勒索軟件已成為一種日益普遍的全球威脅，2021年上半年，在眾多網絡威脅中表現最為亮眼也最為瘋狂。據SonicWall報告稱，相比2020年上半年，2021上半年勒索軟件攻擊數量增長了151%。攻擊規模和頻率以驚人的速度增長，復雜性和創新水平不斷提高，成為政府、企業、個人最為關注的安全風險之一，也是網絡安全最重大威脅之一。因此，有必要從發生原因、發展特點、打擊措施和防御建議等方面進行分析研究。

　　一

　　2021年上半年大型勒索攻擊事件回顧

　　勒索軟件作為最具破壞性且傳播廣泛的一種惡意軟件，旨在加密目標設備上的文件，阻止目標訪問，并索要贖金以換取解密密鑰。此外，部分勒索軟件還會在攻擊過程中竊取目標信息，并威脅在暗網上發布或出售數據，對企業和個人造成嚴重的影響。2021年上半年，全球勒索攻擊事件激增，據不完全統計，2021年上半年至少發生了1200多起勒索軟件攻擊事件，攻擊目標向汽車、保險、能源、制造、水務、核武器、軟件供應、電信等關鍵基礎設施行業發展。本節選取部分大型事件予以介紹，以期為各行業敲響警鐘。

　　2月，起亞汽車美國公司遭DoppelPaymer勒索軟件攻擊，要求兩到三周內支付約2000萬美元的比特幣贖金（約合人民幣1.29億元），一旦延期支付，贖金將達到約3000萬美元（約合人民幣1.93億元），同時宣稱若起亞汽車不與之談判，將公布竊取的大量數據。

　　3月，美國最大的保險公司之一CAN Financial 遭Phoenix勒索軟件攻擊，因無法自行恢復數據，支付了4000萬美元（約合人民幣2.57億元）高額贖金。3月，臺灣計算機制造商宏基遭Revil勒索軟件攻擊，索要5000萬美元（約合人民幣3.25億元），如提前支付贖金，可提供20%的贖金折扣，提供解密工具，漏洞報告，并刪除竊取到的文件。

　　5月，美國最大成品油管道運營商科洛尼爾（Colonial Pipeline）公司遭到Darkside勒索軟件攻擊，該公司每天運送多達1億加侖的汽油、柴油、航空煤油與家用燃料油，占美國東岸燃油供應的45%，負責美國7個機場的燃油供應。攻擊導致美國東部沿海主要城市輸送油氣的管道系統被迫下線，成品油供應中斷，公司被迫支付約500萬美元（約合人民幣3200萬元），獲得勒索病毒軟件解密工具。5月，巴西肉類制造巨頭企業JBS遭受Revil勒索軟件攻擊，導致其位于美國和加拿大地區的部分工廠暫停作業，其中，澳大利亞所有JBS肉類工廠停產。最終，JBS美國部分同意支付1100萬美元（約合人民幣7030萬元）比特幣贖金，以防止黑客泄露公司數據。5月，美國最大的供水和污水處理公司之一WSSC Water，在發現事件后數小時內公司即刪除了惡意軟件并鎖定了威脅，但攻擊者仍然成功訪問到內部文件，就目前的情況看，攻擊事件似乎并未影響到當地供水，調查工作仍在進行當中。

　　6月，美國能源部核安全管理局（NNSA）的核武器分包商Sol Oriens遭受Revil勒索軟件攻擊，企業員工信息數據文件遭受竊取，但攻擊者未獲得核武器合作項目文件等機密內容的訪問權限。6月，北約“北極星”計劃云平臺供應商遭受勒索軟件攻擊，云平臺相關代碼、文檔等敏感信息可能遭受竊取，并威脅將數據發送到俄羅斯情報部門，以此勒索10億歐元（約合人民幣76億元）的贖金。

　　7月，美國軟件供應商卡西亞（Kaseya）遭受疑似Revil勒索軟件攻擊，Kaseya為40000多家組織提供服務，攻擊者入侵了卡西亞軟件補丁和漏洞管理系統VSA服務器設備，鎖定大量系統，并利用軟件更新機制傳播Revil勒索病毒，并威迫受害者支付約7000萬美元（約合人民幣4.5億元）的贖金，該攻擊導致包括瑞典最大雜貨零售品牌在內的全球數百家企業啟動緊急應急響應，以應對潛在的違規漏洞，其中瑞典雜貨零售連鎖店Coop被迫關閉了至少 800家門店。7月，西班牙電信運營商MasMovil Iberoom遭受Revil勒索軟件攻擊，且攻擊團伙在其專門的數據泄露網站中表示，已竊取大量敏感信息，并公開備份文件、經銷商名單等作為成功實施攻擊的證據。

