卡巴斯基勒索病毒年度报告：社会工程和未修复的漏洞是两大突破口

来源：360智库

人们对安全措施必要性的整体认识正在增强，与此同时，网络犯罪分子也正在提高目标定位的准确性，以定位其防御系统存在安全漏洞的受害者。回顾过去三年，在所有受恶意软件攻击的用户中，受勒索软件攻击的用户所占的比例已从2.8％上升到3.5％。尽管这一比例还是很小，但不可忽视的是，勒索软件能够在其触及的系统和网络中造成更广泛而严重的影响。

受勒索软件攻击的用户在所有受到恶意软件攻击的用户中所占比例

尽管勒索软件的加密样本极其复杂，但其工作机制非常简单：它将受害者计算机上的文件转换为加密数据，受害者要想获得解密密钥就必须支付赎金。这些密钥是由威胁发起者(threat actors)创建的，用于解密文件并将其转换回原始数据。如果没有密钥，就不可能恢复对被感染设备的操作。威胁创建者也可以把恶意软件出售给其合作伙伴网络或其他发起者，通过这种出售的方式也可以与技术持有者共享勒索软件攻击带来的收益。

典型案例是美国港口城市巴尔的摩遭受的大规模勒索软件攻击，导致大量城市服务瘫痪，政府支付了数千万美元来恢复城市的IT网络。根据卡巴斯基数据，2019年全球至少有174个市政组织受到了勒索软件的攻击，比去年增加了大约60％。据不完全统计，赎金金额一般在5000至500万美元之间，平均金额约为103.2万美元，虽然数值较高，但实际个案差异很大。例如，从小城镇学区(school districts)勒索的资金有时要比从大城市市政府勒索的资金低20倍。

一方面，攻击者也会利用人为因素发起攻击。这种攻击手段往往被低估，因为目前对员工网络安全方面的培训远未达到应有的普遍水平。许多行业由于员工失误而损失了巨额资金，甚至在某些行业中，因人为因素而受到攻击的事件占所有攻击事件的一半，此类事件的攻击手段包括在网上流传并到达受害者手中的隐藏有危险恶意软件安装程序的网络钓鱼和垃圾邮件。有时，受害者可能正在管理公司的帐户和财务，毫不犹豫地打开诈骗邮件并在其计算机上下载所谓的PDF文件，从而导致其网络受到损害。

另一方面，卡巴斯基专家每季度都能检测到因未更新软件而受到攻击的例子。几乎在用户设备上，WannaCry在“最经常被阻止的勒索软件排行”中高居榜首。尽管微软已经为其操作系统发布了补丁程序，而且该补丁程序在攻击开始前几个月就已关闭了相关漏洞，但WannaCry仍然影响了全球数十万台设备。更令人吃惊的是它居然仍然存在并发展迅猛。2019年第三季度卡巴斯基收集的数据表明，在WannaCry大范围流行结束了两年半之后，在所有受勒索软件攻击的用户中仍有五分之一是受到了WannaCry的攻击。此外，2017年至2019年上半年的统计数据表明，WannaCry一直是最普遍的恶意软件样本之一，其攻击的用户数占该时期内所有勒索软件攻击数的27％。

1、教育组织

此类案件占案件总数的61％。2019年，共有105个学区受到攻击，530所学校成为攻击目标。虽然教育部门会受到沉重打击，却还是能表现出一定的弹性，因为尽管缺乏技术支持，一些大学不得不取消部分课程，但许多教育机构还是继续其教学工作。根据他们的观点，计算机只是最近才成为教育过程的一部分，教职员完全有能力在没有计算机的情况下授课。

2、市政厅和市政中心

此类案件约占案件总数的29％。威胁发起者通常将攻击目标对准流程的核心，因为如果这些流程停止，绝大多数公民和地方组织的重要流程将面临大问题。然而，由于工作流程（尤其是在没有先进基础设施的小镇或乡村中）不需要高计算能力，此类机构的基础设施仍然薄弱，安全解决方案仍不可靠。此外，因为网络设备可以满足工作的需求，所以当地人通常不会更新旧计算机。不更新旧计算机就无法进行安全更新、设计更改或技术开发，从而错失关闭由白帽或黑帽黑客和安全研究人员发现的漏洞的时机。

3、医院

此类案件占案件总数的7％。尽管一些黑帽黑客和网络犯罪集团声称拥有职业操守，但在大多数情况下，攻击者纯粹是出于经济利益的考虑，而去攻击不能接受长时间中断服务的重要部门，例如医疗中心。

4、市政公用事业服务或其分包商

此类案件占案件总数的2％。此类部门受到攻击可能是因为它们负责在多个地点和家庭计费方面进行通信，因此经常被视为整个设备和组织网络的入口。一旦服务提供商受到攻击，他们可能还会损害接受其服务的每个地点。此外，公用事业服务的中断可能会导致重要的常规运营中断，例如为城镇或城市的居民提供的支付月账单的在线支付服务，这无疑会增加受害者的压力，迫使他们支付赎金。