心业务系统、关键数据进行加密，导致核心业务系统中断、关键数据不可恢复，从而影响企业正常运作，带来严重的经济损失和声誉损失。因此为企业建立事前防护、事中持续监测、事后快速响应及安全加固的全流程勒索软件防护体系，成为企业防御勒索软件攻击的首要重点。 在此背景下，云计算开源产业联盟撰写了本报告，旨在通过对勒索软件发展情况、主要特点、攻击现状、发展态势以及防护体系建设、未来发展展望等多个方面进行梳理、总结和分析，帮助企业正确认识勒索软件，合理高效地防范勒索软件攻击，增强产业界信心。 卫斌、郭雪、孔松、李忆晨、饶帅、李飞、吕杨琦、黄超、 李晓峰、丁立彤、陈绍良、何志彬、何柏宜、王振兴，安东冉，田苏维、李栋，梁伟，于忠臣、梁连燚、吕佳、陈东鹏，彭丽娟，聂永立、张永波、毛帅、杨志伟、延林朴、刘新新、周素华、王凤周、王亮、刘海粟、康罗、孙维伯、吴剑刚、黄海莲、刘沛、程进、张桐桐、王春晓、李文越、陈世亮、杨磊、杨梅、廖双晓、曹峰、毛立峰、孙涛、郭海骏、陈明阳、林建兴、张帅 一、勒索软件发展概述1 （一）我国网络安全市场产业进展迈向新阶段1 （二）勒索软件攻击已成为网络安全的最大威胁之一2 （三）勒索软件攻击影响呈扩大趋势，带来巨大威胁4 （四）勒索软件经历萌芽期、发展期，目前已正式进入高发期6 （五）勒索软件攻击流程各个阶段日益专业化8 （六）勒索攻击黑色产业链逐渐完善化，层次分明，分工明确9 二、勒索软件攻击现状10 （一）近期勒索软件攻击事件频发，已引起广泛关注10 （二）勒索软件攻击形式与传播渠道不断发生着变化11 （三）勒索软件攻击不断演变发展进化，国内外存在一定差异13 三、勒索软件发展态势22 （一）影响广泛：影响社会正常运转且难解密23 （二）隐蔽变异快：为勒索防护提出巨大挑战24 （三）勒索攻击SaaS化：RaaS勒索即服务模式兴起26 （四）跨平台勒索：提升勒索软件利用27 （五）漏洞武器化：促进勒索软件发展28 （六）加密货币普及：助推赎金快速增长28 （七）APT定向化：大型企业和基础设施是重点29 （八）多重勒索：引发数据泄露风险30 （九）供应链渗透：成为勒索攻击重要切入点31 （十）处置专业化：增强勒索攻击防护能力32 （十一）全球治理：促进国际共同抵抗威胁33 四、勒索软件防护体系建设34 （一）传统勒索软件攻击防护已效率不足，须推陈出新34 （二）勒索软件攻击防护体系日趋纵深防御发展36 （三）勒索软件攻击防护关键技术能力蓬勃发展42 （四）网络安全保险为勒索软件攻击防护提供事后保障50 五、勒索软件攻防护发展展望55 附录12022年全球勒索软件攻击重要事件梳理58 附录22022年我国勒索软件攻击重要事件梳理63 附录3勒索软件攻击防护主要产品梳理67 致谢70 图目录 图1中国网络安全市场预测，2022-20261 图2勒索软件攻击发展概述6 图3勒索软件攻击黑色产业链9 图42021年与2020年主要攻击类型对比11 图5全球勒索软件家族市场份额排名（2022年Q1-Q3）14 图62022年我国单位Wannnacry感染设施数15 图72022年我国单位Wannnacry感染次数15 图82022年我国常见勒索软件家族分布比率16 图92022年我国常见勒索软件家族分布比率平均值16 图102022年全球勒索软件入侵方式分布17 图112022年我国勒索软件入侵方式分布18 图122022年我国勒索软件事件感染系统分布19 图132022年全球常见行业受勒索软件攻击分布图20 图142022年勒索软件支付赎金均值及中间值折线图22 图15新技术下勒索软件攻击方式逐渐进化34 图16勒索软件攻击防护常规流程36 表目录 表12022年全球勒索软件攻击重要事件58 表22022年我国勒索软件攻击重要事件63 表3勒索软件攻击防护核心产品67 一、勒索软件发展概述 （一）我国网络安全市场产业进展迈向新阶段 我国网络安全市场发展稳中向好，产业发展迈向新阶段。