勒索軟件攻擊的主要趨勢包括：釣魚郵件、RDP憑證破解、漏洞利用成三大主要突破口，網(wǎng)絡(luò)犯罪服務(wù)租賃市場持續(xù)升溫，彼此分享受害者信息等；

　　新技術(shù)特點包括：針對云端、托管服務(wù)供應(yīng)商、工業(yè)流程、軟件供應(yīng)鏈等針對性目標(biāo)進(jìn)行攻擊，挑選節(jié)假日和周末下手。

　　2021年，美國、澳大利亞、以及英國的政府網(wǎng)絡(luò)安全當(dāng)局觀察到，全球范圍內(nèi)以關(guān)鍵基礎(chǔ)設(shè)施相關(guān)組織為目標(biāo)的高復(fù)雜度、高影響力勒索軟件攻擊正在持續(xù)增加。

　　這份由美國、澳大利亞及英國網(wǎng)絡(luò)安全當(dāng)局撰寫的聯(lián)合網(wǎng)絡(luò)安全咨詢報告，列舉了觀察到的行為與趨勢，同時也提出了緩解建議，希望幫助網(wǎng)絡(luò)防御方降低遭受勒索軟件入侵的風(fēng)險。

　　2021年威脅態(tài)勢

　　美國聯(lián)邦調(diào)查局（FBI）、網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）與國家安全局（NSA）觀察到，全美16個關(guān)鍵基礎(chǔ)設(shè)施部門中有14個曾經(jīng)遭遇勒索軟件事件，具體涵蓋國防工業(yè)基地、緊急服務(wù)、食品與農(nóng)業(yè)、政府設(shè)施與信息技術(shù)等多個部門。

　　澳大利亞網(wǎng)絡(luò)安全中心（ACSC）則觀察到，勒索軟件正持續(xù)將矛頭指向澳大利亞國內(nèi)各關(guān)鍵基礎(chǔ)設(shè)施實體，包括醫(yī)療保健、金融服務(wù)與市場、高等教育與研究、外加能源部門。

　　英國國家網(wǎng)絡(luò)安全中心（NCSC）則將勒索軟件視為英國面臨的最大網(wǎng)絡(luò)威脅，表示教育領(lǐng)域成為勒索軟件攻擊者的主要目標(biāo)之一，同時發(fā)現(xiàn)針對地方各級政府及衛(wèi)生部門內(nèi)各企業(yè)、慈善機(jī)構(gòu)、法律界乃至公共服務(wù)機(jī)構(gòu)的攻擊也是不一而足。

　　2021年，勒索軟件攻擊在策略與技術(shù)層面仍在繼續(xù)發(fā)展，這表明勒索軟件威脅攻擊者的業(yè)務(wù)水平正日益純熟，也由此令全球組織身陷更為可怕的威脅陰影。

　　勒索軟件攻擊的主要行為與趨勢

　　美國、澳大利亞與英國的各網(wǎng)絡(luò)安全部門在2021年內(nèi)觀察到網(wǎng)絡(luò)犯罪分子存在以下行為與趨勢：

　　通過網(wǎng)絡(luò)釣魚、被盜的遠(yuǎn)程桌面協(xié)議（RDP）憑證/暴力破解以及利用漏洞等方式訪問目標(biāo)網(wǎng)絡(luò)

　　網(wǎng)絡(luò)釣魚電子郵件、利用RDP以及利用軟件漏洞在2021繼續(xù)成為勒索軟件活動中的三大初始感染手段。一旦勒索軟件攻擊者在對方設(shè)備或網(wǎng)絡(luò)中獲得代碼執(zhí)行權(quán)限，即可進(jìn)一步部署勒索軟件。請注意：這些感染手段從2020年初步興起到2021年持續(xù)蔓延，而且很可能在遠(yuǎn)程辦公與學(xué)校遠(yuǎn)程教學(xué)的大背景下繼續(xù)保持流行。新冠疫情催生出的遠(yuǎn)程辦公/教育趨勢極大擴(kuò)展了遠(yuǎn)程攻擊面，導(dǎo)致網(wǎng)絡(luò)防御方很難用傳統(tǒng)軟件修復(fù)方法跟上安全需求的節(jié)奏。

