赛迪：全球数据勒索攻击威胁新特点及对策建议（2022）（13页）.pdf

1、 - 1 - 2022 年 3 月 28 日 第2022 年 3 月 28 日 第1414期 总第 716 期期 总第 716 期 全球数据勒索攻击威胁新特点及对策建议全球数据勒索攻击威胁新特点及对策建议 随着全球数字化进程的不断推进，数据价值越发凸显，网络攻防双方均围绕数据展开角力，其中，对数据强行加密的勒索手段成为最常用且有效的攻击方式。2021 年，数据勒索成为全球网络攻击的主角，给多国带来机密数据泄露、社会系统瘫痪等重大危害，严重威胁了国家安全。在此背景下，美国首次因网络攻击宣布进入国家紧急状态，并将数据勒索攻击（以下简称“勒索攻击”）提升至与“911”恐怖袭击同等的级别；英国、澳大利

2、亚、日 - 2 - 本、加拿大等国也纷纷将勒索攻击视为当前最大的网络威胁。毫无例外，我国政府、医疗等机构也频遭勒索攻击，成为头号重灾区。赛迪研究院网络安全研究所在分析全球数据勒索攻击新特点的基础上，研究了国外应对勒索攻击的最新举措，并提出了我国推进勒索攻击治理法治化、强化关键信息基础设施网络安全保护、加强组织或国际间合作等建议。 一、全球数据勒索攻击新特点 攻击目的：由单纯经济牟利转向实施数据破坏、窃取战略机密、谋取政治诉求等多重企图，勒索意图愈加复杂化。一、全球数据勒索攻击新特点 攻击目的：由单纯经济牟利转向实施数据破坏、窃取战略机密、谋取政治诉求等多重企图，勒索意图愈加复杂化。 一方面，具

3、有国家背景的黑客组织以“勒索”为幌子，以掩护其进行数据破坏、情报猎取等真实意图，秘密发动网络战。2021 年，伊朗国家级黑客组织 Agrius 对以色列实施勒索攻击， 表面留下了索求赎金的信息， 但背后早已窃取了目标系统的重要情报数据， 并通过“随机字符覆写文件”机制， 对相关数据进行了永久性销毁。 另一方面，对某一领域问题持有不同政治立场的黑客组织以“发动勒索攻击”为要挟，谋求自身政治诉求。2021 年，极为关注“地球和网络空间和平”问题的黑客组织对隶属北约机密云平台1发起勒索攻击， 1 隶属北约 IT 现代化战略中的四大核心项目之一。 - 3 - 并宣称此次攻击出于“政治目的”，意在通过勒

4、索手段阻碍通过云平台对北约 IT 基础设施进行整体合并战略的落地。2022 年，白俄罗斯网络游击队黑客组织对白俄罗斯国家铁路系统实施了勒索攻击，意在通过中断其正常运营，要挟白俄罗斯政府释放部分政治犯。该组织声称，只要自身诉求得到满足，就将主动释放数据加密密钥，使铁路系统恢复正常状态。 攻击对象：由无差别的个人设备转向政府及公共部门、大型企业等具有关键信息基础设施攻击对象：由无差别的个人设备转向政府及公共部门、大型企业等具有关键信息基础设施2属性的定向机构， 且勒索策略日趋精准化。属性的定向机构， 且勒索策略日趋精准化。与个人设备相比，关基机构数据资产价值较高，遭受勒索攻击的影响范围较广、后果较

5、重，加之其部分具有网络安全保险的保障，在遭遇重大勒索攻击下，“关基”机构的赎金支付意愿和能力均较强，也使其日渐成为勒索攻击的焦点。为了制定精准化勒索策略， 攻击者会在事前分析评估目标机构的 IT 安全建设现状、遭受勒索攻击后的损失程度和赎金支付能力等，精心选择可为其带来最大投资回报率的目标机构。此外，针对定向目标机构的 IT 系统， 攻击者会进行长期持续的潜伏渗透和技术分析， 探寻核心系统位臵、寻找系统漏洞、判别系统对加密数据的依赖程 2 以下简称“关基” - 4 - 度等。2021 年，多国关键信息基础设施频繁遭受勒索攻击，引发全球震荡，医疗、能源、制造、交通、金融、教育等行业无一幸免，美国

6、重要油气和水务系统、爱尔兰全国全民医疗系统、巴西国际核心金融系统、加拿大多伦多公共交通系统、南非和法国司法系统等，均成为精准化勒索攻击的受害者。 攻击主体：由个人或单个黑客团伙攻击转向层级分明、分工明确的黑色产业活动，勒索行为日益专业化。攻击主体：由个人或单个黑客团伙攻击转向层级分明、分工明确的黑色产业活动，勒索行为日益专业化。一方面，为实现价值多向变现，黑客团伙除自身发动勒索攻击外，还会借由暗网和虚拟货币技术，对外出租或售卖成熟的勒索软件产品和服务，这促使数据勒索“产业链”逐渐形成，上中下游的勒索软件开发者、勒索执行者，以及应运而生的赎金谈判3和赎金代管者4之间相互协作配合， 共同瓜分勒索收