　　二

　　2021年上半年全球典型勒索軟件組織概述

　　2021年上半年勒索軟件組織也發生了翻天覆地的變化，一些停止運營，一些解散后重組，一些暫時停止活動，主流團伙退位，新興團伙替換，勒索家族總體呈現為生生不息之態。正如美國國家網絡總監克里斯·英格利所言，應將勒索軟件視為長期持續的威脅。為此，本節篩選了典型的、較為活躍的勒索組織，簡要分析其攻擊目標及主要技術特征，以期提供警示。

　　（一）Revil（又名Sodinokibi）組織

　　Revil組織今年相當活躍，以大中型企業為攻擊目標，攻擊了多個國家的重要機構和實體，例如美國核武器承包商、巴西司法局、JBS肉類生產商等。據研究，該勒索軟件已影響了近20個行業，受害比例最大的是工程與制造（30％），其次是金融（14％）、專業與消費者服務（9％）、法律（7％）以及IT與電信（7％）。

　　該組織于2019年4月首次在意大利被發現，采用勒索軟件即服務 （RaaS） 運營模式，主要針對Windows、Linux平臺，屬于數據竊取類勒索病毒。傳播方式主要包括釣魚郵件、遠程桌面入侵、漏洞利用等，該軟件套用、利用現有惡意工具作為攻擊載體，同時傳播勒索病毒、挖礦木馬、竊密程序，并通過加密用戶文件、竊取用戶數據進行雙重勒索。2021年3月，該組織侵入宏碁，索要5000萬美元的贖金，創下最高勒索軟件贖金的記錄。在多次獲得高額贖金后，該組織變得愈發猖狂，6月11日，攻擊了美國核武器承包商Sol Oriens，聲稱竊取了機密文件，并打算在暗網拍賣竊取的數據。

　　該勒索軟件使用Salsa20對稱流算法通過橢圓曲線非對稱算法來加密文件和密鑰的內容。該惡意軟件樣本有一個加密的配置塊，其中包含許多字段，攻擊者可以對該負載進行微調。主要通過受損的RDP訪問、網絡釣魚和軟件漏洞進行分發。附屬機構負責獲得對公司網絡的初始訪問權限并部署locker—RaaS模型的標準實踐。成功攻擊后，會有特權提升，偵察和橫向移動，然后操作員對敏感文件進行評估、竊取和加密，下一步是與被攻擊的公司談判。如果受害者決定不支付贖金，那么REvil操作員將開始在。onion Happy Blog網站上發布受攻擊公司的敏感數據。應該注意的是，該團伙對新成員的招募有非常嚴格的規定，只招募會說俄語、有進入網絡經驗的高技能合作伙伴。

　　（二）DarkSide組織

　　DarkSide組織是美國燃油管道攻擊事件的始作俑者，現已宣布暫停運營。該組織于2020年8月成立，母語為俄語的網絡犯罪團伙，曾聲稱不會勒索醫療、教育、非盈利及政府機構。DarkSide主要針對Windows、Linux平臺，屬于數據竊取類勒索病毒，同時具有勒索軟件即服務 （RaaS）功能。DarkSide通過收集到的企業信息評估企業的財力，然后再決定勒索的贖金數額。據調查，該組織在成立不到一年的時間內，感染了99個組織，其中大約有47%的受害者支付了贖金，平均付款為190萬美元，總收入高達9000萬美元。

　　DarkSide的技術是使用MetaSploit和其他攻擊性安全工具框架來掃描攻擊目標網絡中的漏洞，其目的是建立初始訪問權限。經過監測發現，該組織會通過RDP會話從得到的管理員（域控）賬號，轉向使用擁有文件服務器權限的賬號進行登錄。當獲取到文件服務器上的權限后，該組織會將公司的數據通過Privatlab和mega網盤進行手動上傳，在一些活動中，DarkSide會將數據傳到他們的CDN服務器上。隨后該組織會加密目標公司的文件，并將部分信息上傳至其暗網博客，采用“解密和泄密”雙重勒索策略，聲稱若不交付贖金，將公布目標公司的敏感數據。

　　（三）Babuk組織

　　Babuk作為2021年新出現的勒索軟件組織，于2021年1月首次被披露，目標是竊取高級機密類文件。該團伙主要針對歐洲、美國和大洋洲的大型著名組織或企業，目標行業包括但不限于運輸服務、醫療保健部門以及各種工業設備供應商，曾攻擊如NBA休斯頓火箭隊、美國主要軍事承包商PDI集團以及日本制造商Yamabiko公司等。2021年4月，攻擊了美國華盛頓特區大都會警察局，威脅警方不交贖金就向當地黑幫泄露警方線人信息，并聲稱會繼續攻擊美國的FBI及CSA部門，性質極其惡劣。