　　網(wǎng)絡(luò)犯罪服務(wù)租賃市場持續(xù)升溫

　　勒索軟件市場在2021年內(nèi)正變得愈發(fā)“專業(yè)”，勒索軟件的犯罪商業(yè)模式也已全面成熟。除了勒索軟件即服務(wù)（RaaS）的廣泛普及之外，勒索軟件攻擊者還開始借助獨立服務(wù)進(jìn)行款項協(xié)商、受害者贖金支付引導(dǎo)、甚至對各方網(wǎng)絡(luò)犯罪分子之間的利益糾葛開展仲裁。英國網(wǎng)絡(luò)安全中心觀察到，部分勒索軟件攻擊者甚至向受害者提供24/7全天候幫助中心服務(wù)，用以加快對方支付贖金以及系統(tǒng)或數(shù)據(jù)的恢復(fù)速度。

　　注意：美國、澳大利亞及英國的網(wǎng)絡(luò)安全當(dāng)局評估認(rèn)為，如果勒索軟件犯罪商業(yè)模式能夠持續(xù)為攻擊一方帶來經(jīng)濟(jì)回報，那么勒索軟件事件將變得更加頻繁。受害者的每一次就范、他們付出的每一筆贖金，都會讓犯罪分子對于勒索軟件商業(yè)模式的可行性與財務(wù)吸引力再增添一份信心。此外，美國、澳大利亞和英國的網(wǎng)絡(luò)安全當(dāng)局還指出，這種犯罪商業(yè)模式的出現(xiàn)往往令歸因工作復(fù)雜化——由于參與攻擊的開發(fā)者、附屬組織及自由職業(yè)人士等成分太過復(fù)雜，調(diào)查一方往往很難確定勒索軟件事件背后的實際操縱者。

　　分享受害者信息

　　歐洲和亞洲的各勒索軟件組織會彼此分享受害者信息，進(jìn)而形成更為多樣的勒索攻擊威脅態(tài)勢。例如，在宣布正式關(guān)閉之后，BlackMatter勒索軟件團(tuán)伙就將原有受害者信息轉(zhuǎn)移到另一團(tuán)伙L(fēng)ockbit 2.0的基礎(chǔ)設(shè)施當(dāng)中。2021年10月，Conti勒索軟件團(tuán)伙甚至直接出售受害者網(wǎng)絡(luò)的訪問權(quán)限，以供其他惡意攻擊者實施后續(xù)攻擊。

　　“大型獵物”攻擊浪潮正遠(yuǎn)離美國

　　2021年上半年，美國和澳大利亞網(wǎng)絡(luò)安全當(dāng)局曾通過多起引人注目的網(wǎng)絡(luò)安全事件發(fā)現(xiàn)，勒索軟件攻擊者正展開一波針對“大獵物”（即被認(rèn)定為高價值的組織及/或提供關(guān)鍵服務(wù)的機(jī)構(gòu)）的入侵浪潮。此番攻勢的受害者包括科洛尼爾管道運輸公司、JBS Foods以及軟件商Kaseya。但勒索軟件攻擊一方還沒有得意多久，就在同年年中遭到美國當(dāng)局的打壓。隨后，F(xiàn)BI觀察到部分勒索軟件攻擊者開始將目標(biāo)從“大獵物”轉(zhuǎn)向中等體量的受害者，希望借此轉(zhuǎn)移審查壓力。

　　澳大利亞網(wǎng)絡(luò)安全中心觀察到，2021年內(nèi)澳大利亞本土的勒索軟件攻勢繼續(xù)不分體量、持續(xù)肆虐，所以這里的關(guān)鍵服務(wù)機(jī)構(gòu)與“大獵物”們還沒法像美國同行們那樣稍稍松口氣。

　　英國網(wǎng)絡(luò)安全中心則觀察到，2021年英國本土不同規(guī)模的各類組織都未能幸免于難，其中也包括不少“大獵物”級別的受害者。過去一年，英國的勒索軟件受害者涵蓋教育、地方各級政府與衛(wèi)生部門企業(yè)、慈善機(jī)構(gòu)、法律界及公共服務(wù)等多個領(lǐng)域。

