安全419盘点｜2023年Q1勒索软件攻击趋势总结

网络犯罪专业化发展是调研机构认为的2023年网络安全主要趋势之一，其中又以勒索软件攻击商业模式系统化发展最具代表性，这种趋势带来的威胁也是代言网络安全的一种长期威胁。安全419长期关注安全产业的发展与网安趋势变化，现总结2023年Q1期间勒索软件攻击相关事件发现如下趋势：

勒索组织多重勒索盛行

通常，基于当地法律要求或一定的风险评估，企业在遭受勒索软件攻击之后，支付赎金并不是他们的第一选择。现在，勒索组织将视野转向数据，并威胁企业如不支付赎金就会泄露数据，从而主动挑起企业安全违规问题（事件）。

威胁泄露数据将是勒索组织未来的主要威胁手段，而不再是过去的系统不可用性。这方面有多家安全组织的报告都支撑了这一点，如在2022年勒索软件赎金支付下降了约40%，这一点也出自于企业已经投资于更强的安全性和更好的备份。在过去的2022年，各勒索组织在数据泄露网站上共披露了2363名受害者（企业）。

数据备份、针对业务系统做好容灾建设，是安全企业在对应勒索攻击的后期兜底建议，有一部分企业认识到了这一点，他们就可以有勇气在受到勒索之后不支付赎金，利用安全系统来恢复业务或数据。但如果勒索组织威胁泄露数据，留给企业在安全与合规之间的问题就有些麻烦了。

在这一点上，企业与监管侧需做到一定的平衡，如果企业安全建设是裸奔的，那么他们就需要为负责买单，但如果他们遵循了合规义务，那么在支付赎金与可能的数据泄露之间要如何平衡，这是一个需要多方一起去思考的大问题。

漏洞管理仍然重要

今年的第一季度最大勒索软件相关事件之一，当属攻击VMware ESXi服务器大规模漏洞利用攻击事件，无数企业在此事件当中受到影响。根据安全机构的说法，攻击者利用了早在2021年2月23日就推出过安全补丁的CVE-221-21974漏洞。

欧美地区受到该事件影响最为严重，安全机构披露随着黑客的大规模攻击，全球约有2000台以上服务器受到了影响，其中我国受影响较小，国内安全机构披露为数十台服务受到影响。

此前有安全团队分析了他们响应的安全事件称，82%的安全事件都归因于已知漏洞的外部暴露，其接着分析称，企业运营现代化IT基础设施实践越来越复杂，他们实现完美修补多个系统漏洞仍欠缺工具和专业团队支撑。

2022年在野0day漏洞数据刷新纪录的同时，利用老旧漏洞成功攻击事件也常被披露，事件显示了漏洞管理的重要性，这显然是一个老生常谈的问题。在0day漏洞利用方面，一季度Clop勒索组织就声称利用GoAnywhere MFT安全文件传输工具中的零日漏洞攻击了130多家组织。

VMware ESXi、GoAnywhere MFT两起漏洞攻击利用事件当中已有多家受害者公开承认或拒绝披露相关事宜，包括科技巨头、先进制造业、金融机构、医疗机构等在内的多家机构因此受灾。

关基设施勒索攻击仍在继续

“勒索软件团伙破坏了至少860个关键基础设施组织的网络。”这一数据出自美FBI在今年一季度发布的2022年的互联网犯罪报告，媒体报道指出，该数据仅限于“投诉数据”，实际数量可能更高。

LockBit、BlackCat、Hive勒索组织分别以149、114、87次占据了“投诉数据”排行榜。以至于后面美政府多个部门联合不断更新推出LockBit勒索软件应对指南。

安全机构统计了2022年发生的600起勒索软件攻击事件称，针对关键基础设施的攻击翻了一倍。针对关键基础设施的攻击要更具威胁性，这些企业可能的妥协（倾向于赎金支付）一方面来自于数据的重要性，更重要的是对企业核心生产连续性的威胁。

此前，美国Colonial Pipeline勒索事件被视为教科书级别的安全事件，这一勒索软件攻击事件甚至推动了全球关基设施保护立法进程。

但在今年一季度，仍有能源石化企业受到了勒索软件攻击，如德国Oiltanking和Mabanaft，加拿大Qulliq能源公司在一季度都处理过类似事件，美国天然气前25位的生产商Encino Energy也是第一季度勒索软件攻击的受害者。

关于勒索软件恢复成本

在一季度美国田纳西州处理该州地市一级的勒索软件攻击事件之后，媒体援引指出，这已是勒索软件专家在今年处理的18起针对该国地方政府的勒索软件攻击。

媒体报道指出，在地方政府处理勒索软件攻击所花费的成本方面，镇级政府在处理相关事件时花费成本至少在10万美元，市一级政府支出成本要更高，如诺克斯维尔市刚刚花费了23.6万美元来应对自己的勒索软件攻击事件。

去年年底，爱尔兰卫生服务执行局在政务信件中披露的2021年遭受勒索软件攻击花费成本流出，其中事件处理的前期成本为4200万欧元，中后期成本3900万欧元，总计成本折合人民币超过6亿元。

通常而言，勒索软件攻击恢复成本由应急响应到业务恢复的全流程所需工作和技术支持所组成，同时也可能包含危机管理、法律违约责任等费用。我们从以上两种类型的勒索软件攻击代表性群体事件可以预估不同企业在中招之后的处理恢复成本的大致情况。

总体而言，事前的安全投入将有助于恢复成本的降低。

安全419此前指出，勒索软件攻击是代言网络安全的一种长期威胁，针对性的解决方案也与网络安全整体建设方法相一致，如国内网安企业构建的基于事前、事中、事后的综合型勒索软件攻击安全解决方案。

但从投资回报角度而言，针对端点做好防护，如EDR产品的广泛部署，或是针对业务生产场景的连续性保护策略，如业务容灾系统的建设，也是企业用户落地实践的可选方案。

调研机构数据表明，因勒索软件威胁如今端点安全已成为增长最快的网络安全门类。观察发现，终端型安全产品也在融合应用更多样性的数据保护技术，从而应对日益泛滥的勒索软件攻击趋势。