　　該勒索軟件使用與橢圓曲線Diffie-Hellman（ECDH）結合的對稱算法。加密成功后，該惡意軟件會在每個處理過的目錄中添加“How To Restore Your Files.txt”。除了文本之外，贖金記錄還包含指向一些被竊取數據的屏幕截圖的鏈接列表。這證明惡意軟件樣本是在受害者的數據被泄露之后被制作的。在贖金記錄中，該團伙還建議受害者使用其個人聊天門戶網站進行談判。這些步驟并不僅限于Babuk，但通常出現在Big Game Hunting中很常見。

　　（四）Conti組織

　　Conti是近年來最為活躍和危險的勒索軟件團伙之一。該組織同樣采用勒索軟件即服務 （RaaS） 運營模式，其中核心團隊管理惡意軟件和Tor站點，而招募的聯盟機構則執行網絡漏洞和數據加密攻擊。核心團隊賺取贖金的20~30%，附屬公司賺取其余部分。

　　該軟件于2019年12月首次被發現，主要針對Windows、Linux平臺，屬于數據竊取類勒索病毒，并在2020年7月作為個人的勒索軟件即服務（RaaS）開始運營，感染攻擊目標刪除卷影副本，并禁用修復、刪除本地設備備份目錄，采用并發線程技術對感染設備的文件快速加密，屬于新興的雙重勒索軟件團伙，被認為是流行的Ryuk勒索軟件家族的變種。Conti勒索軟件團伙通過多種流行的惡意軟件傳播，包括Trickbot/Emotet和BazarLoader。2021年5月，Conti 勒索軟件團伙連續攻擊了美國國防承包商 BlueForce和愛爾蘭公共衛生服務執行局HSE，分別索要969,000美元和19,999,000美元的贖金。在過去的一年中，Conti勒索軟件團伙襲擊了美國至少16個醫療保健和緊急服務機構，影響了超過400個全球組織，其中290個受害組織位于美國。

　　（五）LockBit組織

　　LockBit組織及相關的惡意軟件最早出現于2019年9月。2021年6月，該組織發布了LockBit 2.0并招募合作伙伴，到目前已經影響過全世界范圍內數以千計的單位，涵蓋行業相當廣泛，包含會計、汽車、顧問、工程、財務、高科技、醫療、保險、執法單位、法律服務、制造業、非營利能源產業、零售業、物流業，以及公共事業領域等。

　　LockBit 2.0以擁有當今勒索軟件威脅環境中最快、最有效的加密方法之一而自豪。分析表明，雖然它在加密中使用了多線程方法，但也只對文件進行了部分加密，因為每個文件只加密了4 KB的數據。與其他勒索軟件即服務（RaaS）操作一樣，LockBit 2.0尋找附屬機構對目標執行入侵和滲漏。其背后的組織還通過提供StealBit來幫助附屬機構，這是一種可以自動泄露數據的工具。攻擊者還可以使用有效的遠程桌面協議（RDP）賬戶訪問受害者的系統。一旦進入系統，LockBit 2.0就會使用網絡掃描器來識別網絡結構并找到目標域控制器。它還使用多個批處理文件，可用于終止進程、服務和安全工具。還有用于在受感染機器上啟用RDP連接的批處理文件。LockBit 2.0的持久性、傳播速度和入侵方法，可能會對受害者造成重大損害，無論是經濟上還是聲譽上。

　　（六）Avaddon組織

　　Avaddon勒索軟件團伙2020年6月首現于俄羅斯黑客論壇，主要針對Windows平臺，并通過釣魚郵件等傳播，采用RSA2048和AES256加密算法對文本進行加密。所開發的勒索軟件除供自身使用之外，也通過提供勒索即服務（RaaS）謀求外部合作以獲取更大的利益。Avaddon勒索團伙利用Phorpiex僵尸網絡傳播，攻擊對象包括中國和非獨立國家聯合體，平均贖金要求約為 60 萬美元。2021年6月，Avaddon勒索軟件團伙宣布停止運營，隨后關閉所有業務，并為過去的受害者發布了2934 個解密密鑰。

　　三

　　勒索軟件攻擊迅猛及高發的主要原因

　　勒索軟件伴隨著網絡犯罪技術的發展而發展，快速迭代并迅速傳播，同時勒索軟件中蘊藏的巨大收益，致使網絡犯罪分子對其趨之若鶩，不斷探索新的利潤擴張途徑，直接致使勒索軟件攻擊在全球大規模泛濫并呈高發態勢，分析其原因，主要有如下幾點：

