加密貨幣:一文讀懂勒索攻擊：特征、趨勢與挑戰

1989年，哈佛大學學生約瑟夫·L·波普制作了全球首個勒索病—AIDS木馬，這位哈佛高材生將勒索病隱藏在軟盤中并分發給國際衛生組織艾滋病大會的參會者。此款勒索病會記錄用戶設備重啟次數，一旦超過90次就會對電腦中的文件進行加密，并要求郵寄189美元才能解密重新訪問系統。雖然“名牌大學生惡作劇+郵寄支付贖金”的標簽在今天看來既沒有多大危害，也不夠專業，但勒索病發起的對經濟社會的攻擊，在此后的30多年中逐漸演變為讓人聞之色變的網絡攻擊浪潮。

勒索攻擊從惡作劇向

專業組織化網絡攻擊演變

勒索攻擊又稱為“贖金木馬”，是指網絡攻擊者通過對目標數據強行加密，導致企業核心業務停擺，以此要挾受害者支付贖金進行解密。如同我們把錢放在保險箱，小偷沒有撬開保險箱偷錢，反而把放保險箱的房間加了把鎖。如果沒有房間的鑰匙，我們依然拿不到保險箱里的錢。勒索攻擊發展歷程并不長，在30多年的發展過程中，主要經歷三個階段：1989至2009年是勒索攻擊的萌芽期，在這20年中，勒索攻擊處于起步階段，勒索攻擊軟件數量增長較為緩慢，且攻擊力度小、危害程度低。2006年我國首次出現勒索攻擊軟件。2010年以后，勒索軟件進入活躍期，幾乎每年都有變種出現，其攻擊范圍不斷擴大、攻擊手段持續翻新。2013年以來，越來越多的攻擊者要求以比特幣形式支付贖金；2014年出現了第一個真正意義上針對Android平臺的勒索攻擊軟件，標志著攻擊者的注意力開始向移動互聯網和智能終端轉移。勒索攻擊在2015年后進入高發期，2017年WannaCry勒索攻擊在全球范圍內大規模爆發，至少150個國家、30萬名用戶受害，共計造成超過80億美元的損失，至此勒索攻擊正式走入大眾視野并引發全球關注。

勒索攻擊典型特征與案例

近年來勒索攻擊席卷全球，幾乎所有國家的政府、金融、教育、醫療、制造、交通、能源等行業均受到影響，可以說有互聯網的地方就可能存在勒索攻擊。2021年5月，美國17個州能源系統受到勒索攻擊，導致美國最大的燃料管道運營商Colonial關閉約8851公里的運輸管道，犯罪分子在短時間內獲取了100G數據，并鎖定相關服務器等設備數據，要求支付75個比特幣作為贖金。勒索攻擊已經成為未來一段時期網絡安全的主要威脅。總的來看，勒索攻擊有4個顯著特征：

(一)?隱蔽性強且危害顯著

勒索攻擊善于利用各種偽裝達到入侵目的，常見的傳播手段有借助垃圾郵件、網頁廣告、系統漏洞、U盤等。隱蔽性是勒索攻擊的典型攻擊策略。在入口選擇上，攻擊者以代碼倉庫為感染位置對源代碼發動攻擊；在上線選擇上，寧可放棄大量的機會也不愿在非安全環境上線；在編碼上，高度仿照目標公司的編碼方式和命名規范以繞過復雜的測試、交叉審核、校驗等環節。此外，攻擊者往往在發動正式攻擊之前就已控制代碼倉庫，間隔幾個月甚至更長時間才引入第一個惡意軟件版本，其潛伏時間之長再一次印證了勒索攻擊的高隱蔽性。

數據：近7日Deribit平臺看漲期權交易量僅占總交易量約2%:4月19日消息，據加密期權交易平臺 Deribit 交易數據，近 7 日 Deribit 期權大宗的交易量 65.5% 為購買看跌期權（Put Options），32.8% 為賣出看跌期權；而看漲期權的交易量僅占 2%。[2023/4/19 14:13:35]

