勒索病毒作為目前最具有破壞力的惡意軟件之一，在2021年達(dá)到爆發(fā)高峰，據(jù)深信服云端監(jiān)測(cè)，全網(wǎng)勒索攻擊總次數(shù)高達(dá)2234萬(wàn)+，影響面從企業(yè)業(yè)務(wù)到關(guān)鍵基礎(chǔ)設(shè)施，從業(yè)務(wù)數(shù)據(jù)安全到國(guó)家安全與社會(huì)穩(wěn)定。同時(shí)，隨著Apache Log4j2漏洞等全球網(wǎng)絡(luò)安全事件頻頻出圈，網(wǎng)絡(luò)攻擊的強(qiáng)度和破壞性都前所未有。

網(wǎng)絡(luò)安全不再只是計(jì)算機(jī)行業(yè)的“獨(dú)角戲”，已然在無(wú)形中影響著每一個(gè)人的生活。為保障關(guān)鍵基礎(chǔ)設(shè)施安全，多國(guó)嚴(yán)打網(wǎng)絡(luò)犯罪，勒索病毒攻擊會(huì)消失嗎？答案顯然是否定的。

深信服千里目實(shí)驗(yàn)室終端安全團(tuán)隊(duì)通過(guò)線上統(tǒng)計(jì)、案例跟蹤、輿情監(jiān)控等多維度的追蹤手段，持續(xù)分析全球勒索攻擊技術(shù)及發(fā)展，為大家呈現(xiàn)2021年勒索病毒攻擊態(tài)勢(shì)全貌。

看2021勒索病毒攻擊“廬山真面目”

勒索病毒感染行業(yè)：

數(shù)字化轉(zhuǎn)型驅(qū)動(dòng)，目標(biāo)轉(zhuǎn)移制造業(yè)/地產(chǎn)/餐飲等

根據(jù)2021年勒索病毒全網(wǎng)行業(yè)感染數(shù)據(jù)，企業(yè)、科研教育、政府、金融、醫(yī)療等行業(yè)感染延續(xù)了以往的高占比。

在2021年勒索攻擊咨詢行業(yè)數(shù)據(jù)中，除企業(yè)、醫(yī)療、科技、教育、金融等行業(yè)仍然是主要受害者外，制造業(yè)、能源、地產(chǎn)、餐飲也逐漸成為勒索病毒攻擊目標(biāo)。

深信服終端安全團(tuán)隊(duì)分析，隨著后疫情時(shí)代的發(fā)展，各行各業(yè)都難以避免數(shù)字化轉(zhuǎn)型趨勢(shì)，通過(guò)自動(dòng)化和智能化提升業(yè)務(wù)和服務(wù)，為公眾帶來(lái)便利；但與此同時(shí)，數(shù)據(jù)和系統(tǒng)所面臨的安全問(wèn)題也逐漸暴露出來(lái)。

數(shù)字化轉(zhuǎn)型驅(qū)動(dòng)下，傳統(tǒng)行業(yè)的響應(yīng)需求逐步呈上升趨勢(shì)，而勒索病毒攻擊僅僅是數(shù)字化轉(zhuǎn)型安全挑戰(zhàn)的一個(gè)開(kāi)始。

勒索病毒感染地域：

中部地區(qū)逐漸成為攻擊新靶

從感染地域分布來(lái)看，廣東、浙江、江蘇等沿海和貿(mào)易較為發(fā)達(dá)的地區(qū)受勒索攻擊最為嚴(yán)重。值得關(guān)注的是，山西、安徽等中部地區(qū)感染量在今年也呈現(xiàn)增長(zhǎng)趨勢(shì)，可見(jiàn)勒索攻擊的目標(biāo)地區(qū)正逐漸發(fā)生轉(zhuǎn)移。