　　（一）牟取暴利的絕佳手段

　　勒索軟件攻擊對象往往針對企業機構、政府部門和個人具有重要作用的系統和數據，有些關鍵敏感數據甚至是企業的經濟命脈，一旦泄露或損毀，將造成無法挽回的損失。此外，受害者還擔心其敏感數據被暴露給全世界，面臨聲譽受損的風險。而勒索團伙在攻擊企業時所提出的贖金也從最初的幾萬美元，過渡到現在的數百萬，甚至數千萬的勒索贖金。例如，5月30日，全球最大的肉類生產商遭到Revil勒索組織攻擊，事后，該公司通過備份系統恢復正常運營，但仍選擇支付1100萬美元的贖金，以防止Revil泄露被盜數據。在獲取巨額贖金的背后，其實際上的攻擊成本卻不到5000美元。同時，DarkSide勒索團伙在過去六個月里賺了9000萬美元。低成本和高回報率對犯罪分子具有極大的誘惑力，吸引越來越多的數字贖金“游戲”的掠奪者蜂擁而至，同時暗網、虛擬貨幣等技術趨于成熟，更加助推勒索軟件攻擊大面積爆發。

　　（二）勒索能力不斷升級，破解難度越來越大

　　最早的勒索軟件攻擊并不復雜，以欺騙為主，然后發展到僅鎖住用戶設備索要贖金，到現在流行的以加密用戶數據為手段的更惡毒的勒索贖金的形式。而且最流行的加密勒索軟件早已拋棄可被破解的對稱加密算法，普遍采用非對稱的強加密算法，除非在實現上有漏洞或密鑰泄密，不然在沒有私鑰的情況下，除了付費獲得密鑰，別無其他解密方法。內部技術的不斷迭代，加之網絡技術的快速進步，促使勒索能力不斷升級。此外，勒索軟件新變種層出不窮，每個變種都添加一些新技術，從而擁有加強的新功能，越來越多的躲避檢測和查殺的高級技術的出現，致使破解難度越來越大。例如，2021年出現了“間歇性加密”技術，可有效逃避依賴于使用統計分析來檢測加密內容的檢測，還有“內存映射輸入/輸出”技術，采用相對不常見的過程來加密文件以逃避檢測。這些新技術的更迭讓勒索軟件“如虎添翼”，試圖以更隱蔽的形式發動更猛烈的攻勢，來獲取更大的利益。

　　（三）攻擊范圍和目標越發廣泛、多樣

　　勒索軟件攻擊日益肆虐，被攻擊行業幾乎涉及全領域，政府部門是勒索重點，緊隨其次的是教育和醫療衛生行業，關鍵制造、金融行業、效能系統、商業行業、食品和農業、水務和污水處理、國防工業基礎行業、交通通信等諸多關鍵基礎設施和重要領域無一幸免。從地理區域看，攻擊范圍擴展至全球，已發生多起全球范圍的大規模勒索軟件攻擊事件，如WannaCry、NotPetya 等事件，攻擊不再限于信息化程度較高、網絡設施發達的國家和地區，許多信息化水平不高的國家和地區也在所難免。

　　攻擊目標最大的變化是從個人用戶到企業設備。勒索軟件犯罪團伙已經不再以家庭用戶為目標，而主要針對大型企業服務器和關鍵業務系統，甚至整個企業網絡已成為新的攻擊目標。另一變化是隨著移動互聯網的普及，勒索軟件攻擊開始從電腦端蔓延至移動端，并且有愈演愈烈趨勢。無論是橫掃各大領域、涉獵全球各地，還是攻擊目標的不斷延展，對更高利潤的索取是其最大驅動力，也是勒索軟件入侵能力不斷提升的體現。

　　（四）傳播媒介趨于多元化

　　勒索軟件主要通過釣魚郵件、網絡共享文件和移動存儲介質等方式進行傳播。部分勒索軟件借鑒蠕蟲病毒的特點，自我復制能力越來越強，比如以被感染設備為跳板，然后利用漏洞在網絡中自動滲透，攻擊局域網內的其他電腦。還有的借助更多的漏洞、更隱蔽的方式進行傳播，并越來越多地利用社交媒體，如通過在推特、微博等網站上分享惡意內容誘惑受害者點擊惡意鏈接而傳播。現在勒索病毒更多利用遠程桌面入侵傳播、魚叉式攻擊等非常專業的黑客攻擊方式進行傳播，還有的針對各企業對于軟件供應鏈的管理弱點，通過行業供應鏈攻擊傳播，極大地提高了入侵成功率和病毒影響面。

　　（五）比特幣為勒索軟件猖狂充當了“保護傘”