調查發現，某些勒索攻擊事件的制造者利用尚未被發現的網絡攻擊策略、技術和程序，不僅可以將后門偷偷嵌入代碼中，而且可以與被感染系統通信而不被發現。這些策略、技術和程序隱藏極深且很難完全從受感染網絡中刪除，為攻擊活動細節的調查取證和后續的清除工作帶來巨大的挑戰。此外，勒索攻擊一般具有明確的攻擊目標和強烈的勒索目的，勒索目的由獲取錢財轉向竊取商業數據和機密，危害性日益增強。

(二)?變異較快且易傳播

目前活躍在市面上的勒索攻擊病種類繁多呈現“百花齊放”的局面，而且每個家族的勒索病也處于不斷地更新變異之中。2016年勒索軟件變種數量達247個，而2015年全年只有29個，其變體數量比上一年同期增長了752%。變體的增多除了依賴先進網絡技術飛速發展以外，還與網絡攻擊者“反偵查”意識的增強相關。很多勒索軟件編寫者知道安全人員試圖對其軟件進行“逆向工程”，從而不斷改進勒索軟件變體以逃避偵查。比如爆發于2017年的WannaCry，在全球范圍蔓延的同時也迅速出現了新的變種——WannaCry2.0，與之前版本的不同是，這個變種不能通過注冊某個域名來關閉傳播，因而傳播速度變得更快。

(三)?攻擊路徑多樣化

近年來越來越多的攻擊事件表明，勒索攻擊正在由被動式攻擊轉為主動式攻擊。以工業控制系統為例，由于設計之初沒有考慮到海量異構設備以及外部網絡的接入，隨著開放性日益增加，設備中普遍存在的高危漏洞給了勒索攻擊以可乘之機，一旦侵入成功即可造成多達數十億臺設備的集體淪陷。隨著遠程監控和遠程操作加快普及并生產海量數據，網絡攻擊者更容易利用系統漏洞發動遠程攻擊，實現盜取數據、中斷生產的目的。為了成功繞過外部安裝的防火墻等安全設施，不少勒索攻擊誘導企業內部員工泄露敏感信息。除了針對運營管理中存在的薄弱環節，勒索攻擊還在設備安裝過程中利用內置漏洞進行橫向滲透，一旦發現系統已有漏洞則立即感染侵入。

(四)?攻擊目標多元化

一方面是從電腦端到移動端。勒索病大多以電腦設備為攻擊目標，其中Windows操作系統是重災區。但隨著移動互聯網的普及，勒索攻擊的戰場從電腦端蔓延至移動端，并且有愈演愈烈的趨勢。俄羅斯卡巴斯基實驗室檢測發現，2019年針對移動設備用戶個人數據的攻擊達67500個，相比2018年增長了50%。同年卡巴斯基移動端產品共檢測到350多萬個惡意安裝軟件包，近7萬個新型移動端銀行木馬和6.8萬多個新型移動端勒索軟件木馬。

安全公司：山寨版WhatsApp和Telegram應用程序正試圖竊取加密貨幣:3月20日消息，網絡安全研究公司ESET Research發現有不法分子正在利用包含惡意軟件的山寨版Telegram和WhatsApp應用程序以試圖盜取加密貨幣。

此惡意軟件可以將受害者在聊天消息中發送的加密貨幣錢包地址切換到屬于攻擊者的地址。一些剪貼器（Clippers）濫用光學字符識別從截圖中提取文本，并竊取加密貨幣錢包恢復短語。除了剪貼器，ESET還發現遠程訪問木馬程序與惡意Windows版本的WhatsApp和Telegram捆綁在一起。

據悉，Clippers是一種惡意軟件，可以竊取或修改剪貼板的內容。這是ESET Research第一次發現Android Clippers專門針對即時消息。從這些山寨應用程序使用的語言來看，它們背后的運營商似乎主要針對的是中文用戶。（Security Brief）[2023/3/20 13:14:49]

