一、背景

2023年11月10日，中国工商银行股份有限公司（ICBC）在美国的全资子公司——工银金融服务有限责任公司（ICBCFS）在官网发布申明，称遭受了勒索软件攻击，导致部分系统中断。据彭博社报道，对ICBCFS的攻击已经对美国的国债市场运行带来了不利因素。由于此次勒索软件的攻击，导致ICBCFS无法代表其他市场参与者进行国债交易结算，这在一定程度上对美国国债的流动性带来影响，并可能引发监管审查。LockBit组织代表在Tox上公开确认对ICBCFS遭受的勒索攻击事件负责，但否认自己是俄罗斯黑客组织。

近年来，全球网络安全面临严峻形势和挑战，国际上网络对抗和网络攻击行为愈演愈烈，以网络安全为代表的非传统安全威胁持续蔓延，网络空间已成为国家和地区间博弈的主战场。从历年公开的网络勒索攻击事件中，针对中国公司的很少。这次针对中国金融机构的勒索攻击无疑给全球大型金融企业的网络安全建设带来一次重大冲击，又给国内各行业企业的网络安全建设敲响了警钟，网络安全建设的重要性和持续的资金投入需要引起决策者的高度重视，提高网络安全防御能力已经刻不容缓。

二、勒索攻击事件愈发严峻

勒索攻击可造成潜在的数据丢失以及为寻回关键系统或防止数据泄露而支付赎金所造成的损失，还包含攻击过程中和攻击后的业务中断、商誉损害。当前，勒索攻击已经成为关键信息基础设施数据资产安全面临的重大威胁之一，数据遭受窃取、滥用或破坏将会导致关键基础设施运行受到严重影响，直接或间接造成重大损失，对政治、经济、和社会的影响深刻。

1.WannaCry勒索攻击事件，世界第一次正视勒索软件无差别攻击的严重性

2017年中，威震四海的WannaCry勒索软件出现在欧洲网络中，研究人员表示这“可能是史上最严重的一次勒索软件攻击”。仅仅四天之后，便在全球116个国家及地区中检测到了超过250000起恶意事件。WannaCry实施的是一种无差别的广泛攻击，真正的影响远超这个数字，至少150个国家、30万名用户中招，其造成的损失高达80亿美元，这是第一次利用NSA泄露的工具发动的黑客攻击行为。距离勒索攻击大规模爆发过去一年多后，全世界最大的半导体代工厂、信息安全的典范企业台积电却遭到勒索侵袭，在台湾北、中、南的三处重要生产基地生产线全数停摆，造成17.6亿元人民币的营业损失。由于WannaCry并不需要与用户发生任何互动，其利用操作系统开放的445端口通过微软的一个SMB协议漏洞即可实现不断传播，时至今日，安全领域仍旧不敢对其掉以轻心。

2.NotPetya勒索攻击事件，史上最昂贵的勒索软件攻击

NotPetya勒索攻击在2017年6月让乌克兰乃至全球的众多商业银行以及部分私人公司、零售企业和政府系统都遭到了攻击并造成严重经济损失。NotPetya勒索软件网络攻击以乌克兰为中心，卷席了全球的企业网路系统，在出现数小时之内，就蔓延到了乌克兰以外感染到全世界无数机器上，给包括马士基、制药巨头默克、联邦快递欧洲分布TT Express等在内的跨国公司予以重创，经济损失高达100亿美元。

3.DARKSIDE勒索攻击，触痛世界超级大国的关键基础设施定向勒索攻击

2021年5月，美国最大的燃油运输管道运营商Colonial Pipeline（科洛尼尔）遭受了DarkSide勒索攻击，有近100GB的数据被窃。黑客在后续的声明中辩称此次攻击只为索要金钱，并威胁如果该公司不支付赎金，则将公开其失窃数据内容。科洛尼尔管道公司被迫关闭了旗下4条主干成品油管道，其关闭燃油运输管道几乎切断了美国东海岸45%的燃料供给，严重影响到民生及国家安全,美国也于5月9日宣布进入国家紧急状态。此次勒索攻击的目标已经指向那些关乎国计民生的关键基础设施，其带来的危害远不止赎金造成的经济损失，更严重的是会给企业、组织机构、国家带来额外的复杂性，造成数据损毁或遗失、生产力破坏、正常业务中断、企业声誉损害、社会不稳定等多方面的影响。

纵观勒索攻击事件的发展演化过程，无论是哪一种，都让人们明白了一个道理，从WannaCry开始，勒索攻击便呈现出了不可阻挡的趋势。在网络世界中，不论是恶意软件漏洞还是工具都极易传播，勒索软件即服务（RaaS：Ransomware as a Service）模式则为犯罪团伙提供了廉价的作案工具，并且使用者也可以从犯罪分子覆盖到普通人群再到国家、政府部门等。从业者无需任何专业技术知识就可以毫不费力地发起网络敲诈活动。