　　比特幣等加密貨幣支付方式在勒索軟件全球大規模爆發中發揮了重要作用。基于比特幣的贖金支付在很大程度上消除了與傳統贖金支付相關的交易成本和風險，由于不同的國家和地區對其管控不足，或者有的國家就根本沒有任何管控措施，導致其難以追蹤。通過加密貨幣，被勒索者可以不通過銀行或其他受政府管控機構，直接將贖金電匯到指定賬號。目前還沒有其他機制能夠滿足一次轉移數百萬美元的要求，只有加密貨幣非常適合數千英里以上的大規模轉移，并且以高度抵抗執法、監管監視及攔截的方式。可以說，比特幣的出現為網絡勒索提供了低風險、易操作、便捷性強的贖金交易和變現方式，成為網絡犯罪活動的主要支付形式。此外，病毒制作者常將勒索服務器搭建在暗網，通過洋蔥網絡與受害者進行通信，進一步掩蓋了攻擊的來源，這些手段先進實用，又唾手可得。由此可見，<}0{>勒索軟件環境中的技術變化與強大的加密技術的發展、無限擴展的互聯網通信、管轄范圍內的網絡犯罪避風港（如俄羅斯）的存在以及加密貨幣支付的易用性等加速了勒索軟件的猖獗和泛濫。<0}< span=“”>

　　四

　　勒索軟件攻擊的發展新特點

　　（一）針對性定制勒索軟件成最大威脅

　　2021年無疑是針對性勒索軟件集團不斷發展并尋找新的策略對受害者施壓支付贖金的一年。早期勒索軟件傳播任意，攻擊目標較為分散，不限行業范圍，且主要分布于中小企業，因其缺乏大型企業和組織擁有的深度安全基礎架構，更容易被攻擊，但數據價值和支付贖金的能力有限，難以滿足勒索團伙不斷擴大收益的目的。2021年從廣撒網的攻擊方式向針對高價值的關鍵資產攻擊方式轉變，頂級和高技能的網絡犯罪集團不再不分青紅皂白地以大量小規模受害者為目標，而是針對特定的百萬或十億美元的公司定制勒索活動（稱為“大型狩獵”）。瞄準特定行業，如制造業、金融、醫療、能源等關鍵基礎設施的大型企業，此類目標的數據損壞可造成大面積社會影響，每次選取一個攻擊目標，并盡可能多地在受害者網絡上加密計算機信息，可能的話還會清除對方的備份數據。以此為基礎，提出相當夸張的贖金要求，如2021上半年，REvil 勒索團伙已經連續攻擊了多家世界知名企業，且每次勒索贖金額度都超過 5000 萬美元。即便針對性勒索軟件攻擊實施起來極為困難且相當耗時，但潛在回報極大，因此采取這類攻擊的團伙開始激增。

　　（二）物聯網成為勒索軟件攻擊的新突破口

　　越來越多的企業依靠物聯網（IoT）設備采集數據，為黑客提供了進入企業網絡的通道，而且制造商為每個物聯網設備創建的應用程序種類繁多，也為黑客以多種方式造成破壞提供了可能性。黑客使用惡意軟件感染IoT設備并將其轉變為僵尸網絡，黑客可以使用僵尸網絡來探查和探索啟動過程，以找到獲得網絡訪問的最佳方法。黑客也會搜索IoT設備固件中存在的未禁用、未刪除、未更新的有效憑證，然后，攻擊者將受感染的設備用作企業網絡的入口點。新冠疫情帶來的一夜之間激增的遠程辦公方式為網絡犯罪分子提供了更有吸引力的攻擊目標，開辟了新的攻擊面，感染勒索軟件的機會比以往任何時候都高，導致在新冠大流行期間仍保持運營的公司面臨的潛在威脅劇增，據統計，IoT惡意軟件攻擊直接增加了30%。事實上，遠程工作人員的增加以及連接到公司網絡的不安全設備的數量增加，再加之物聯網設備自身的安全風險，為勒索軟件運營提供了全新的領域。

　　（三）從雙重勒索向三重勒索策略轉變

　　勒索團伙一直在嘗試使用各種策略對受害公司施加壓力，以增加贖金數目及確保繳納率，為此，從最初的單一加密勒索演變為2020年的“雙重勒索”，即在加密前攻擊者會先竊取大量受害者敏感數據，威脅受害者如果不繳納贖金則公開數據，使受害者不僅要面臨數據泄露威脅，還有相關法規、財務和聲譽影響。2021年開始逐漸演化出“三重勒索”攻擊，則在雙重勒索的基礎上增加了 DDoS 攻擊威脅。目前，部分勒索軟件已整合了DDOS攻擊能力，不僅能加密受害者電腦文件，還能對外出售敏感數據，并利用被感染電腦發送惡意網絡流量，以此影響受害者系統的帶寬或運行速度，這三種攻擊若同時實施，將帶來非常嚴重且不可逆轉的后果。由此可推測，在未來的數年內為實現收益最大化，勒索攻擊形式還會層出不窮。

