近日，網(wǎng)絡(luò)安全供應(yīng)商Sophos針對全球3000名IT專業(yè)人士進(jìn)行的一項(xiàng)調(diào)查，結(jié)果顯示，在過去的12個(gè)月里，大約三分之二的組織遭受過勒索軟件攻擊。其中，教育行業(yè)受到的打擊最為嚴(yán)重，受害組織高達(dá)五分之四。

但專家警告稱，雖然一些組織成為勒索軟件目標(biāo)的風(fēng)險(xiǎn)可能比其他組織更高，但并沒有任何一個(gè)行業(yè)會(huì)承擔(dān)全部或大部分風(fēng)險(xiǎn)。到目前為止，在Sophos調(diào)查的所有行業(yè)中，勒索軟件攻擊至少襲擊了一半的組織。結(jié)論是：沒有行業(yè)是安全的。

也就是說，某些行業(yè)（如關(guān)鍵基礎(chǔ)設(shè)施和醫(yī)療保?。┑睦账鬈浖录钍荜P(guān)注；而涉及低調(diào)目標(biāo)（例如地方政府和小企業(yè)）的事件通常不太引人注意。這往往會(huì)導(dǎo)致誤解，認(rèn)為它們不是特別有吸引力的勒索軟件目標(biāo)。然而，不幸的是，情況遠(yuǎn)非如此。

高德納（Gartner）分析師表示，無論是500人還是5萬人的公司都有可能淪為攻擊目標(biāo)。因?yàn)楣粽哒嬲P(guān)注的似乎是他們可以預(yù)期的最大經(jīng)濟(jì)影響。這可能意味著對天然氣管道的一次大規(guī)模攻擊，或者在數(shù)十個(gè)較小的組織中進(jìn)行多次攻擊。

考慮到所有這些，以下是根據(jù)Sophos的調(diào)查和其他數(shù)據(jù)，按行業(yè)劃分的13個(gè)勒索軟件頂級目標(biāo)。

1. 教育行業(yè)

根據(jù)Sophos最新的《勒索軟件狀態(tài)報(bào)告》指出，截至2023年，教育行業(yè)的勒索軟件攻擊率最高。80%的小學(xué)、初中和高中（統(tǒng)稱低等教育）以及79%的高等教育機(jī)構(gòu)報(bào)告稱，在調(diào)查開始前的一年里，他們遭受過攻擊。此外，在所有行業(yè)中，低等教育機(jī)構(gòu)最有可能報(bào)告因勒索軟件事件而導(dǎo)致業(yè)務(wù)或收入損失。

在最近的一個(gè)例子中，勒索軟件團(tuán)伙Vice Society襲擊了加州最大的公立學(xué)校系統(tǒng)洛杉磯聯(lián)合學(xué)區(qū)（Los Angeles Unified School District）。當(dāng)該學(xué)校拒絕支付贖金要求后，勒索軟件運(yùn)營商在暗網(wǎng)上泄露了500GB的被盜數(shù)據(jù)。

高等教育的受害者包括佐治亞州薩凡納藝術(shù)與設(shè)計(jì)學(xué)院；密西西比州哈蒂斯堡的威廉·凱里大學(xué)（William Carey University）；以及北卡羅來納州格林斯博羅的北卡羅來納農(nóng)業(yè)和技術(shù)州立大學(xué)等。

2. 建筑及房地產(chǎn)

2023年初，71%的建筑和房地產(chǎn)企業(yè)報(bào)告稱，他們最近遭受了勒索軟件攻擊，這一比例在兩年內(nèi)增長了129%。這些組織也極有可能報(bào)告由于此類事件而造成業(yè)務(wù)和收入損失，僅次于教育組織。

上市房地產(chǎn)投資公司Marcus & Millichap在2021年底披露稱曾遭遇過一次網(wǎng)絡(luò)安全攻擊，TechTarget發(fā)現(xiàn)這可能是BlackMatter勒索軟件團(tuán)伙所為。

3. 中央政府機(jī)構(gòu)