勒索病毒活躍家族：

攻擊次數(shù)再創(chuàng)新高，排名變化大

2021年，全網(wǎng)勒索攻擊總次數(shù)達(dá)2234萬(wàn)+，再創(chuàng)新高。據(jù)深信服安全云腦監(jiān)測(cè)數(shù)據(jù)統(tǒng)計(jì)，WannaCry仍然依靠“永恒之藍(lán)”漏洞（MS17-010）占據(jù)勒索病毒感染量榜首。其次，Crypton、Sodinokibi（REvil）、Crowti、Lucky等常見(jiàn)勒索病毒家族的感染量不相上下，相較于2020年，可以看出，勒索病毒家族排名完全進(jìn)行了一輪大洗牌。

2021年勒索病毒家族TOP 4

各國(guó)嚴(yán)打勒索攻擊，“野火”依舊燒不盡

從勒索病毒家族TOP4看出，2021年勒索團(tuán)伙格局分布經(jīng)歷了翻天覆地的變化。這得益于各國(guó)政府打擊勒索團(tuán)伙的政策，很多老牌主流勒索團(tuán)伙紛紛倒臺(tái)。

△國(guó)內(nèi)重要政策

△海外重要政策和舉措

但遺憾的是，勒索病毒攻擊事件并沒(méi)有就此減少，新型勒索病毒不斷冒頭，老牌勒索團(tuán)伙宣稱(chēng)退出運(yùn)營(yíng)只是為了暫避風(fēng)頭，改名換姓后重出江湖。

據(jù)深信服安全專(zhuān)家接到的勒索攻擊咨詢情況來(lái)看，2021年全年勒索病毒活動(dòng)數(shù)量仍然持續(xù)高走，勒索攻擊咨詢數(shù)據(jù)中，勒索病毒家族種類(lèi)增加了約 80%。

安全攻防是一場(chǎng)沒(méi)有盡頭的戰(zhàn)爭(zhēng)，而勒索病毒攻擊則是戰(zhàn)場(chǎng)上燒不盡的“野火”。

勒索病毒攻擊演變趨勢(shì)，須“窺一斑而知全豹”

在《2021上半年勒索病毒趨勢(shì)報(bào)告》中，深信服安全專(zhuān)家提到了勒索病毒攻擊的“三大演變趨勢(shì)”，從勒索方式、攻擊方式以及目標(biāo)平臺(tái)三個(gè)方面總結(jié)了勒索病毒近年來(lái)的演變特點(diǎn)，詳情點(diǎn)擊鏈接查看：《深信服「2021上半年勒索病毒趨勢(shì)報(bào)告」：一場(chǎng)全球爆發(fā)“流行病”需要這份“防疫藥方”》

除了整體的大演變趨勢(shì)外，勒索團(tuán)伙也時(shí)刻跟進(jìn)熱點(diǎn)、注重創(chuàng)新，無(wú)論是在攻擊階段，還是在執(zhí)行勒索加密階段，都融合了一些新的技術(shù)手段，在2021年出現(xiàn)了四個(gè)小演變趨勢(shì)。

Apache Log4j2 “核彈級(jí)”漏洞加持

深信服安全云腦數(shù)據(jù)顯示，截至2021年底，利用該漏洞的攻擊已超千萬(wàn)次，深信服成功幫助6000多家用戶阻斷非法入侵，并捕獲Tellmeyoupass、Mirai、z0miner、H2miner、BillGates等十幾個(gè)黑產(chǎn)組織。

從“永恒之藍(lán)”到Apache Log4j2組件漏洞可以看出，勒索團(tuán)伙對(duì)新型漏洞的捕捉非常迅速，但其感染數(shù)據(jù)反映了當(dāng)前仍存在大量主機(jī)沒(méi)有針對(duì)常見(jiàn)高危漏洞進(jìn)行合理加固的現(xiàn)象。由此針對(duì)Apache Log4j2漏洞，不得不引起高度重視，詳見(jiàn)深信服往期分析：《再曝3個(gè)高危漏洞！Apache Log4j 漏洞1個(gè)月回顧：警惕關(guān)鍵信息基礎(chǔ)設(shè)施安全》