　　（四）從經濟公害升級到對國家安全構成威脅

　　美國網軍司令、國安局局長中曾根將軍表示，勒索軟件攻擊已經不再是單純的黑客犯罪活動，現如今開始對整個國家產生影響，已轉變為實際存在的國家安全問題。2021年勒索軟件攻擊更是瞄準國家關鍵基礎設施，其中政府部門是勒索的重點；緊隨其次是教育行業和醫療衛生行業；關鍵制造、通信、商業行業、金融行業、能源、食品和農業、水務和污水處理、國防工業基礎行業等都未能幸免。勒索軟件攻擊能力一旦與國家網絡武器結合起來，其攻擊能力和毀傷效果將得到大幅提升，將對網絡空間構成重大威脅。美國燃油管道商遭“黑暗面”勒索攻擊事件，是非國家行為體對網絡空間重大影響的縮影。Colonial Pipeline攻擊也是這種情況，該攻擊由俄羅斯犯罪分子實施，瞄準關鍵基礎設施，將會對國家安全產生影響。勒索軟件越來越多地陷入犯罪行為與國家安全行為重疊的關系中。在網絡犯罪和國家安全的交叉點，與政府關系不明的犯罪組織實施勒索軟件，目的是在政府不同級別的控制和指導下兼獲經濟利益和戰略動機。

　　五

　　美國政府針對勒索軟件威脅的最新打擊措施

　　拜登政府采取了集中、綜合的措施來應對勒索軟件威脅。然而，僅靠政府行動是不夠的。政府呼吁擁有和運營美國大部分關鍵基礎設施的私營部門對其網絡防御進行現代化改造，以應對勒索軟件的威脅。政府宣布了鼓勵彈性的具體措施，包括為關鍵基礎設施管理人員舉行的機密威脅簡報會以及工業控制系統網絡安全倡議等。此外，國際伙伴關系至關重要，跨國犯罪組織往往是勒索犯罪的實施者，利用全球基礎設施和洗錢網絡實施襲擊，政府已加緊領導打擊勒索軟件的國際努力。總體而言，美政府的反勒索工作分為四個方面：

　　（1）破壞勒索軟件基礎設施和參與者：政府正在充分發揮美國政府的能力，以破壞勒索軟件參與者、協助者、網絡和金融基礎設施；

　　（2）增強抵御勒索軟件攻擊的彈性：政府呼吁私營部門加大投資力度，重點關注網絡防御以應對威脅。政府還概述了關鍵基礎設施的預期網絡安全閾值，并對交通關鍵基礎設施提出了網絡安全要求；

　　（3）解決濫用虛擬貨幣進行贖金支付的問題：虛擬貨幣受到與法定貨幣相同的反洗錢和反恐怖主義融資（AML/CFT）控制，這些控制和法律必須強制執行。政府正在利用現有能力并獲取創新能力來追蹤和攔截勒索軟件收益；

　　（4）利用國際合作破壞勒索軟件生態系統并解決勒索軟件罪犯的安全港問題：美國正與國際合作伙伴合作，破壞勒索軟件網絡，提高合作伙伴在本國境內偵查和應對此類活動的能力，包括對允許罪犯在其管轄范圍內活動的國家施加后果并追究其責任。

　　針對上述四個方面，迄今為止，美國已經采取的行動包括：

　　（一）破壞勒索軟件基礎設施和參與者

　　（1）司法部成立了一個工作組，以加強執法和檢察機關打擊勒索軟件舉措的協調和統一。執法機構通過國家網絡調查聯合工作組 （NCIJTF） 并在跨部門的支持下，正在大力開展調查、資產追回和其他努力，以追究勒索軟件犯罪分子的責任。

　　（2）財政部首次對虛擬貨幣交易所實施制裁。財政部將繼續破壞并追究這些勒索軟件參與者及其洗錢網絡的責任，以降低網絡犯罪分子繼續進行這些攻擊的動機。

　　（3）財政部發布了最新的制裁公告，鼓勵并強調向美國政府當局報告勒索事件和付款的重要性。

　　（4）美國網絡司令部和國家安全局正在投入人力、技術和專業知識來生成針對勒索軟件攻擊者的洞察力和選項。

　　（5）國務院獎勵司法 （RFJ） 辦公室懸賞 1,000 萬美元，用于提供信息，以識別或定位在外國政府指導或控制下從事、協助或教唆，針對美國關鍵基礎設施的某些惡意網絡活動，包括勒索軟件活動。

　　（二）增強抵御勒索軟件攻擊的彈性

　　（1）拜登于4月啟動了一項工業控制系統網絡安全（ICS）計劃——這是聯邦政府和關鍵基礎設施社區之間的自愿合作。ICS 計劃已促使代表近 9000 萬居民客戶的 150 多家電力公司部署或承諾部署控制系統網絡安全技術，從而加強這些設施的安全性和彈性。ICS 計劃已擴展到天然氣管道，不久將擴展到水利部門。

