勒索軟件是網(wǎng)絡(luò)安全領(lǐng)域最大的威脅之一,。根據(jù)身份盜竊資源中心的數(shù)據(jù),，2020年有878起網(wǎng)絡(luò)攻擊事件，其中18%的攻擊事件來自勒索軟件[1],。 這種威脅是Palo Alto Networks（派拓網(wǎng)絡(luò)）關(guān)注的重點(diǎn)領(lǐng)域之一,。

為了評(píng)估勒索軟件威脅的現(xiàn)狀,，Palo Alto Networks（派拓網(wǎng)絡(luò)）威脅情報(bào)團(tuán)隊(duì)Unit 42和事件響應(yīng)團(tuán)隊(duì)The Crypsis Group合作分析了2020年的勒索軟件威脅狀況（研究基于Unit 42的全球數(shù)據(jù)以及Crypsis的美國、加拿大和歐洲數(shù)據(jù)）,。

這份報(bào)告詳細(xì)介紹了最主要的勒索軟件變種（附有每個(gè)變種的威脅評(píng)估鏈接）,、勒索軟件平均支付額、勒索軟件預(yù)測以及可立即降低勒索軟件風(fēng)險(xiǎn)的可行性步驟,。

網(wǎng)絡(luò)犯罪分子賺取和索取的金錢比以往任何時(shí)候都多

企業(yè)平均支付的贖金從2019年的115,123美元增加到2020年的312,493美元,，同比增長171%。此外,，企業(yè)支付的最高贖金從2019年到2020年翻了一番,，從500萬美元增加到1000萬美元。與此同時(shí),，網(wǎng)絡(luò)犯罪分子也越來越貪婪,。從2015年到2019年，勒索軟件的最高贖金是1500萬美元,。2020年,，勒索軟件的最高贖金增長到3000萬美元。

值得注意的是,，2020年Maze勒索軟件的平均贖金為480萬美元,，與2020年所有勒索軟件的平均贖金847,344美元相比，有了顯著增長,。網(wǎng)絡(luò)犯罪分子知道他們可以通過勒索軟件賺錢,，并且在索要贖金方面變得越發(fā)大膽。

醫(yī)療機(jī)構(gòu)成為新目標(biāo)

世界因新冠疫情而改變,，勒索軟件運(yùn)營商則利用疫情對(duì)企業(yè)進(jìn)行掠奪,，特別是醫(yī)療行業(yè)，成為2020年勒索軟件最關(guān)注的行業(yè),。勒索軟件運(yùn)營商在攻擊中厚顏無恥地試圖賺取盡可能多的錢，因?yàn)樗麄冎泪t(yī)療機(jī)構(gòu)需要繼續(xù)運(yùn)營以治療新冠患者并幫助拯救生命,，無法承擔(dān)系統(tǒng)被鎖定的后果,，更有可能支付贖金。

Ryuk勒索軟件在眾多勒索軟件中脫穎而出,。2020年10月,，美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）、聯(lián)邦調(diào)查局（FBI）,、衛(wèi)生與人類服務(wù)部（HHS）聯(lián)合發(fā)布網(wǎng)絡(luò)安全預(yù)警,，警告醫(yī)療機(jī)構(gòu)防范Ryuk勒索軟件攻擊。

雙重勒索的興起

常見的勒索軟件攻擊包括勒索軟件運(yùn)營商對(duì)數(shù)據(jù)進(jìn)行加密,，并強(qiáng)迫受害者支付贖金以解鎖數(shù)據(jù),。在雙重勒索中,，勒索軟件運(yùn)營商會(huì)加密并竊取數(shù)據(jù)，進(jìn)一步脅迫受害者支付贖金,。如果不支付,，勒索軟件運(yùn)營商就會(huì)將數(shù)據(jù)公布到泄漏網(wǎng)站或暗網(wǎng)，大部分?jǐn)?shù)據(jù)泄漏網(wǎng)站都托管在暗網(wǎng),，而這些托管站點(diǎn)由勒索軟件運(yùn)營商創(chuàng)建和管理?，F(xiàn)在至少有16種不同的勒索軟件變種威脅要泄漏數(shù)據(jù)或利用泄漏網(wǎng)站，更多的勒索軟件變種可能會(huì)延續(xù)這種趨勢,。

利用這種手段最多的勒索軟件是NetWalker,。從2020年1月到2021年1月，NetWalker泄漏了全球113家受害企業(yè)的數(shù)據(jù)（見下圖）,，遠(yuǎn)遠(yuǎn)超過了其他勒索軟件,。RagnarLocker排名第二，泄漏了全球26家受害企業(yè)的數(shù)據(jù),。值得一提的是,，美國司法部在2021年1月宣布協(xié)調(diào)國際執(zhí)法行動(dòng)，瓦解NetWalker勒索軟件團(tuán)伙,。由NetWalker運(yùn)營商管理的托管泄漏數(shù)據(jù)的暗網(wǎng)域名已經(jīng)無法訪問,。

