1、 - 1 - 2022 年 3 月 28 日 第2022 年 3 月 28 日 第1414期 总第 716 期期 总第 716 期 全球数据勒索攻击威胁新特点及对策建议全球数据勒索攻击威胁新特点及对策建议 随着全球数字化进程的不断推进，数据价值越发凸显，网络攻防双方均围绕数据展开角力，其中，对数据强行加密的勒索手段成为最常用且有效的攻击方式。2021 年，数据勒索成为全球网络攻击的主角，给多国带来机密数据泄露、社会系统瘫痪等重大危害，严重威胁了国家安全。在此背景下，美国首次因网络攻击宣布进入国家紧急状态，并将数据勒索攻击（以下简称“勒索攻击”）提升至与“911”恐怖袭击同等的级别；英国、澳大利

2、亚、日 - 2 - 本、加拿大等国也纷纷将勒索攻击视为当前最大的网络威胁。毫无例外，我国政府、医疗等机构也频遭勒索攻击，成为头号重灾区。赛迪研究院网络安全研究所在分析全球数据勒索攻击新特点的基础上，研究了国外应对勒索攻击的最新举措，并提出了我国推进勒索攻击治理法治化、强化关键信息基础设施网络安全保护、加强组织或国际间合作等建议。 一、全球数据勒索攻击新特点 攻击目的：由单纯经济牟利转向实施数据破坏、窃取战略机密、谋取政治诉求等多重企图，勒索意图愈加复杂化。一、全球数据勒索攻击新特点 攻击目的：由单纯经济牟利转向实施数据破坏、窃取战略机密、谋取政治诉求等多重企图，勒索意图愈加复杂化。 一方面，具

3、有国家背景的黑客组织以“勒索”为幌子，以掩护其进行数据破坏、情报猎取等真实意图，秘密发动网络战。2021 年，伊朗国家级黑客组织 Agrius 对以色列实施勒索攻击， 表面留下了索求赎金的信息， 但背后早已窃取了目标系统的重要情报数据， 并通过“随机字符覆写文件”机制， 对相关数据进行了永久性销毁。 另一方面，对某一领域问题持有不同政治立场的黑客组织以“发动勒索攻击”为要挟，谋求自身政治诉求。2021 年，极为关注“地球和网络空间和平”问题的黑客组织对隶属北约机密云平台1发起勒索攻击， 1 隶属北约 IT 现代化战略中的四大核心项目之一。 - 3 - 并宣称此次攻击出于“政治目的”，意在通过勒

4、索手段阻碍通过云平台对北约 IT 基础设施进行整体合并战略的落地。2022 年，白俄罗斯网络游击队黑客组织对白俄罗斯国家铁路系统实施了勒索攻击，意在通过中断其正常运营，要挟白俄罗斯政府释放部分政治犯。该组织声称，只要自身诉求得到满足，就将主动释放数据加密密钥，使铁路系统恢复正常状态。 攻击对象：由无差别的个人设备转向政府及公共部门、大型企业等具有关键信息基础设施攻击对象：由无差别的个人设备转向政府及公共部门、大型企业等具有关键信息基础设施2属性的定向机构， 且勒索策略日趋精准化。属性的定向机构， 且勒索策略日趋精准化。与个人设备相比，关基机构数据资产价值较高，遭受勒索攻击的影响范围较广、后果较

5、重，加之其部分具有网络安全保险的保障，在遭遇重大勒索攻击下，“关基”机构的赎金支付意愿和能力均较强，也使其日渐成为勒索攻击的焦点。为了制定精准化勒索策略， 攻击者会在事前分析评估目标机构的 IT 安全建设现状、遭受勒索攻击后的损失程度和赎金支付能力等，精心选择可为其带来最大投资回报率的目标机构。此外，针对定向目标机构的 IT 系统， 攻击者会进行长期持续的潜伏渗透和技术分析， 探寻核心系统位臵、寻找系统漏洞、判别系统对加密数据的依赖程 2 以下简称“关基” - 4 - 度等。2021 年，多国关键信息基础设施频繁遭受勒索攻击，引发全球震荡，医疗、能源、制造、交通、金融、教育等行业无一幸免，美国