　　（2）7月，美國國土安全部（DHS）和美國司法部（DOJ）建立了StopRansomware.gov網站，以幫助私人和公共組織訪問資源以降低其勒索軟件風險。

　　（3）5月和7月，國土安全部交通安全管理局（TSA）分別發布了兩項安全指令，要求關鍵管道所有者和運營商：向美國網絡安全和基礎設施安全局（CISA）報告確認的和潛在的網絡安全事件；指定網絡安全協調員每周7天、每天24小時待命；審查現行做法；識別網絡風險的漏洞及相關補救措施，并在30天內向TSA和CISA報告結果。第二份安全指令要求TSA指定的關鍵管道的所有者和運營商實施具體的緩解措施，以防止勒索軟件攻擊和其他已知的信息技術和運營技術系統的威脅，制定并實施網絡安全應急和恢復計劃，并進行網絡安全架構設計審查。

　　（4）負責網絡和新興技術的副國家安全顧問安妮·紐伯格（Anne Neuberger）于 6 月向首席執行官們發送了一封公開信，傳達了防御和準備勒索軟件事件的最佳實踐，包括備份數據、實施多因素身份驗證和測試事件響應計劃。

　　（5）8月，拜登總統會見了私營部門和教育部門領導人，討論了解決網絡安全威脅所需的全國性努力——領導人宣布了支持國家網絡安全的雄心勃勃的計劃。

　　（6）商務部下屬的國家標準與技術研究所（NIST）正在與業界合作，以改進當前和新興的標準、實踐和技術方法，以解決勒索軟件問題。他們的工作包括制定勒索軟件風險管理的網絡安全框架概要，該概要以NIST網絡安全框架為基礎，為組織提供預防、應對勒索軟件事件和從勒索事件中恢復的指南。

　　（7）財政部和國土安全部的CISA正在與網絡保險部門合作，探索激勵措施，以加強網絡衛生的實施并提高勒索軟件活動的可見性。

　　（三）打擊濫用虛擬貨幣洗錢

　　（1）美國仍然處于對虛擬貨幣業務和活動應用反洗錢/打擊資助恐怖主義 （AML/CFT） 要求的最前沿。美國虛擬貨幣交易所將繼續對監管要求負責，并且通過金融犯罪執法網絡 （FinCEN） 交換計劃等場所與虛擬貨幣和更廣泛的金融部門分享了虛擬貨幣濫用的指標和類型。

　　（2）財政部正在牽頭推動金融行動特別工作組執行與虛擬資產相關的金融透明度國際標準，并建立雙邊伙伴關系，旨在加強海外虛擬貨幣交易的反洗錢/反恐融資控制。國際反洗錢/反恐融資虛擬貨幣標準的不均衡實施會造成勒索軟件參與者利用的漏洞，并抑制美國政府破壞與勒索軟件相關的洗錢活動的能力。

　　（3）在聯邦調查局的領導下，美國政府正在建立非法虛擬資產通知（IVAN）信息共享伙伴關系和支持平臺，以改善勒索軟件和其他非法虛擬貨幣支付流的檢測和中斷時間。

　　（四）加強國際合作

　　（1）政府正與國際合作伙伴密切合作，以應對勒索軟件的共同威脅，并激發全球政治意愿來對抗勒索軟件活動——正如最近七國集團和北大西洋財政組織（北約）的聯合聲明以及金融行動特別工作組（FATF）所反映的那樣，等等。行政當局繼續倡導擴大加入和執行《布達佩斯公約》及其原則。

　　（2）各部門和機構繼續與各國合作，以提高其應對勒索軟件威脅的能力，包括通過促進網絡安全最佳實踐和打擊網絡犯罪的能力建設，例如網絡防御和彈性、網絡衛生、虛擬貨幣分析以及其他培訓和向外國執法伙伴提供技術援助，以打擊濫用信息技術的犯罪行為。

　　（3）美國仍致力于通過更直接的外交途徑消除勒索罪犯的安全港。拜登直接與普京接觸，并成立了白宮和克里姆林宮專家組，直接討論和解決勒索活動。

　　六

　　英國如何保護組織免受勒索軟件攻擊

　　為保護組織免受勒索軟件攻擊，英國國家網絡安全中心發布了《減輕惡意軟件和勒索軟件攻擊》指南，以幫助英國私營和公共部門組織應對勒索軟件威脅，降低影響并如何進行有效防范，具體舉措主要包括：

　　（一）定期備份

　　最新備份是從勒索軟件攻擊中恢復的最有效方法。主要包括：（1）定期備份最重要的文件，檢查是否知道如何從備份中恢復文件，并定期測試是否按預期工作。（2）使用不同的備份解決方案和存儲位置制作多個文件副本。（3）確保包含備份的設備（例如外部硬盤驅動器和 U 盤） 沒有永久連接到網絡。攻擊者將瞄準連接的備份設備和解決方案，使恢復更加困難。（4）確保云服務保護以前版本的備份不被立即刪除，并允許可恢復。（5）開始恢復之前，確保備份僅連接到已知的干凈設備。（6）在還原之前掃描惡意軟件的備份。勒索軟件可能已經在一段時間內滲透到網絡中，并在被發現之前復制到備份中。（7）定期修補用于備份的產品，因此攻擊者無法利用它們可能包含的任何已知漏洞。