圖：2020年1月至2021年1月，按勒索軟件劃分且數(shù)據(jù)公布在泄漏網(wǎng)站的全球受害企業(yè)數(shù)量

建議

防范勒索軟件攻擊與防范其他惡意軟件類似,。然而,，它對(duì)企業(yè)的風(fēng)險(xiǎn)要高得多。

初始訪問

所有勒索軟件變種的初始訪問相對(duì)一致,。企業(yè)應(yīng)保持用戶對(duì)電子郵件安全的認(rèn)識(shí)和培訓(xùn),，并考慮如何在惡意電子郵件進(jìn)入員工郵箱后立即識(shí)別和補(bǔ)救。企業(yè)還應(yīng)該確保進(jìn)行適當(dāng)?shù)难a(bǔ)丁管理,，并審查哪些服務(wù)可能暴露在互聯(lián)網(wǎng)上,。遠(yuǎn)程桌面服務(wù)應(yīng)正確配置并確保安全，盡可能使用最低權(quán)限原則,，并制定策略以檢測與暴力攻擊相關(guān)的模式,。

備份和恢復(fù)流程

企業(yè)應(yīng)繼續(xù)備份數(shù)據(jù)，并提前規(guī)劃好適當(dāng)?shù)幕謴?fù)流程,。勒索軟件運(yùn)營商將針對(duì)現(xiàn)場備份進(jìn)行加密,，因此企業(yè)應(yīng)確保所有備份都在離線狀態(tài)下安全保存。必須與關(guān)鍵利益相關(guān)者一起實(shí)施并演練恢復(fù)流程,，以便在發(fā)生勒索軟件攻擊時(shí)盡量縮短企業(yè)的停機(jī)時(shí)間并降低成本,。

安全控制

防范勒索軟件的最有效形式是端點(diǎn)安全、URL過濾或Web保護(hù),、高級(jí)威脅防御（未知威脅/沙盒）以及部署到所有企業(yè)環(huán)境和設(shè)備的反釣魚解決方案,。雖然這些不能完全保證預(yù)防,，但它們將極大地降低常見變種的感染風(fēng)險(xiǎn)，并提供應(yīng)急措施,，讓一種技術(shù)在另一種技術(shù)可能無效時(shí)提供一系列強(qiáng)制措施,。

Palo Alto Networks（派拓網(wǎng)絡(luò)）的實(shí)力

云交付安全服務(wù)通過各種安全技術(shù)為成千上萬的客戶帶來網(wǎng)絡(luò)效應(yīng)，以協(xié)調(diào)情報(bào)并為所有攻擊載體提供一致的保護(hù),。我們的服務(wù)部署在一系列基于機(jī)器學(xué)習(xí)技術(shù)的下一代防火墻（PA-Series硬件,、 VM-Series和 CN-Series軟件，以及云交付的 Prisma? Access）上,，消除了獨(dú)立網(wǎng)絡(luò)安全工具造成的覆蓋缺口：

● WildFire? 惡意軟件防御服務(wù)可檢測與已知和未知勒索軟件變種以及其他文件威脅相關(guān)的活動(dòng),。

●URL過濾功能可配置為阻止訪問可疑類別的URL，防止主機(jī)通過HTTP接觸到Palo Alto Networks（派拓網(wǎng)絡(luò)）已經(jīng)監(jiān)測到的主機(jī)可疑內(nèi)容/惡意軟件的Web服務(wù)器,。

● 威脅防御功能利用防火墻的可視能力檢查所有流量,，并自動(dòng)防御已知威脅，不受端口,、協(xié)議或SSL加密影響,，在攻擊的每個(gè)階段都可對(duì)抗威脅。啟用漏洞保護(hù)配置文件后,，該服務(wù)還可以檢測暴力攻擊,。

● 企業(yè)級(jí)數(shù)據(jù)防泄漏服務(wù)可防止企業(yè)敏感數(shù)據(jù)離開企業(yè)網(wǎng)絡(luò)。 

Cortex? XDR包含一個(gè)反勒索軟件模塊以及一個(gè)漏洞防御和反惡意軟件模塊,，除了檢測橫向移動(dòng)外,，還可檢測與勒索軟件和其他商業(yè)惡意軟件相關(guān)的加密活動(dòng)。本地分析檢測和行為威脅防御功能可以識(shí)別異?；顒?dòng)和惡意文件,。

如欲了解完整報(bào)告，敬請(qǐng)下載《2021年Unit 42勒索軟件威脅報(bào)告》,。