2022年对中国和世界都是充满挑战的一年，我国数字经济进入快速发展时期，网络安全法律法规体系逐渐夯实完善，社会各方对网络安全的投入逐渐加大。根据《IDCMarketForecast：中国网络安全市场预测，2022-2026》，中国网络安全市场总投资规模为122亿美元。IDC预测，到2026年，中国IT安全市场投资规模将达到319亿美元。 数据来源：IDC中国（2022） 图1中国网络安全市场预测，2022-2026 （二）勒索软件攻击已成为网络安全的最大威胁之一 勒索软件（Ransomware）攻击已成为网络安全的最大威胁之一。勒索软件攻击指的是网络攻击者通过对目标数据进行强行加密，导致企业核心业务停摆，以此要挟受害者支付赎金进行解密的行为。勒索软件是一种阻止或限制用户使用电脑系统的恶意程序，极具传播性、破坏性，攻击者用来对用户资产或资源进行劫持，旨在加密和盗窃数据以勒索钱财。勒索软件利用多种密码算法加密用户数据、更改系统配置等方式，使用户资产或资源无法正常使用，受害者必须向攻击者付费，才能获得解密密钥，重新获得数据，恢复系统正常运行。由于勒索攻击事件中被加密信息难以恢复，直接导致作为攻击目标的关键信息系统无法正常运转，攻击来源难以追踪，敏感信息的窃取和泄露导致极大的法律合规和业务经营风险，勒索软件对现实世界的威胁加剧，已经成为全球广泛关注的网络安全难题。 近年来，勒索软件攻击已成为无处不在的网络安全攻击手段。新型勒索攻击事件层出不穷，勒索软件攻击形势更加严峻，已经对全球制造、金融、能源、医疗、政府组织等关键领域造成严重影响。在某些事件中，攻击者挟持关键基础设施进而索要高额赎金，甚至可能影响国家的正常运作能力。根据SonicWall发布的2022年年中网络威胁报告，2022年1-6月，全球共记录了2.361亿次勒 索软件攻击。世界经济论坛《2022年全球网络安全展望报告》称，80%的网络安全领导者认为勒索软件是对公共安全的重大威胁。勒索软件损害预计将从2015年的3.25亿美元增长到2031年 的2650亿美元。 勒索攻击事件在全球各地频频发生，可归因于几方面： 一是企业内部基础设施建设不完善，拥抱数字化转型后缺少有效的安全防护措施。根据美国国家标准与技术研究所（NIST）发布的数据显示，2021年报告的漏洞数量为18378个，年度漏洞数据已经在五年内连续增长。根据《2022上半年网络安全漏洞态势观察》，我国2022年上半年新增通用型漏洞信息共计12466条，超高危及高危漏洞占比超过50%，存在大量暴露在互联网的设备和系统，存在高危漏洞的系统涉及诸多重点行业。 二是高额赎金已经成为网络攻击者极高的犯罪动力。根据 《Akamai勒索软件威胁报告APJ深入洞见2022年上半年》，勒索软件攻击在全球造成的损失已超过200亿美元。《RansomwareUncovered2021/2022》报告指出，2021年的平均赎金要求增长了45%，达到24.7万美元，比2020年高出45%。 三是远程办公增加安全风险。新冠肺炎疫情期间，远程办公带来的安全漏洞，通过技术迭代，不断进化数据泄露、加密数据等攻击手法和方式，开辟新的攻击面，利用人们在危机期间的恐慌心 理，勒索次数持续增加。 当前，随着云计算、大数据、人工智能等新技术的快速普及和应用，如今勒索攻击呈现出持续高发态势，网络攻击也变得更加组织化和系统化，攻击范围向行业、基础设施领域拓展，包括金融、交通、医疗等多个领域都成为新的攻击对象。一旦基础设施遭受攻击，将导致整个产业链的停摆或瘫痪，甚至影响社会稳定。 （三）勒索软件攻击影响呈扩大趋势，带来巨大威胁 勒索软件攻击几乎总是以金钱为动机，已经成为重要的网络安全问题，对个人、企业乃至国家层面安全都面临着巨大的安全威胁。首先，对个人而言，文件、图片、视频等个人事务、隐私若被泄露可能会引起纠纷、焦虑以及恐慌。其次，对于企业而言，一是破坏生产，数据被加密，往往意味着业务系统崩溃、数据库宕机，如果被加密的数据包括生产控制系统、流程系统等，或者用户数据、订单数据等，则会造成企业生产的混乱，轻则减产，重则停工停产，销售停顿，会造成巨大的经济损失。二是经营困难，如果被加密的数据涉及企业的经营数据，则可能造成经营决策的混乱，如无法进行政策的财务审计，无法进行市场分析、用户画像等经营决策，打乱企业发展步伐，造成长期的经济损失。三是数据信息丢失，被勒索的内容包括企业信息、客户信息、账户和支付详细信息或其他重要价值的企业机密数据，一旦加密造成业务无法运行、数 据泄露公布，将对企业造成巨大伤害；四是持续攻击，勒索软件清 楚不彻底，可能在信息系统中留有隐蔽通道，勒索组织会持续对企业进行攻击和袭扰，还有企业不胜其扰，定期向勒索组织缴纳赎金买平安，数据勒索从“拦路抢劫”模式，进入“收保护费”模式。五是商誉损失，数据勒索会造成客户对企业的信任危机，企业的商业信誉会降低，面临的法律风险会升高，经营管理能力面临质疑，面临巨大的无形资产损失风险。最后，勒索软件攻击已在某些层面上直接或间接得影响了国家安全，自2022年4月17日和哥斯达黎加勒 索软件攻击爆发以来，已至少影响了哥斯达黎加27个政府机构， 其中9个受到严重影响；2022年11月，英国议会国家安全战略联合委员会（JCNSS）亦启动专项调查，调查其国家安全战略能否有效应对勒索软件威胁。 勒索软件攻击的规模、影响以及破坏效果都呈扩大趋势，可直接攻击关键基础设施导致企业组织关键业务中断，攻击者的赎金要求亦是逐年增高。根据公开报告收集的数据分析显示，2017年在迅速蔓延的WannaCry勒索软件赎金仅为300美元，目前勒索软件要求企业支付的赎金则动辄在几百万美元；REvil勒索软件在2019 年前后出现，索要金额仅7000元人民币，次年该团伙的勒索金额已动辄千万美元以上。除逐年上涨、且不可预估的赎金费用外，被勒索攻击影响企业还需支付检测评估、多方通告、业务损失和响应成本等诸多费用，近年许多企业采购了网络安全类保险，可覆盖部 分损失。 （四）勒索软件经历萌芽期、发展期，目前已正式进 入高发期 勒索软件攻击发展过程可以大体分为三个阶段，萌芽期、活跃期高发期。 数据来源：公开材料整理 图2勒索软件攻击发展概述 一是1989至2009年，为勒索攻击的萌芽期。1989年全球第一个的勒索软件AIDS（PCCyborg），由哈佛大学毕业的JosephPopp创建，该木马会替换系统文件，隐藏磁盘目录，加密C盘的全部文件，从而导致系统无法启动，但因极易被破解，未引起过多关注。在随后20年中，勒索攻击处于起步阶段，勒索攻击软件数 量增长较为缓慢，且攻击力度小、危害程度低。2006年出现的Redplus勒索软件是国内出现的首款勒索软件，可隐藏用户文档，弹出窗口勒索赎金，金额从70元至200元不等。2006年出现使用 RSA非对称加密算法勒索软件Archievus，使加密的文档更加难以 恢复。2009年，俄罗斯出现首个锁机勒索软件，主要针对移动用户，并于2010年传播到世界其他地区。 二是2010年至2015年，勒索软件进入活跃期，几乎每年都有变种出现，其攻击范围不断扩大、攻击手段持续翻新。2013年以来，越来越多的攻击者要求以比特币形式支付赎金；2014年出现了第一个真正意义上针对Android平台的勒索攻击软件，标志