全球70%的中央政府機(jī)構(gòu)報(bào)告稱，他們在調(diào)查開始前的12個(gè)月里遭受過勒索軟件攻擊。

在一個(gè)例子中，Conti團(tuán)伙對哥斯達(dá)黎加中央政府發(fā)動(dòng)了勒索軟件攻擊，促使該國總統(tǒng)宣布全國進(jìn)入“緊急狀態(tài)”。最終，在該政府拒絕支付贖金后，網(wǎng)絡(luò)罪犯泄露了幾乎所有盜取數(shù)據(jù)。

在另一起備受矚目的事件中，愛爾蘭的國家醫(yī)療服務(wù)成為勒索軟件攻擊的受害者，迫使政府關(guān)閉了所有醫(yī)院的IT系統(tǒng)，嚴(yán)重?cái)_亂了病人的護(hù)理。

4. 媒體、娛樂和休閑

2023年，媒體、娛樂和休閑行業(yè)的企業(yè)仍然是勒索軟件的主要攻擊目標(biāo)，攻擊率為70%。在這些事件中，有一半以上的根本原因涉及被利用的漏洞，Sophos分析師認(rèn)為，這表明了安全漏洞的普遍性。

據(jù)《出版商周刊》（Publishers Weekly）報(bào)道，當(dāng)麥克米倫出版商（Macmillan Publishers）遭遇涉及“某些文件加密”的網(wǎng)絡(luò)攻擊（幾乎可以肯定是勒索軟件事件）時(shí)，它不得不讓所有IT系統(tǒng)下線，中斷了圖書訂單。其他已證實(shí)的勒索軟件攻擊還曾襲擊考克斯媒體集團(tuán)和辛克萊廣播集團(tuán)，造成運(yùn)營中斷。

5. 地方政府

地方和州政府組織遭受的攻擊率與中央政府機(jī)構(gòu)相似，在2023年Sophos調(diào)查之前的幾個(gè)月里，有69%的地方和州政府組織遭受過攻擊。

例如，在2022年9月，一次大規(guī)模的勒索軟件攻擊迫使紐約州薩福克縣（Suffolk County）將其所有系統(tǒng)下線，嚴(yán)重影響了應(yīng)急服務(wù)，并迫使該縣員工在沒有互聯(lián)網(wǎng)的情況下工作。

最近，達(dá)拉斯市也于2023年5月遭受勒索軟件攻擊，導(dǎo)致多個(gè)服務(wù)中斷，包括911緊急響應(yīng)、市法院、動(dòng)物服務(wù)和警察局網(wǎng)站等。

值得注意的是，美國北卡羅來納州和佛羅里達(dá)州已經(jīng)禁止州政府機(jī)構(gòu)和地方政府支付贖金，其他州也在考慮這樣做。

6. 零售行業(yè)

在Sophos 2023的調(diào)查中，零售行業(yè)遭受的攻擊率與地方和州政府并列，69%的零售行業(yè)報(bào)告稱最近遭受了勒索軟件攻擊。雖然這個(gè)數(shù)字很高，但它確實(shí)比去年的攻擊率提高了8個(gè)百分點(diǎn)。

在零售公司遭受勒索軟件攻擊的一個(gè)例子中，《計(jì)算機(jī)周刊》在2021年了解到，英國零售商FatFace向Coti勒索軟件團(tuán)伙支付了200萬美元，以恢復(fù)公司數(shù)據(jù)。

幾個(gè)月后，軟件供應(yīng)商Kaseya遭受了前所未有的勒索軟件供應(yīng)鏈攻擊，最終感染了多達(dá)1500家企業(yè)。其中包括瑞典連鎖雜貨店Coop，由于惡意軟件迫使其許多收銀機(jī)無法工作，最終該公司不得不暫時(shí)關(guān)閉其800家零售店中的大部分作為回應(yīng)。

7. 能源和公用事業(yè)基礎(chǔ)設(shè)施

在Sophos 2023年的調(diào)查中，勒索軟件攻擊了67%的石油、天然氣和公用事業(yè)組織，比前一年略有下降。這些攻擊尤其會(huì)造成災(zāi)難性的破壞，使該行業(yè)成為網(wǎng)絡(luò)犯罪分子長期關(guān)注的重點(diǎn)目標(biāo)。