6、重要油气和水务系统、爱尔兰全国全民医疗系统、巴西国际核心金融系统、加拿大多伦多公共交通系统、南非和法国司法系统等，均成为精准化勒索攻击的受害者。 攻击主体：由个人或单个黑客团伙攻击转向层级分明、分工明确的黑色产业活动，勒索行为日益专业化。攻击主体：由个人或单个黑客团伙攻击转向层级分明、分工明确的黑色产业活动，勒索行为日益专业化。一方面，为实现价值多向变现，黑客团伙除自身发动勒索攻击外，还会借由暗网和虚拟货币技术，对外出租或售卖成熟的勒索软件产品和服务，这促使数据勒索“产业链”逐渐形成，上中下游的勒索软件开发者、勒索执行者，以及应运而生的赎金谈判3和赎金代管者4之间相互协作配合， 共同瓜分勒索收

7、益， 大大降低了攻击实施的技术门槛。另一方面，不同黑客团伙之间开始着手构建具有精准配合关系的勒索商业联盟， 通过共享受害者信息等手段， 扩大勒索商业模式，并进一步增强勒索攻击能力和隐蔽性。比如 2021 年，擅长获取系统访问权限的 Conti 勒索团伙就曾向其他勒索黑客出售受害者 3 赎金谈判者：建立 24 小时/7 天独立服务，协助受害者付款，以加快赎金支付和加密数据的恢复。 4 赎金代管者：负责暂存勒索赎金，事后按照合约分成比例规定，将对应赎金分别打到不同参与者账户。 - 5 - 系统初始访问权限，从而使其能够更快开展后续攻击，这就促成了攻击源头分散、复杂广泛的勒索生态网络的形成，大幅提升

8、了勒索攻击流程的专业化程度，并增加了勒索攻击的溯源难度。 攻击模式：由单一加密勒索转向多重勒索获利，勒索手段趋于多样化。攻击模式：由单一加密勒索转向多重勒索获利，勒索手段趋于多样化。当受害方采取数据备份等防备措施，拒绝支付勒索赎金后，勒索攻击手段也在持续演化。目前，已出现数据窃取外泄、DDOS 攻击威胁、供应链攻击等多重混合勒索模式，以增加赎金数目并提高受害机构的赎金缴纳率。例如，在加密之前通过在目标环境中安装可窃取重要数据并具有 DDOS 攻击能力的后门程序， 以“拒绝支付赎金则外泄数据或发动DDOS攻击”为威胁筹码，逼迫受害方支付赎金5，更有甚者直接在暗网倒卖被窃数据，以获得更多潜在利益。

9、再如，攻击者以软件供应链为切入口发动勒索攻击，使受害层面扩大至供应链上下游，从而引发更大范围、更严重的勒索危机。 2021 年， 针对美国技术管理软件供应商 Kaseya的勒索攻击，就成功引发了供应链下游的系列连锁反应，导致全球17个国家数千家企业受损， 仅瑞典一家公司就因使用了Kaseya提供的软件系统，而被迫关闭数百家门店，成为史上最大规模的 5 受害方往往处于声誉受损和行政处罚压力，以及对服务瘫痪引发业务危机风险的担忧而缴纳赎金。 - 6 - 一次席卷全球的供应链事件。 二、国外应对数据勒索攻击威胁的最新举措 加快反勒索立法，强化应对勒索攻击的法治保障。二、国外应对数据勒索攻击威胁的最新

10、举措 加快反勒索立法，强化应对勒索攻击的法治保障。目前，各国纷纷从立法层面推进勒索攻击治理，并重点关注以下四个方面的制度建设：一是建立强制性勒索攻击事件报告机制。一是建立强制性勒索攻击事件报告机制。为加强执法部门对勒索攻击犯罪活动运作方式及勒索软件威胁的全面了解，帮助其制定更好的应对措施，2021 年，美国推出赎金披露法案、制裁和阻止勒索软件法案和勒索软件和金融稳定法案，澳大利亚提出2021 勒索软件付款法案，均强制要求支付勒索赎金的政府部门、企业等实体必须主动向指定执法部门提供勒索攻击及赎金等相关信息，包括实体名称和联系方式、攻击者身份、勒索金额、加密货币钱包类型，以及已泄露的数据字段等。其

