直击RSAC 2021|勒索病毒引全球挑战，安全大脑成化解“利器”

回顾过往，勒索病毒攻击事件越来越频繁的出现在大众视野之中，几乎每个月都有企业、政府机关、各类公共部门因为勒索病毒攻击事件，登上新闻热点。

在RSAC 2021的《A Review of the Ransomware ThreatLandscape》勒索威胁专题中，Phil Reiner（安全技术与勒索软件研究小组CEO），Michael Daniel（网络威胁联盟总裁兼CEO）与Jen Miller-Osborn（Palo Alto Networks公司Unit 42小组的威胁情报部副主任）共同围绕勒索病毒威胁现状探讨了应对之策。

勒索病毒威胁现状

（一）勒索病毒威胁成为全球共同挑战，勒索威胁事关国家安全

Jen Miller-Osborn提到从2019年到2020年，短短一年时间勒索攻击的平均赎金几乎翻了三倍，从11.5万美元到现在的31万美元，针对企业的大额赎金也上涨迅速，已经达到1000万美元之上。不论是私营企业还是政府部门，勒索病毒攻击威胁已经是一个必须直视的安全威胁。

Michael Daniel表示勒索病毒威胁已经成为全球化的威胁，因此需要以整体系统协作应对。勒索病毒的攻击目标从个别笔记本、个人电脑、服务器，到目前对医院、学校、政府机构和基础设施实施，其影响力远超以往。勒索病毒导致的已不单单是经济上的损失，已经形成了对国家安全、公众生命安全的挑战。因此，Phil Reiner认为勒索病毒是现实存在的威胁，政府需要集中力量来应对这一愈演愈烈的严峻风险。

Phil Reiner也提出了一些他的建议，如加强部门协作和情报共享，通过像限制加密数字货币、协同网络封禁的各种方法，多管齐下应对勒索挑战。

（二）勒索攻击APT化，高级威胁技术、定向攻击手段层出不穷

Jen Miller-Osborn讲到，勒索病毒攻击团伙增长迅速，资源水平也越来越充足，这与勒索攻击获得的大量赎金不无关系。隐藏在这之后的还有其技术实力的增强：从病毒特征的免杀对抗到传播渠道拓展，勒索病毒在发展过程中技术手段不断加强。从DarkSide攻击美国石油管网到Conti入侵爱尔兰卫生部门，这些勒索病毒攻击已与既往的国家级APT攻击过程毫无差别，攻击过程APT化已经成为一个趋势，从“小毛贼”到“大玩家”，攻击发起主体发生了巨大的变化。

大量案例也显示，在针对高价值目标的攻击中，长期潜伏已经成为一种常态的攻击方式。在发起勒索攻击之前，攻击者已经控制目标网络相当长一段时间，获悉了企业最关键的核心数据，通过横向渗透不断扩展攻击范围和窃取更多数据，最终迫使企业停摆支付赎金。

（三）网络威胁开始超越传统安全威胁，关键基础设施成为黑客攻击目标

新冠病毒疫情对世界、大众生活、工作方式都产生了深远的影响。线上办公、远程会议、各类智能识别技术不断参与到社会运转之中。由于大数据驱动业务，整个世界构筑在软件之上。网络威胁对现实社会运转的影响力也切实凸显。

本月7日美国最大的燃油管道商Colonial Pipeline公司遭黑客攻击关闭主要输油干线后，引发汽油抢购热潮，美国东海岸多地加油站出现抢购现象。据“汽油伙伴”公司表示，13日首都华盛顿79%的加油站无油可加，14日情况非但没有好转，反而增至88%。Jen Miller-Osborn也再次提到，关键基础设施正在成为网络犯罪分子热衷的攻击目标，来自网络的安全威胁正在超越传统安全威胁。

（四）勒索危害加剧，信息泄露、双重勒索成主流

传统勒索主要以加密文件、数据库、磁盘等方式，影响信息系统正常运作，迫使受害者支付赎金。而从2019年11月开始Maze率先尝试通过泄密实施勒索，经过不到两年的发展，通过窃取数据进行的双重勒索已经成为主流，目前已有34个流行家族——例如Conti、Sodinokibi、DarkSide等，都在以窃取和泄露数据作为胁迫筹码。

这种勒索加剧了攻击危害，带来的信息泄露问题也加深了企业担忧。今年4月，苹果的代工厂广达遭勒索病毒攻击，遭黑客团伙窃取大量资料，在勒索代工厂失败之后，黑客转而勒索苹果电脑公司高达5000万美元赎金，如果无法和攻击者达成协议，很可能苹果将有大批数据泄露。JenMiller-Osborn在其分享中，也提到了双重勒索对企业带来的新挑战。

“安全大脑”成化解勒索病毒威胁的有力武器

（一）勒索病毒防护重点在于“数字安全能力体系”建设

面对专业化网络犯罪组织、国家级对手发动的高级持续威胁，传统打补丁、查遗补漏式的方法，已显得力不从心疲于救火。依赖大数据、知识库和分析能力，强调整体协同、运营服务、人机结合以及能力持续升级的“安全大脑”将是应对此类威胁绝佳技术手段。而建设以安全大数据为基础、安全大脑为核心、协同各类安全基础设施、提供云端动态安全服务的整体“数字安全能力体系”才是解决未来各类安全威胁的有效方法。

依托多年来的技术积累，360安全大脑在勒索病毒的识别、查杀、拦截方面均有良好表现，基于360安全大脑的整体防御能力，可有效对抗高级威胁的持续化攻击。在360过去十五年同勒索病毒实战对抗过程中，积累了多款基础产品平台，能在安全大脑的赋能之下协同联动，帮助用户第一时间缓解和处置勒索病毒攻击。

（二）安全大脑赋能新一代产品平台助力用户应对攻击

依托“360安全大脑“全面赋能打造的新一代产品平台内置有360反勒索服务，能够对需要勒索病毒救援的用户提供专业帮助，目前已经累计为数万用户和机构提供了救助服务，帮助数千用户恢复文件，挽回了损失。

其中，360勒索病毒搜索引擎（https://lesuobingdu.360.cn/）长期采集各种勒索病毒特征，总结了上万条勒索病毒特征。是目前国内知识能力最强的勒索病毒检索引擎，为受害者提供快速了解所感染勒索病毒信息的渠道。

另外，360解密大师累积支持解密勒索病毒超过370种。仅2020年一年，就服务用户超20651台次，解密文件近1354万次，挽回损失超4亿元人民币（按照单笔赎金3000美元估算）。

作为数字经济的守护者，面对势头不减的勒索病毒威胁，360政企安全集团面向广发政企用户输出体系化全维度的安全防护：

可通过安装360终端安全管理系统，有效拦截勒索病毒威胁，保护文件及数据安全，详情可通过400-6693-600咨询了解；

对于小微企业，则可直接前往https://safe.online.360.cn/免费体验360安全卫士团队版，抵御勒索病毒攻击；

如果未做好防护措施不慎中毒用户，应立即前往https://lesuobingdu.360.cn/确认所中勒索病毒类型，并通过360安全卫士“功能大全”窗口，搜索安装“360解密大师”后，点击“立即扫描”进行解密，恢复被加密文件。

来源 360政企安全