三、勒索攻击演进趋势

3.1勒索攻击原理

勒索软件的制造者使用了商用密码算法，如RSA4096 非对称加密算法，通过生成公私钥对，利用公私钥对中的私钥解密对应公钥加密的密文。人们之所以谈勒索而色变，主要是因为使用了这种算法而带来的解密难度，在有限的时间内无法破解，同时攻击者会曝光数据。另一方面，数据恢复也存在不确定性，即使获得解密密钥，也可能无法完全复原数据。使用非对称加密算法的勒索软件加密流程如下图所示：

图 1勒索攻击原理示意图

例如RSA2048加密算法的破解时间，超级计算机的解密时间约为80年；谷歌公司在2019年公布的量子计算机用2000个量子位来计算，8小时可以破解2048位RSA加密。目前可以查到的资料还没有人去尝试对RSA4096进行破解，无论是超算还是量子计算机。

3.2勒索攻击发展趋势

3.2.1勒索攻击实施门槛降低导致防护愈发困难

勒索攻击能如“野草”般肆意生长，主要原因一方面在于勒索攻击的加密手段复杂，解密成本高；使用电子货币支付赎金，变现快、追踪难。另一方面，随着各种编程语言编写的勒索软件的出现，勒索攻击的门槛越来越低。而且我们发现继使用PHP、Python等语言之后，另一种更简单易用的脚本语言——AutoIt语言也被发现用于编写勒索软件，加上网上迅速传播的一些勒索软件的技术细节，导致了从制作到传播的技术门槛不断降低。所以，门槛低、启动成本低、高收益、风险低，这些因素组合在一起，勒索攻击愈演愈烈。

3.2.2勒索攻击定向化导致防护愈发困难

2021年，热度飙升的勒索攻击已经成为与APT并列的最危险的网络安全威胁。定向性、复杂化和高伤害成本是勒索攻击加速“进化”的三大特征。勒索攻击不仅数量增幅快，而且危害日益严重。攻击的目标已经指向关键基础设施和重要信息系统，带来的影响更为广泛。借助隐匿而持久的网络入侵，寻找特定的高价值服务器目标。融合了定向性和APT技术的勒索攻击已经成为影响关键基础设施运行、社会稳定、国家安全的一大问题，被勒索机构既有巨额经济损失，又有数据无法恢复甚至被恶意泄露的风险，双重勒索的阴影挥之不去。

3.3勒索攻击常见方式

勒索病毒的概念最初于1996年由YOUNG等人提出，即将密码算法与计算机病毒结合，实现对用户关键数据及文件进行非授权访问并实施加密，从而限制用户对计算机及其存储数据的访问，并要求感染者缴纳赎金才能完成解锁。如果感染者拒付赎金，就无法获得加密的私钥，无法恢复文件。在数字世界里，勒索攻击这门生意，这几年正蓬勃兴起。勒索攻击路径如下图所示。

图 2攻击路径示意图

勒索病毒的演化具有明显的阶段性，随着信息化、网络化技术的发展，勒索攻击的方式也在不断发生变化，邮件附件传播、服务器入侵传播、利用漏洞传播等，我们这里总结了几种最常见攻击方式。

3.3.1邮件附件传播

勒索软件通过伪装成产品订单详情或图纸等重要文档类的钓鱼邮件，在附件中夹带含有恶意代码的脚本文件。一旦用户打开邮件附件，便会执行里面的脚本，释放勒索软件。这类传播方式的针对性较强，主要瞄准公司企业、各类单位和院校，他们最大的特点是电脑中的文档往往不是个人文档，而是公司文档。最终目的是给公司业务的运转制造破坏，迫使公司为了止损而不得不交付赎金。

3.3.2服务器入侵传播

首先通过弱口令、系统或软件漏洞等方式获取用户名和口令，再通过RDP（远程桌面协议）远程登录服务器，一旦登录成功，黑客就可以在服务器上为所欲为，例如：卸载服务器上的安全软件并手动运行勒索软件。所以，在这种攻击方式中 ，一旦服务器被入侵，安全软件一般是不起作用的。

3.3.3软件供应链攻击传播

软件供应链攻击是指利用软件供应商与最终用户之间的信任关系，在合法软件正常传播和升级过程中，利用软件供应商的各种疏忽或漏洞，对合法软件进行劫持或篡改，从而绕过传统安全产品检查达到非法目的的攻击类型。

四、勒索攻击防护设计

4.1防御框架设计

勒索攻击防护框架在分析攻击者实现数据加密勒索的网络攻击渗透路径的基础上，针对常用的钓鱼邮件攻击、远程访问弱口令、RDP漏洞利用、系统漏洞利用等攻击手段，通过构建评估、防护和响应三大防护体系有效应对网络攻击渗透。同时，采用数据备份措施实现在遭受勒索软件攻击后能够快速恢复数据和业务，将勒索软件攻击带来的影响降至最低，确保企业信息系统安全可持续运行。勒索攻击防御框架如下图所示：