Gartner分析師表示，攻擊者非常善于了解關(guān)鍵基礎(chǔ)設(shè)施存在的地方，并知道如何攻擊這些基礎(chǔ)設(shè)施，以及如何利用這些基礎(chǔ)設(shè)施真正向受害者施加壓力。

迄今為止最臭名昭著的勒索軟件攻擊之一就發(fā)生在該領(lǐng)域。據(jù)報(bào)道，DarkSide團(tuán)伙通過一個(gè)傳統(tǒng)的VPN帳戶滲透到Colonial Pipeline Co.，關(guān)閉了運(yùn)營，擾亂了美國東海岸的燃料供應(yīng)數(shù)天。盡管勒索軟件運(yùn)營商成功地獲取了440萬美元，但美國司法部表示，他們后來使用私鑰追回了其中的一半。

如今“雙重勒索”甚至“三重勒索”盛行，勒索軟件組織經(jīng)常威脅稱，如果受害者不支付贖金，就會(huì)在暗網(wǎng)或公共互聯(lián)網(wǎng)上泄露或出售數(shù)據(jù)（雙重勒索）。惡意行為者甚至可能會(huì)采取各種方法來增加對受害者的壓力（三重勒索）。他們可能會(huì)向受害者的客戶或供應(yīng)商索要贖金，包括發(fā)出數(shù)據(jù)泄露威脅、發(fā)動(dòng)DDoS攻擊甚至撥打恐嚇電話。在一個(gè)特別值得注意的案例中，網(wǎng)絡(luò)罪犯通過劫持一家公司的打印機(jī)并打印炸彈勒索贖金票據(jù)，進(jìn)行了三重勒索勒索軟件攻擊，直到受害者付清贖金。

8. 配送及運(yùn)輸

長期以來，網(wǎng)絡(luò)犯罪分子一直將物流行業(yè)的組織視為有吸引力的勒索軟件目標(biāo)。例如，大約十年前，丹麥航運(yùn)巨頭馬士基（Maersk）就曾遭遇過至今仍臭名昭著的NotPetya攻擊，損失了高達(dá)3億美元的收入。

截至2023年，三分之二的配送和運(yùn)輸公司報(bào)告稱，他們最近遭遇過勒索軟件事件。在一次這樣的攻擊中，勒索軟件襲擊了德國燃料物流公司OilTanking，擾亂了大約200個(gè)加油站的運(yùn)輸。

9. 金融服務(wù)

Sophos的《2023年勒索軟件現(xiàn)狀報(bào)告》給金融服務(wù)領(lǐng)域帶來了好消息和壞消息：盡管該行業(yè)的攻擊率逐年上升，從55%上升到64%，但其攻擊率仍低于許多其他行業(yè)。

勒索軟件對金融服務(wù)部門的影響可能是廣泛和災(zāi)難性的。紐約金融服務(wù)部門警告稱，勒索軟件的大規(guī)模攻擊可能會(huì)導(dǎo)致“下一次重大金融危機(jī)”，使關(guān)鍵機(jī)構(gòu)陷入癱瘓，并導(dǎo)致消費(fèi)者信心喪失。

2021年3月，勒索軟件運(yùn)營商襲擊了美國最大的商業(yè)保險(xiǎn)公司之一CNA Financial。彭博社報(bào)道稱，CNA最終支付了4000萬美元的贖金要求，盡管該公司尚未證實(shí)這一數(shù)字。

10. 商務(wù)、專業(yè)和法律服務(wù)

Palo Alto Networks的威脅研究和咨詢小組Unit 42認(rèn)為，商業(yè)和法律服務(wù)是當(dāng)今受災(zāi)最嚴(yán)重的行業(yè)之一，僅次于制造業(yè)。研究人員的結(jié)論是基于他們在勒索軟件泄露網(wǎng)站上——犯罪分子在這些網(wǎng)站上發(fā)布受害者竊取的數(shù)據(jù)——發(fā)現(xiàn)的數(shù)據(jù)得出的。

Unit 42的研究人員推測，這些公司——包括會(huì)計(jì)、廣告、咨詢、工程、營銷和律師事務(wù)所——可能成為有吸引力的勒索軟件攻擊目標(biāo)，原因有以下兩個(gè)： 