另一方面是從個人用戶到企業設備。個人設備在勒索軟件攻擊目標中一直占據較高比例，但隨著傳統勒索軟件盈利能力的持續下降，對更高利潤索取的期待驅使網絡攻擊者將目標重點聚焦在政府或企業的關鍵業務系統和服務器上。比如在今年7月16日發生的國家級勒索事件中，厄瓜多爾最大網絡運營商CNT遭遇勒索軟件RansomEXX的攻擊，致使其業務運營、支付門戶及客戶支持全部陷入癱瘓，犯罪團伙聲稱已經取得190GB的數據，并在隱藏的數據泄露頁面上分享了部分文檔截圖。

隨著AI、5G、物聯網等技術的快速普及和應用，以及加密貨幣的持續火爆，勒索攻擊呈現出持續高發態勢，全球大量知名企業都曾遭到勒索攻擊并導致經濟和聲譽損失。據《2020年我國互聯網網絡安全態勢綜述》統計，2020年我國全年捕獲勒索病軟件78.1萬余個，較2019年同比增長6.8%。據CybersecurityAdventure統計，2021年全球勒索軟件破壞成本預計將達到200億美元，高于2015年3.25億美元的61倍。

勒索攻擊7大趨勢特點

(一)?影響社會正常運轉且難解密

勒索攻擊對社會正常運轉帶來較大挑戰。在民生方面，大型企業遭到勒索攻擊嚴重影響民眾正常生活。2021年5月全球最大的肉類供應商JBS遭到勒索病攻擊，部分牛羊屠宰加工廠停擺，美國肉類批發價格出現上漲，使得本就受到疫情沖擊的全球食品供應鏈雪上加霜。在醫療衛生方面，勒索攻擊不但造成巨額經濟損失，同時也威脅到病人生命安全。2020年9月，德國杜塞爾多夫醫院30多臺內部服務器遭到勒索攻擊，一位前來尋求緊急治療的婦女被迫轉送至其他醫院后死亡。這是公開報道的第一起因勒索攻擊導致人死亡的事件。國內也出現過類似的勒索攻擊事件，如某建筑設計院遭遇勒索病攻擊，數千臺電腦文件被加密，工程圖紙無法訪問，損失慘重。

方舟分析師：比特幣價格將在2030年突破百萬美元大關:10月13日消息，Cathie Wood旗下方舟投資管理公司（Ark Investment）分析師Yassine Elmandjra堅持其公司的預測，即盡管今年數字貨幣被大規模拋售，但比特幣的價格將在2030年突破百萬美元大關。根據彭博社的數據，比特幣今年下跌了近60%，至19000美元左右。（彭博社）[2022/10/13 14:26:29]

勒索攻擊使用的加密手段越來越復雜多樣，絕大多數不能被解密。業內專家普遍認為遭受勒索攻擊之后，沒有“特效藥”。受害者往往需要在支付巨額贖金和數據恢復重建中做出選擇。即使一些勒索攻擊采用的加密算法是公開的，但是依靠現有的算力或者是通過暴力破解的方式也難以進行解密，因為暴力解密往往需要上百年的時間。

(二)?勒索攻擊SaaS化

隨著云計算、人工智能等新技術的快速普及和應用，勒索軟件即服務成為當前網絡攻擊的新模式。勒索軟件黑色產業層級分明，全鏈條協作，開發者只管更新病，拓展傳播渠道大肆釋放勒索病，各級分銷參與者點擊鼠標就能從中瓜分利潤。這種黑色產業分銷模式大大降低了勒索攻擊的傳播門檻，使網絡安全風險快速擴散。例如，依靠這種黑產模式，某勒索攻擊軟件僅用一年多時間就斂財20億美元。

勒索攻擊從制作、傳播、攻擊到收益呈現系統化、便捷化趨勢，開發者可以提供一整套解決方案，甚至包括利用加密貨幣進行贖金支付等服務。這些解決方案具有“開箱即用”的便捷性，犯罪分子獲得勒索病后，可以通過多種渠道進行傳播并獲利，攻擊模式更為便捷。此外，攻擊者往往并不需要任何編程技術就可以開展違法犯罪活動，理論上任何人只要支付少量費用就可以通過這類服務開展勒索攻擊，導致網絡攻擊的門檻大幅降低。