瀏覽器漏洞陷阱

從2021年11月開(kāi)始，深信服終端安全專(zhuān)家監(jiān)測(cè)到一款名為Magniber的勒索病毒，該攻擊團(tuán)伙通過(guò)網(wǎng)頁(yè)掛馬、惡意廣告等方式，讓用戶在不知不覺(jué)中訪問(wèn)了帶攻擊代碼的惡意鏈接，觸發(fā)瀏覽器漏洞后自動(dòng)下載執(zhí)行勒索病毒。該團(tuán)伙目前主要利用到的漏洞有CVE-2021-26411與CVE-2021-40444，執(zhí)行遠(yuǎn)程命令下載惡意DLL再注入白進(jìn)程進(jìn)行加密。

“白+黑”繞過(guò)檢測(cè)

在2021年的勒索病毒跟蹤中，深信服終端安全專(zhuān)家發(fā)現(xiàn)了2種“白+黑”利用方式，一種是常見(jiàn)的DLL注入，而另一種則是直接利用微軟的編譯程序直接編譯執(zhí)行加密代碼，例如aspnet_compiler.exe。

△攻擊者釋放惡意代碼目錄下的aspnet_compiler.exe

MSSQL暴力破解入侵

在2021年的勒索病毒攻擊事件攻擊中，深信服安全團(tuán)隊(duì)跟蹤發(fā)現(xiàn)，GlobeImposter勒索病毒已經(jīng)利用MSSQL暴力破解進(jìn)行入侵攻擊，暴力破解成功后，通過(guò)存儲(chǔ)過(guò)程執(zhí)行系統(tǒng)命令，使用cmd命令或powershell命令下載病毒執(zhí)行勒索病毒。由于MSSQL服務(wù)所關(guān)聯(lián)的業(yè)務(wù)通常較為重要，一旦入侵成功，攻擊者可以選擇投放后門(mén)程序進(jìn)一步人工滲透，也可以直接通過(guò)自動(dòng)化的執(zhí)行命令下載運(yùn)行勒索軟件。

△圖片來(lái)源于深信服EDR檢測(cè)日志

深信服提醒：科學(xué)“抗病毒”，預(yù)防姿勢(shì)分兩步

勿以“勒索”為小事，積小疾而成大患。

要想科學(xué)“抗病毒”，預(yù)防姿勢(shì)分兩步。

STEP 1：免費(fèi)享受勒索風(fēng)險(xiǎn)排查

針對(duì)用戶擔(dān)憂業(yè)務(wù)安全、想了解業(yè)務(wù)現(xiàn)存風(fēng)險(xiǎn)的情況，深信服特推出“免費(fèi)勒索風(fēng)險(xiǎn)排查”。從“高危可利用漏洞”、“高危端口”、“攻擊行為”、“安全設(shè)備行為”的不同維度，安全專(zhuān)家將幫助用戶深入排查勒索利用的脆弱項(xiàng)，提前預(yù)知入侵風(fēng)險(xiǎn)，同時(shí)免費(fèi)送上專(zhuān)家級(jí)安全加固方案，更有詳細(xì)操作指引。報(bào)名成功后，0.5天即可部署上線，3天內(nèi)即可完成圍繞勒索病毒入侵全流程的風(fēng)險(xiǎn)排查。

STEP 2：貼心制定“健康方案”

深信服全新升級(jí)的勒索病毒防護(hù)解決方案，以“安全設(shè)備+勒索預(yù)防與響應(yīng)服務(wù)”為基礎(chǔ)，圍繞邊界投毒+病毒感染+加密勒索+橫向傳播的完整勒索攻擊鏈，全面幫助用戶補(bǔ)齊在勒索預(yù)防、監(jiān)測(cè)、處置能力方面的缺失，構(gòu)建有效預(yù)防、持續(xù)監(jiān)測(cè)、高效處置的勒索病毒防護(hù)體系。