　　攻擊方勒索金錢的方式也是多種多樣

　　在對受害者網(wǎng)絡(luò)完成加密鎖定之后，如今的勒索軟件攻擊者開始更多運用“三重勒索”手段，即威脅要

　　（1）公開發(fā)布被盜的敏感信息；

　　（2）破壞受害者的互聯(lián)網(wǎng)訪問功能；及/或

　　（3）將攻擊事件通報給受害者的合作伙伴、股東或供應(yīng)商。

　　當(dāng)然，澳大利亞網(wǎng)絡(luò)安全中心也觀察到不少更為老派的“雙重勒索”事件，即攻擊一方以加密系統(tǒng)加威脅泄露數(shù)據(jù)的組合迫使受害者支付贖金。

　　勒索軟件攻擊的新技術(shù)特點

　　勒索軟件團(tuán)伙還通過以下方式進(jìn)一步增加了自身影響力：

　　瞄準(zhǔn)云端。勒索軟件開發(fā)者開始以云基礎(chǔ)設(shè)施為目標(biāo)，利用云應(yīng)用程序、虛擬機(jī)軟件及虛擬機(jī)編排工具中的已知漏洞。勒索軟件攻擊者還將矛頭指向云賬戶、云應(yīng)用程序編程接口（API）以及數(shù)據(jù)備份與存儲系統(tǒng)，阻斷指向云資源的訪問請求并加密數(shù)據(jù)內(nèi)容。除了利用漏洞直接獲取訪問權(quán)限之外，惡意攻擊者有時還會入侵本地設(shè)備、進(jìn)而橫向移動至云系統(tǒng)以完成對云存儲系統(tǒng)的滲透。再有，勒索軟件攻擊者也會嘗試攻擊云服務(wù)供應(yīng)商以加密海量客戶數(shù)據(jù)。

　　針對托管服務(wù)供應(yīng)商。勒索軟件攻擊者當(dāng)然不會放過托管服務(wù)供應(yīng)商（MSP），因為他們手中掌握著廣泛且受到信任的客戶組織訪問權(quán)限。通過入侵托管服務(wù)商，勒索軟件攻擊者可以一次滲透就攻陷多位受害者。美國、澳大利亞及英國的網(wǎng)絡(luò)安全當(dāng)局評估稱，未來這類以托管服務(wù)商為跳板、以入侵托管服務(wù)客戶為最終目的的勒索軟件攻擊事件還將持續(xù)增加。

　　攻擊工業(yè)流程。盡管針對關(guān)鍵基礎(chǔ)設(shè)施的大多數(shù)勒索軟件事件總會影響到商業(yè)信息與技術(shù)系統(tǒng)，但FBI也觀察到一部分勒索軟件團(tuán)伙正在開發(fā)專門打擊關(guān)鍵基礎(chǔ)設(shè)施或工業(yè)流程的惡意代碼。

　　攻擊軟件供應(yīng)鏈。2021年，勒索軟件攻擊者開始在全球范圍內(nèi)破壞軟件供應(yīng)鏈實體，并借此損害并勒索供應(yīng)鏈客戶。這種從供應(yīng)鏈下手的攻擊方式能夠讓威脅方一次行動就拿下多位受害者，從而有效擴(kuò)大其攻擊規(guī)模。

　　挑節(jié)假日和周末下手。FBI和CISA都觀察到，網(wǎng)絡(luò)犯罪分子開始在2021年的各個節(jié)假日和周末向美國實體發(fā)動攻擊，并由此獲得了更大的威脅影響力。勒索軟件攻擊者意識到節(jié)假日和周末期間組織機(jī)構(gòu)往往無人值守，網(wǎng)絡(luò)防御方的松懈與IT支持人員的休假自然成為提升攻擊成功率的大好機(jī)會。

　　該報告的緩解措施、應(yīng)對建議等后半部分內(nèi)容比較冗長，安全內(nèi)參讀者如有興趣可自行閱讀。