(三)?加密貨幣普及助推贖金額度快速增長

勒索病的制造者對贖金的要求越來越高。2017年在全球140多個國家和地區迅速蔓延的WannaCry勒索病贖金僅為300美元，4年后勒索病要求企業支付的贖金則大多在上百萬美元，Sodinokibi勒索病在2019年前后出現在中國時，索要金額僅7000元人民幣，到了2020年，該團伙的勒索金額已動輒千萬美元以上。例如2020年3月，計算機巨頭宏碁公司被要求支付5000萬美元贖金；2020年11月，富士康墨西哥工廠被要求支付超過3400萬美元贖金。

高額贖金不僅讓犯罪分子賺得盆滿缽滿，同時可以借此招攬更多人鋌而走險加入勒索攻擊行列。加密貨幣近年來成為社會關注的焦點，尤其是加密貨幣的匿名化導致監管部門很難對其進行管理。犯罪分子利用加密貨幣這一特點，有效隱匿其犯罪行徑，導致網絡攻擊門檻降低、變現迅速、追蹤困難，一定程度上成為網絡犯罪快速增長的“助推劑”。

Harmony：正與區塊鏈追蹤團隊及FBI合作，調查被盜事件:6月28日消息，Harmony官方在社交媒體上發文表示，注意到黑客已經開始通過Tornado Cash轉移資金。團隊目前正與兩個頂級區塊鏈追蹤和分析團隊合作，追蹤資金去向。同時還與FBI合作，調查被盜事件。

此前報道，6月26日，Harmony官方表示若攻擊者返還盜竊資金并共享漏洞信息，將為其提供100萬美元賞金。27日，黑客已開始將ETH轉入TornadoCash。[2022/6/28 1:35:57]

(四)?大型企業和基礎設施成為攻擊重點

傳統勒索病攻擊者使用廣撒網、誤打誤撞的手法，這種無差別攻擊很難預測受害者是誰，哪些受害者有價值。同時，普通用戶的數據價值相對不高，且繳納贖金的意愿并不強烈。近年來，勒索攻擊對象涉及面越來越廣，目前主要針對掌握大量數據的大型企業，且定向精準攻擊趨勢愈發明顯，勒索攻擊日趨APT化。所謂APT化，即攻擊不計成本、不擇手段，從低權限帳號入手，持續滲透攻擊，直到控制企業核心服務器，再釋放勒索病，使巨型企業徹底癱瘓。此外，勒索攻擊APT化還意味著攻擊者入侵后會首先竊取該企業的核心數據，即使企業使用備份恢復系統，核心機密泄露也會導致極其嚴重的損失。波音公司、臺積電、富士康、全球最大的助聽器制造商Demant、法國最大商業電視臺M6Group都曾成為被攻擊對象。BlackFog研究發現，2020年勒索攻擊主要針對政府部門、制造業、教育和醫療保健等行業。

同時，攻擊者開始針對特定企業有針對性地制定攻擊策略，哪些企業掌握大量有價值的數據，哪些企業就越容易遭到攻擊。針對目標企業，攻擊者手法更加多樣化、對高價值目標的攻擊進行“量身定做”，形成一整套攻擊“組合拳”。對于大型企業來講，網絡節點和上下游關聯企業與供應商都成為潛在的攻擊漏洞，產業鏈中安全薄弱環節均成為攻擊者實現突破的關鍵點。許多企業為了避免業務被中斷，往往選擇支付巨額贖金。

(五)?“雙重勒索”模式引發數據泄露風險

時至今日，勒索攻擊已經從單純的支付贖金即可恢復被加密的數據，逐漸演變成先竊取商業信息和內部機密，而后威脅企業不繳納贖金將公開數據，這種新模式也被稱為“雙重勒索”。這樣一來，不僅使得勒索攻擊殺傷性增強，被勒索企業繳納贖金的可能性變大，誘使勒索攻擊者發動更多攻擊，而且極易引發大規模的行業內部數據泄露事件，使得受害企業同時承受數據公開、聲譽受損、行政處罰等多重壓力。

布拉德：當前縮表是一個良好的開端:金色財經報道，美聯儲布拉德表示，當前縮表是一個良好的開端，我們在量化緊縮上面必須要走的距離并非看起來那樣遠。[2022/6/21 4:41:24]