· 他們經(jīng)常依賴過時(shí)和未打補(bǔ)丁的系統(tǒng)和軟件，這使得犯罪分子更容易進(jìn)入他們的網(wǎng)絡(luò)；

· 他們無法在沒有IT功能的情況下提供產(chǎn)品和服務(wù)，這促使他們迅速支付贖金，否則將面臨重大的業(yè)務(wù)后果。

在Sophos 2023的調(diào)查中，五分之三的商業(yè)和專業(yè)服務(wù)組織表示，他們在過去一年中遭受過勒索軟件攻擊。

在2021年的一起重大事件中，勒索軟件運(yùn)營商訪問并加密了大型律師事務(wù)所Campbell Conroy & O'Neil的文件，包括社會(huì)安全號碼和財(cái)務(wù)數(shù)據(jù)等敏感個(gè)人信息。這些備受矚目的出庭律師代表了許多財(cái)富500強(qiáng)公司，包括波音、克萊斯勒、聯(lián)邦快遞、家得寶、強(qiáng)生、利寶互助和萬豪國際。

11. 醫(yī)療保健

勒索軟件特別工作組（Ransomware Task Force）表示，醫(yī)療中心的高風(fēng)險(xiǎn)工作和普遍存在的安全漏洞，使它們成為網(wǎng)絡(luò)犯罪分子最喜歡攻擊的目標(biāo)。該工作組是一個(gè)由技術(shù)高管組成的組織，負(fù)責(zé)向白宮提出建議。然而，好消息是，Sophos調(diào)查數(shù)據(jù)顯示，最近遭受勒索軟件攻擊的醫(yī)療機(jī)構(gòu)比例從2022年的66%下降到2023年的60%。

不過，勒索軟件事件在這一領(lǐng)域的影響可能尤為災(zāi)難性。德國杜塞爾多夫的一家醫(yī)院遭遇襲擊，迫使醫(yī)護(hù)人員將一名病情嚴(yán)重的病人送往20英里外的另一家醫(yī)院。這名患者后來死亡，德國檢察官表示，這可能是第一起與勒索軟件相關(guān)的死亡事件。調(diào)查人員由此開啟了一個(gè)過失殺人案，但由于無法證明該漏洞直接導(dǎo)致了這名患者的死亡，他們放棄了這個(gè)案子。

盡管官員們還沒有成功地讓網(wǎng)絡(luò)犯罪分子對病人的負(fù)面結(jié)果負(fù)責(zé)，但研究強(qiáng)烈表明，勒索軟件攻擊已經(jīng)造成了不必要的死亡。

12. 制造與生產(chǎn)

Sophos的研究人員發(fā)現(xiàn)，在調(diào)查之前的12個(gè)月里，超過一半的制造商都遭遇過勒索軟件攻擊。例如，勒索軟件運(yùn)營商在2023年初襲擊了許多大公司，包括大型農(nóng)產(chǎn)品公司Dole。位于德克薩斯州的一位Dole的零售合作伙伴在Facebook上分享的一封電子郵件顯示，這次攻擊影響了該公司在北美的系統(tǒng)。

在這一領(lǐng)域的一個(gè)臭名昭著的攻擊案例中，REvil勒索軟件團(tuán)伙使美國最大的肉類供應(yīng)商之一牛肉制造商JBS USA的業(yè)務(wù)完全停止。盡管該公司表示，由于其備份服務(wù)器，它在四天內(nèi)恢復(fù)并運(yùn)行，但JBS USA后來證實(shí)向黑客支付了1100萬美元，以阻止數(shù)據(jù)泄露。

13. IT、科技和電信

Sophos的研究人員發(fā)現(xiàn)，在2022年1月至2023年3月期間，IT、技術(shù)和電信行業(yè)中有二分之一的組織遭遇過勒索軟件攻擊。他們將這種相對較低的攻擊率歸因于更好的網(wǎng)絡(luò)準(zhǔn)備和網(wǎng)絡(luò)防御。該行業(yè)的組織在勒索軟件攻擊中被成功加密數(shù)據(jù)的比例不到一半。而在其他行業(yè)，惡意行為者在超過三分之二的攻擊中成功加密了數(shù)據(jù)。