　　（二）防止勒索軟件被傳送和傳播到設備

　　針對勒索軟件攻擊越來越多地通過遠程桌面協議 （RDP） 或未打補丁的遠程訪問設備等公開服務獲得遠程訪問權限的情況，應該：（1）在進入網絡的所有遠程接入點啟用MFA，并使用硬件防火墻強制 IP 允許列表；（2）使用建議的 VPN遠程訪問服務；（3）軟件即服務或其他暴露于 Internet 的服務應使用單點登錄 （SSO），其中可以定義訪問策略；（4）使用最低權限模型提供遠程訪問；（5）立即修補所有遠程訪問和面向外部的設備中的已知漏洞，并遵循供應商補救指南，包括在新補丁可用時立即安裝。此外，為防止勒索軟件橫向移動，恣意傳播，應該：（1）使用MFA對用戶進行身份驗證，以便在惡意軟件竊取憑據時無法輕易重用這些憑據；（2）確保過時的平臺（操作系統 （OS） 和應用程序）與網絡的其余部分正確隔離；（3）定期審查并刪除不再需要的用戶權限，以限制惡意軟件的傳播能力；（4）確保系統管理員避免使用其帳戶進行電子郵件和網頁瀏覽；（5）實踐良好的資產管理，包括跟蹤設備上安裝的軟件版本；（6）保持將設備和基礎設施打補丁，尤其是網絡邊界上的安全強制設備（例如防火墻和 VPN 產品）。

　　（三）防止勒索軟件在設備上運行

　　防止勒索軟件在設備運行應采取的措施主要有：（1）集中管理設備，只允許運行企業信任的應用程序；（2）考慮是否需要企業防病毒或反惡意軟件產品，并使軟件（及其定義文件）保持最新；（3）為員工提供安全教育和安全意識培訓；（4）禁用或限制腳本環境和宏；（5）禁用已安裝媒體的自動運行。此外，攻擊者可通過利用設備漏洞強制執行其代碼，可通過保持設備的良好配置和最新狀態來防止這種情況發生，通常可以：（1）盡快安裝安全更新，以修復產品中的可利用錯誤；（2）啟用操作系統、應用程序和固件的自動更新；（3）使用最新版本的操作系統和應用程序，以利用最新的安全功能；（4）配置基于主機的防火墻和網絡防火墻，默認禁止入站連接。

　　（四）為事件做好準備

　　勒索軟件攻擊可能是毀滅性的，將造成計算機系統不再可用，在某些情況下，數據可能永遠無法恢復。如可恢復，也需要數周乃至更長時間，如何確保企業和組織在遭受攻擊后能快速恢復，可采取的措施主要有：（1）確定關鍵資產并確定受到勒索軟件攻擊后的影響；（2）制定內部和外部溝通策略，確保正確的信息能及時送到到正確的利益相關者；（3）確定如何應對贖金要求以及組織數據被發布的威脅；（4）如無法訪問計算機系統，確保事件管理手冊和支持資源可用；（5）確定向監管機構報告事件方面的法律義務，并了解應如何處理；（6）執行事件管理計劃并確定系統恢復的優先級。例如，廣泛的勒索軟件攻擊是否意味著需要完全關閉網絡；（7）事件發生后，修改事件管理計劃以及吸取經驗教訓，以確保相同的事件不會再次以相同的方式發生。

　　七

　　結　語

　　2021年，勒索軟件攻擊進入最瘋狂的階段，在全球范圍內，估計每11秒就有一次勒索軟件攻擊企業，預計2021年勒索軟件損失將達到200億美元，而且波及的行業非常廣泛，向石油、天燃氣、能源、制造等關鍵基礎設施行業蔓延，針對的目標公司體量愈來愈大，勒索贖金已創歷史新高，成為給企業和組織造成損失最大的攻擊手段。面對愈加強大的勒索攻擊者，沒有一個國家是能孤軍奮戰的，對各國政府而言，可能有不同的方法，從如何保護網絡，到利用外交工具，甚至是打擊非法融資的最有效方法等，但是“沒有一個國家、沒有一個團體可以解決這個問題。” 美國國家安全顧問杰克沙利文說， “跨國犯罪分子通常是勒索軟件犯罪的肇事者，他們經常利用全球基礎設施和跨多個國家、多個司法管轄區的洗錢網絡進行攻擊。”因此，勒索軟件是一個需要集體行動的全球問題，各國的私營企業和執法部門要聯合起來，共同抵御目前攻擊技術水平愈加高強的定向針對性勒索軟件攻擊。