據不完全統計，自2019年11月首次公開報道勒索病竊取數據的事件以來，不到一年時間里，有超過20個流行勒索病團伙加入到數據竊取的行列中。以Maze勒索攻擊為例，它不僅最先開始系統性地竊取數據，還以泄露數據相逼要挾用戶繳納贖金。越來越多的勒索事件表明，“雙重勒索”模式已成為現今網絡攻擊者實施攻擊的重要手段。

(六)?供應鏈成為勒索攻擊的重要切入點

供應鏈攻擊作為一種新型攻擊手段，憑借自身難發現、易傳播、低成本、高效率等特點成功躋身最具影響力的高級威脅之列。供應鏈攻擊一般利用產品軟件官網或軟件包存儲庫等進行傳播，網絡攻擊一旦成功攻陷上游開發環節的服務器，便會引發連鎖效應，波及處于供應鏈中下游的大量企業、政府機構、組織等。由于被攻擊的應用軟件仍然來自受信任的分發渠道，惡意程序將隨著軟件的下載安裝流程悄無聲息地入侵目標電腦，逃避傳統安全產品檢查的同時又可沿供應鏈發動向后滲透攻擊，大大增加安全檢測的難度。

近年來供應鏈攻擊備受關注。2017年6月一家不知名的烏克蘭軟件公司遭受勒索攻擊，勒索病通過軟件公司服務器傳播到數家全世界最大的企業之中，令其運營陷入癱瘓，造成全球范圍內約100億美元的損失。2021年7月，美國軟件開發商Kaseya遭勒索攻擊，網絡攻擊團伙索要高達7000萬美元的贖金，有評論稱此次事件可能成為2021年影響最大的供應鏈攻擊事件。

(七)?引發網絡保險行業的惡性循環

美國戰略與國際研究中心與殺軟件供應商邁克菲聯合發布的一份報告指出，估計每年全球網絡攻擊所帶來的損失將達9450億美元，再加上約1450億美元的網絡防護支出費用，總經濟成本將超過1萬億美元。高額的網絡攻擊成本催生了對網絡風險保險的龐大需求市場，根據預測，到2025年網絡風險保險費用將從2016年的32.5億美元上升到200億美元。倫敦再保險經紀商WillisRe透露，今年7月保單更新季，網絡安全相關保險費率將迎來40%的大幅增長。

然而網絡保險行業欣欣向榮的表象下，卻潛藏著巨大的惡性循環危機。由于最近幾個月來全球幾大公司接連遭到災難性的勒索攻擊，越來越多的企業向網絡保險和再保險公司尋求幫助，網絡攻擊者特意挑選投保了網絡保險的公司作為攻擊目標，更加有針對性地實施勒索攻擊，使得網絡犯罪的成功率大幅提升，整體網絡環境面臨加速惡化的窘境。為遏制這一情況的繼續惡化，已有多家公司開始縮減網絡保險覆蓋范圍，法國正在考慮強制所有網絡保險商停止報銷贖金支出，以切斷網絡犯罪這一有利可圖的途徑。

提高預防意識并

構建前置安全是關鍵

由于勒索攻擊高強度加密算法的難破解性和數字貨幣交易方式的隱蔽性，并不建議將防治重點放在遭受攻擊后的解密環節，而應該著重做好預防工作，不給勒索病以可乘之機。

從個人用戶來講，?增強員工安全意識與加強數據備份同等重要：一方面要增強安全意識。對于可疑的郵件尤其是附帶的網址不建議隨意點開，同時系統提示的安裝補丁或者軟件病庫要保持及時更新。另一方面，對于使用了非對稱加密算法加密的文件，目前尚未找到有效的破解方法，一旦計算機遭到此類新型勒索病的攻擊只能束手待斃，因而必須在平日里就做好重要數據的備份工作，且最好使用本地磁盤和云服務器雙備份的策略。