11、中，赎金披露法案还提出，要求美国国土安全部建立专门网站，为各实体提供报告渠道。二是规范勒索赎金支付，防止缴纳大额勒索赎金引发的重复攻击二是规范勒索赎金支付，防止缴纳大额勒索赎金引发的重复攻击6。美国 2021 年在勒索软件和金融稳定法案中明确要求，勒索赎金超过 10 万美元的， 62021 年，以色列安全公司 Cybereason 针对全球受勒索企业的调查研究报告显示，选择支付勒索软件赎金的企业中，80%会再次遭遇勒索软件攻击，其中 46%的攻击来自相同的攻击者。 - 7 - 金融机构需获得财政部特别授权才可支付赎金。此外，澳大利亚也在2022 犯罪立法修正案（勒索软件行动计划）法案中展示出对

12、勒索攻击采取零容忍的立场，明确提出政府不允许向勒索攻击罪犯分子支付赎金。三是赋予执法人员三是赋予执法人员“数据中断数据中断”权利，以帮助勒索攻击受害者在不支付赎金的情况下防止潜在的数据泄露风险权利，以帮助勒索攻击受害者在不支付赎金的情况下防止潜在的数据泄露风险7。澳大利亚2021 年监视立法修正案（识别和破坏）法案赋予澳大利亚网络犯罪执法人员相关权利，即通过各种方式获取可能涉及犯罪活动的相关数据，并随后对其进行破坏的权利。借助该权利，澳执法人员可通过各种手段探寻勒索攻击者服务器的位臵， 并删除存储在这些服务器上用于“双重勒索”的数据，进而有效打击由勒索攻击造成的数据泄露。四是对勒索攻击者实施更

13、严厉的惩罚，增强勒索犯罪活动威慑力。四是对勒索攻击者实施更严厉的惩罚，增强勒索犯罪活动威慑力。澳大利亚2022 犯罪立法修正案（勒索软件行动计划）法案明确提出，将对勒索攻击者最高判处 10 年监禁，对其“关基”实施勒索攻击的犯罪分子最高判处 25 年监禁。 提升关键信息基础设施系统防护水平和恢复弹性，降低定向提升关键信息基础设施系统防护水平和恢复弹性，降低定向 7 澳大利亚信息专员办公室 （OAIC）发布报告显示，与 2020 年下半年相比，2021 年上半年，由勒索软件攻击引起的数据泄露事件增长了 24%。 - 8 - 勒索攻击威胁。勒索攻击威胁。精准定向化勒索攻击会引发“关基”长时间瘫痪，

14、严重影响大众的日常生活、安全以及社会的稳定运转，带来远超勒索金额的高昂经济损失。因此，构建安全且具弹性的基础设施成为各国普遍关注的重点：一是加强标准化应急响应机制及流程建设，促进勒索攻击响应实践良性发展。一是加强标准化应急响应机制及流程建设，促进勒索攻击响应实践良性发展。美国2020 数据完整性恢复指南、2021 网络安全事件与漏洞响应手册和2020太空/2021 铁路/2021 航空/行业网络安全指令，欧盟欧盟事件响应及网络危机合作战略、澳大利亚的2022 关键基础设施保护法案等，均从提升“关基”系统弹性诉求出发，提出构建勒索攻击事件快速反应机制。总体来看，可概括为事件准备、检测评估、事中遏

15、制、根除与系统恢复以及事后复盘五大环节8。二是积极推动零信任二是积极推动零信任9、人工智能等创新技术应用，强化勒索攻击防御能力。、人工智能等创新技术应用，强化勒索攻击防御能力。美国2021 关于加强国家网络安全的行政命令和2022国家安全备忘录均强制要求，美国联邦政府、国家安全机构要 8 （1）事件准备，如要求定期扫描修复漏洞，掐断勒索攻击入侵渠道；设定安全负责人，定期组织攻防演练；数据备份；内部人员反勒索攻击培训等。 （2）检测评估，如利用流量检测、开源情报等技术手段支持发现并消除潜在勒索威胁。（3）事中遏制，如将受影响的系统进行隔离；阻止未经授权的访问；引导攻击者至沙箱环境监控其活动，识别

16、攻击特征并收集攻击证据。 （4） 根除与系统恢复，如启动数据备份重建系统；安装补丁；重置密码。 （5）事后复盘，如扩大安全态势监测覆盖面，去除盲点；主动与执法部门共享信息。 9 零信任可通过网络隐身保护端口、微隔离避免横向扩散、结合使用访问控制、身份管理和网络流量等背景数据来验证用户请求的合法性，而不依赖于内网等安全边界。其动态应对网络环境变化的特性，使其具备良好的检测评估、态势感知和响应能力，及时弥补了传统边界防护模式在应对勒索攻击中的先天不足。将零信任能力整合到关键系统的安全架构和运营之中，可大大降低被数据勒索的可能性。据知名网络安全厂商 Gigamon 调研报告显示，超过三分之二的欧洲组