图 3勒索攻击防护模型

4.2安全管理机制构建

4.2.1网络安全风险评估

常态化网络安全风险评估，这是一个摸清家底的过程。在评估前确定评估目标和范围；通过风险识别厘清信息资产，梳理数据在不同信息系统或设备间的流动方向，摸清攻击者横向移动的可能路径，识别关键风险点；开展安全风险分析，输出资产面临的风险，分析关键业务、关键系统及其依赖关系，分析各类风险可能造成的影响；风险处置阶段确定应急响应的优先级，并开展系统安全加固工作。

图 4 网络安全风险评估框架

4.2.2应急响应与演练

常态化勒索攻击与应急响应演练，针对重要信息系统，制定勒索攻击应急响应预案和恢复方案，明确应急人员与职责，在实际演练中不断提高人员网络安全意识，通过分析攻击入侵途径，及时发现并加固堵塞安全防护漏洞。当检测到遭受勒索攻击后，启动应急响应，阻断勒索攻击路径，确认勒索攻击影响范围，消除被攻陷主机上的勒索软件，启用备份数据进行恢复，总结网络安全短板并及时修补。

图 5 定向勒索攻击演练与应急响应框架

4.3技术防护体系建设

4.3.1构建互联网安全防线

针对将勒索软件伪装成设计图纸、订单等重要文档的钓鱼邮件，通过邮件安全网关和邮件高级威胁防护系统对已知和未知的勒索软件进行识别和阻断。针对通过互联网边界发起的入侵行为，利用网络入侵防护系统对攻击者漏洞利用和恶意样本投递的行为进行检测、告警和阻断。针对攻击者窃取数据后非法外发的网络流量，通过网络流量分析系统识别流量数据中存在的异常行为，掌握异常流量成分、来源等信息。

4.3.2巩固内网主机安全防线

针对攻击者在内网中潜伏、扫描和扩散等攻击行为，通过一体化终端安全管理系统检测网络中各个主机设备可能造成威胁的异常行为，借助本地主机资产信息识别，与安全评估系统进行联动分析，及时掌握主机设备的安全脆弱性。应用高级威胁狩猎系统布置蜜罐诱饵主机、网络服务等对攻击者进行欺骗，从而对攻击行为进行捕获和分析，实现更有效的攻击检测和威胁防护。结合智能安全运营平台对网络威胁实时感知，对各类安全信息与威胁情报进行关联分析，结合专业人员的安全运营，在勒索攻击爆发前快速发现、预警和阻断。

4.3.3夯实数据备份安全防线

企业遭受的损失取决于以下两个方面。一是恢复数据的可能性，若不能自我恢复，则交纳赎金成为恢复数据的唯一可能，且交纳赎金后未必能恢复全部数据，因为数据很有可能会在加密过程中被损坏；二是恢复数据和恢复业务的时间，因此，企业需要重新审视并建立数据容灾备份体系。

数据备份被认为是当前企业机构防御勒索攻击的有效做法之一，科学可靠的备份和恢复技术可以帮助企业将系统和业务面临的风险降至最低，使其在遭到勒索软件攻击后迅速恢复，确保数据可用性和业务连续性。通过定期对IT系统数据采取一份离线备份、两种不同备份介质在线备份的方式，并采取隔离措施，严格限制对备份设备和备份数据的访问权限，以便在发生勒索攻击事件时，能够及时恢复相应数据，降低业务应用中断造成的影响。

五、防御部署

为了有效提高企业应对勒索软件攻击的防护能力，对企业网络的安全接入区、DMZ区、数据中心区、数据备份区、内网终端区和安全管理区分别部署勒索软件防控手段，及时检测和阻断勒索软件的攻击，网络安全防护措施如下图所示。

图 6勒索软件检测与防护部署示意图

六、结语

定向勒索攻击防护体系针对勒索攻击全流程（网络入侵、横向移动、数据窃取、数据加密）都采用针对性防护能力建设，实现了体系化纵深防御与横向预防及应急处置的有效闭环。

对于企业进行相应的网络安全建设并不是从零开始，看似庞大的网络安全产品资金投入实质上只需要针对企业现有网络安全体系进行“查漏补缺”。企业网络中已经部署了入侵防御、邮件安全网关、集中安全管控平台等安全产品，只需要通过安全运营充分发挥这些已有产品的作用，再添加邮件高级威胁防护系统、一体化终端安全管理系统和数据备份系统等产品就能够补齐安全短板，有效应对勒索攻击带来的安全威胁。

绿盟科技 杨博