從企業用戶來講，解決勒索攻擊的核心是構建“安全能力前置”，提升自身的“免疫力”：

1.“安全能力前置”成為企業必選項。企業數字化程度越高，潛在的安全風險也就越大，甚至會有致命風險。被動防御性的安全思路難以應對多樣化、動態化的網絡攻擊。因此，一方面要利用AI、大數據、云計算等新技術實現安全能力在業務環節的前置，提前預判潛在安全風險，另一方面要對安全專家或人才能力量化，使過往積累的安全經驗與能力標準化、流程化，以實現安全能力的量化部署。

2.構建云上安全提升安全防御能力。產業互聯網時代安全威脅逐步擴大，企業在應對勒索攻擊時，數據備份和恢復的重要性進一步凸顯。云原生安全所具備的開箱即用、自適應等顯著優勢將成為保障云平臺和云上業務安全的重要基礎。一方面云原生安全將構建安全服務全生命周期防護，伴隨云上業務發展全過程。另一方面云上安全產品將向模塊化、敏捷化和彈性化演進，為用戶提供差異化服務，成為兼顧成本、效率和安全的“最優解”。

3.零信任有望成為勒索攻擊有效解決途徑。零信任假定所有身份、設備和行為都是不安全的，即使曾經有過被“信任”的經歷也要一視同仁，在接入時需要進行全程安全驗證和檢查。攻擊者使用竊取到的賬號信息登錄VPN或其他內部業務平臺時，由于零信任采用多因子用戶驗證，即使攻陷了企業的一臺服務器，也無法致使勒索攻擊擴散到其他服務器。零信任體系還能有效阻止黑客入侵后在內網擴散。攻擊者可能控制某些脆弱的單點，當其通過已攻擊的終端向網絡內部更重要系統滲透時，零信任的安全機制可以及時檢測到風險，從而幫助企業將風險控制在最小限度，不至于發生全網崩潰的嚴重后果。

4.打好保障供應鏈安全的“組合拳”。一方面，須加強代碼審計與安全檢查。機構組織可向供應商索要清單，列明其使用的所有代碼組件，以識別與開源組件漏洞有關的潛在風險。此外還可以考慮在實施代碼前，增加額外的自動化或手工檢查，并利用第三方工具對軟件及相關產品源代碼進行詳細的安全分析。另一方面，加快推動建立零信任架構等安全防護機制。供應鏈攻擊暴露出網絡安全架構最大的缺陷就是過于信任。而零信任架構意味著每個試圖訪問網絡資源的人都要進行驗證，其訪問控制不僅能應用于用戶，也適用于服務器設備與各類應用，以防止第三方供應商獲得不必要的特權，從而降低惡意軟件的滲透風險。

近期全球典型勒索攻擊匯總表

?數據來源：公開信息整理

作者

翟尤??騰訊研究院產業安全中心主任、高級研究員

參考文獻：

張曉玉,陳河.從SolarWinds事件看軟件供應鏈攻擊的特點及影響.網信軍民融合,2021(04):37-40.

.瑞星2020年中國網絡安全報告.信息安全研究,2021,7(02):102-109.

李江寧,覃汐赫.工業領域的勒索攻擊態勢與應對思路.自動化博覽,2021,38(01):86-90.

張寶移.計算機勒索病及防治策略分析.技術與市場,2020,27(10):109-110.

高紅靜.近年勒索軟件威脅分析及防范策略綜述.保密科學技術,2018(12):21-28.

李易尚.勒索軟件:過去、現在和未來.北京警察學院學報,2017(06):99-104.

李建平.供應鏈安全:防不勝防的軟肋.保密工作,2021,{4}(04):58-59.

嵇紹國.2020年勒索軟件攻擊情況及趨勢預測.保密科學技術,2020(12):33-43.

2021上半年勒索病趨勢報告及防護方案建議,南方都市報,2021-5-10

?門嘉平.勒索病防治策略淺析.網絡安全技術與應用,2020(06):23-24.

吳崇斌,成星愷.勒索軟件發展現狀及應對.通訊世界,2019,26(08):111-112.

.盤點2019年勒索病災難事件.電腦知識與技術(經驗技巧),2019(12):88-90.

Tags：加密貨幣比特幣CRYWAN加密貨幣市場行情走勢最新比特幣SVCrystal TokenWAND幣

BTC