17、织已采用或计划采用零信任框架以应对强势的勒索攻击威胁。 - 9 - 迅速采用零信任新型网络架构、 云技术安全手段、 端点检测服务，持续部署多因素身份验证和强加密等基础安全工具，提升数据防锁定和防泄露能力；美国国防部推动防御勒索攻击的“AI 化”体系建设，利用 AI 技术实现诱捕、判断、识别、定位和查杀勒索病毒的全流程自动化。新加坡网络安全战略 2021要求关键信息基础设施所有者对关键系统采用零信任安全架构，加强基础设施从勒索攻击中快速恢复的弹性能力。三是提供安全培训和简便易用工具，提升反勒索安全意识三是提供安全培训和简便易用工具，提升反勒索安全意识10和防护技能。和防护技能。2021 年，美国

18、司法部和国土安全部联合推出首个一站式勒索软件资源新网站，提供来自整个联邦政府的网络安全资源，其通过课程培训、网络研讨会等方式，为全美 16 个“关基”部门提供勒索攻击安全防护指导；美国网络安全和基础设施安全局发布勒索攻击防护能力评估工具，帮助相关部门测试其网络抵御勒索攻击和弹性恢复的能力。欧洲刑警组织与全球 150 多个伙伴共同合作，在特定门户网站提供免费且及时更新的解密工具，目前已成功阻止全球超过400 万名受害者提供勒索赎金。 10 美国2021 数据完整性恢复指南提出，应通过安全培训，强化相关人员对于打开未知来源文件或链接的危险意识，有效防范勒索攻击威胁。美国2021 网络安全素养法案，

19、要求美国国家电信和信息管理局(NTIA)建立网络素养运动，帮助公众和组织提升网络安全防护意识和技能，其中就包括针对应对勒索攻击的指导培训，例如，如何识别恶意钓鱼邮件、经常更改密码的必要性、对敏感账户使用多因素认证等。 - 10 - 多措并举强化监管执法，严厉打击勒索攻击犯罪活动。多措并举强化监管执法，严厉打击勒索攻击犯罪活动。勒索攻击翻新花样多、迭代速度快，且由于勒索攻击黑色产业链的形成，勒索攻击源头愈加分散、攻击环节愈加复杂，加之勒索犯罪跨国性质凸显，必须采取多种措施加强监管整治：一是严厉封锁勒索赎金支付渠道，扰乱勒索攻击业务模式。一是严厉封锁勒索赎金支付渠道，扰乱勒索攻击业务模式。美国通过

20、开展金融交易监控和调查11、打击制裁支持勒索黑客的加密货币交易平台12等方式，来打击虚拟货币在勒索攻击中的使用。二是采用公私合作、奖金激励等方式，强化勒索攻击威胁情报共享。二是采用公私合作、奖金激励等方式，强化勒索攻击威胁情报共享。2021 年，按照恐怖袭击调查级别，美国特别成立反勒索软件和数字勒索工作专项组， 并集结网络安全和互联网企业、 非盈利组织等多方力量，通过公私部门合作的方式共享勒索攻击威胁情报信息，并联合调查可能支持勒索攻击的数字商店、出售勒索软件的在线论坛、勒索软件分销链等信息，再由执法部门对其进行捣毁破坏。同时，还对外国勒索团伙身份及位臵信息提供者发布悬赏令，对其给予高达 10

21、00 万美元的奖励。三是通过国际合作打击勒索攻击，破三是通过国际合作打击勒索攻击，破 11 美国财政部金融犯罪执法网络局通过分析 2011 年 1 月 1 日至 2021 年 6 月 30 日期间收集的 2184 份可疑活动报告中相关的交易数据，确定约 52 亿比特币交易与勒索攻击赎金支付相关，并立即对相关交易账户进行了清理和关闭。 12 2021 年，美国财政部与 FBI 联合对支持勒索黑客，帮助其将加密货币转换为现金，甚至促进加密货币与房地产、汽车和游艇等实体资产进行交换的俄罗斯加密货币交易所Suex进行制裁，除封锁Suex在美国的所有财产外，还采用制裁威胁阻止任何个人或组织与其进行商业往