最近，IT、科技和電信領(lǐng)域的勒索軟件攻擊目標(biāo)包括臺(tái)灣的個(gè)人電腦制造商宏碁（Acer），該公司收到了REvil團(tuán)伙提出的5000萬美元的贖金要求，創(chuàng)下了有史以來最高的贖金要求之一。該公司是否支付了贖金尚不得而知。

安全建議

雖然研究表明，這13個(gè)行業(yè)的組織都是勒索軟件的主要目標(biāo)，但專家們強(qiáng)調(diào)，任何組織（無論規(guī)模大小或行業(yè)）都不能幸免。

如何識(shí)別攻擊？

由于惡意代碼通常隱藏在非法軟件中，例如PowerShell腳本、VBScript、Mimikatz和PsExec，因此勒索軟件攻擊非常難以檢測。組織必須結(jié)合使用自動(dòng)化安全工具和惡意軟件分析來發(fā)現(xiàn)可能導(dǎo)致勒索軟件攻擊的可疑活動(dòng)。

以下是三種類型的勒索軟件檢測技術(shù)： 

· 基于簽名的勒索軟件，比較從可疑活動(dòng)收集的樣本哈希值與已知簽名；

· 基于行為的勒索軟件，檢查與歷史數(shù)據(jù)相關(guān)的新行為；

· 使用一個(gè)誘餌（如蜜罐）進(jìn)行欺騙；

勒索軟件攻擊發(fā)生得很快，因此能夠快速檢測并做出反應(yīng)是很重要的。

如何防止勒索軟件攻擊？

組織可以通過采取強(qiáng)大的網(wǎng)絡(luò)安全態(tài)勢來增強(qiáng)勒索軟件防御能力，并限制其造成的損害。圣母大學(xué)（University of Notre Dame）IT高級主管概述了防止勒索軟件攻擊的以下步驟：

· 維護(hù)縱深防御安全計(jì)劃；

· 考慮先進(jìn)的保護(hù)技術(shù)，如零信任端點(diǎn)檢測和響應(yīng)；

· 讓員工了解社會(huì)工程的風(fēng)險(xiǎn)；

· 定期打補(bǔ)??；

· 經(jīng)常備份關(guān)鍵數(shù)據(jù)；

· 不要僅僅依賴于備份；

此外，企業(yè)可以實(shí)施業(yè)務(wù)流程，限制甚至消除通過電子郵件進(jìn)行的交易，以使鏈接和附件變得更加突兀，更好地引起安全專業(yè)人員的注意。

云提供了一種獨(dú)特的勒索軟件保護(hù)，因?yàn)榻M織可以將其用于備份和恢復(fù)策略。公司可以創(chuàng)建無法從核心企業(yè)環(huán)境訪問的孤立備份，而無需更改基礎(chǔ)設(shè)施或進(jìn)行大量的管理認(rèn)證/授權(quán)調(diào)整。

如何應(yīng)對勒索軟件攻擊并從中恢復(fù)？

一旦發(fā)生勒索軟件攻擊，組織必須遵循他們在攻擊發(fā)生前創(chuàng)建和測試的勒索軟件事件響應(yīng)計(jì)劃。

組織將試圖刪除勒索軟件，但這可能是非常具有挑戰(zhàn)性的。安全專家必須確保他們不允許惡意軟件進(jìn)一步滲透到系統(tǒng)中。以下步驟可以幫助組織清除勒索軟件：

1. 隔離受感染的設(shè)備。

2. 確定勒索軟件類型，以實(shí)現(xiàn)更有針對性的補(bǔ)救工作。

3. 刪除勒索軟件，這包括檢查它是否被刪除，使用反惡意軟件或反勒索軟件隔離它，向外部安全專業(yè)人員尋求幫助，如果需要，手動(dòng)刪除它。

4. 通過恢復(fù)攻擊發(fā)生前的舊版本操作系統(tǒng)來恢復(fù)系統(tǒng)。

勒索軟件檢測和刪除工具可以幫助自動(dòng)化或至少加快恢復(fù)時(shí)間。他們可以刪除設(shè)備上的所有惡意軟件，以確保它是干凈的。此外，這些工具還可以檢測威脅、阻止攻擊并清除惡意軟件殘留的痕跡。