22、来，成为美国第一个针对虚拟货币交易所的制裁。 - 11 - 坏勒索攻击犯罪生态。坏勒索攻击犯罪生态。2021 年，美国联合保加利亚破坏了NetWalker 勒索软件暗网设施，包括 tor 支付和数据泄露网站；欧美联合执法摧毁勒索攻击组织使用的 VPN 服务，破坏勒索分子的匿名“避风港”。 三、三点建议 探索反勒索立法，积极推进勒索攻击治理法治化建设。三、三点建议 探索反勒索立法，积极推进勒索攻击治理法治化建设。我国现行法律还没有针对勒索攻击的专门规定，可考虑借鉴美国、澳大利亚的做法， 制定出台反勒索专项法案， 明确“受害者应承担主动披露和报告勒索攻击事件及赎金信息的相关义务、禁止某些特定类别的

23、受害者向勒索攻击方支付赎金”等勒索攻击应对路线， 规范勒索攻击信息共享和赎金支付； 赋予执法人员反勒索攻击的“数据中断”执法权， 以及从勒索软件攻击者手中没收、 扣押勒索费的相关权利，强化反勒索执法权力；明确实施勒索软件行为的刑事责任，加大勒索攻击犯罪的惩治力度。 强化关键信息基础设施网络安全保护，增强勒索攻击防护能力和抵御弹性。一是推进标准化勒索攻击应急响应机制建设与落实。强化关键信息基础设施网络安全保护，增强勒索攻击防护能力和抵御弹性。一是推进标准化勒索攻击应急响应机制建设与落实。借鉴美国、英国、欧盟的相关做法，从“事前”防范、“事中” - 12 - 监测遏制恢复、“事后”回溯修补等层面出

24、发，研究制定关于勒索攻击标准化应急响应机制及流程的相关指南文件，在此基础上，推动“关基”机构严格落实应急响应机制建设，并定期组织“关基”机构开展攻防演练，保障重要“关基”系统在遭遇重大勒索攻击时具备良好的弹性恢复能力。二是加强反勒索攻击技术的研发与应用。二是加强反勒索攻击技术的研发与应用。 组织开展底层加密技术研究与攻关， 积极探索零信任、AI 等新型技术在勒索攻击防御中的应用。在此基础上，推动“关基” 机构加大在网络安全防护技术上的投入力度， 比如借鉴美国、新加坡的做法，要求“关基”机构将零信任技术整合至重要系统的安全架构和运营，利用零信任“层层认证”的特性，确保系统动态应对网络环境变化，及

25、时弥补传统边界防护模式在应对勒索攻击中的先天不足，降低数据被勒索的可能性；推动勒索攻击“AI化”防御体系建设，利用 AI 技术实现勒索特征识别检测、勒索病毒遏制根除、勒索赎金支付追踪等自动化防御流程。三是提供反勒索专业培训、工具等安全方案支持。三是提供反勒索专业培训、工具等安全方案支持。借助门户网站、线下宣讲等方式，对“关基”机构开展网络安全培训，使相关人员了解勒索攻击威胁以及应对勒索攻击的防护常识；官方提供勒索病毒检 - 13 - 测软件、勒索攻击防护能力评估软件等简便易用的防护工具。 加强组织或国际间合作，联合打击勒索攻击网络犯罪行为。加强组织或国际间合作，联合打击勒索攻击网络犯罪行为。一是加强执法机构与政府部门、私营企业、金融机构等主体之间的威胁情报共享，联合开展反勒索攻击专项执法行动，并积极推进勒索攻击黑色产业链的常态化治理。比如，与私营企业合作，开展对邮件、即时通信工具等常见的勒索病毒传播渠道的监测，及时发现勒索攻击入侵迹象；与金融机构合作，强化金融交易检测，对勒索赎金支付流程进行更加严密的追踪、抑制和阻断。二是加强国际合作，与国际同行开展联合行动，共同调查并破坏勒索攻击的全球勒索攻击犯罪网络，加强针对勒索攻击者的起诉、跨境执法数据协调和跨境抓捕等。 本文作者：赛迪工业和信息化研究院 王伟洁 联系方式： 电子邮件：wangweijie