厄瓜多尔电信公司遭攻击的警示勒索攻击频发该如何应对|专家访谈| 犯罪团伙_辅助|程序|v2.0|安全|恶意|国联

近日，厄瓜多尔最大的网络运营商CNT遭遇RansomEXX勒索软件攻击，业务运营、支付门户及客户支持全部陷入瘫痪。勒索团伙宣称已经拿到190 GB数据，并在隐藏的数据泄露页面上分享了部分文档截图，包括联系人列表、合同及支持日志等信息。此前，RansomEXX勒索团伙还曾攻击过巴西政府、美国得克萨斯州交通部、柯尼卡美能达、IPG和Tyler。

文章插图
近年来，勒索攻击在众多的网络安全威胁中异军突起，不仅在全球范围内持续高发，而且每次事件一出波及面都十分广泛，造成的经济损失或数据资产泄露后果也非常惨重，引发各界的广泛关注。
虽然媒体多方报道，业界警钟敲响，但勒索攻击似乎还是防不胜防。面对这个顽疾症结，安全419联系到腾讯安全玄武实验室负责人“TK教主”于旸、腾讯安全反病毒实验室负责人马劲松、以及翼盾智能和第五空间研究院创始人朱易翔Coolfrog三位经验颇丰的安全专家，与我们共同探讨当今的勒索攻击到底有多凶猛，哪些组织成为了犯罪团伙眼中的香饽饽，以及面对爆发式增长的勒索攻击我们究竟应该怎么应对。

文章插图
当今的勒索攻击已经不仅仅是感染病毒了
2017年，WannaCry勒索病毒席卷全球，让大众第一次深刻体会到勒索攻击的威力。当年的这个蠕虫病毒，由犯罪团伙利用NSA泄露的危险漏洞“EternalBlue”（永恒之蓝）进行传播。
传统的、狭义的勒索攻击的操作模式就是这样，犯罪团伙制作一个病毒软件，通过某个漏洞，病毒可以自动、无限地去感染所有存在该漏洞的系统。对于犯罪团伙来说，这样的模式依赖一个威力巨大的漏洞，但是高价值的0day并非随时能遇到，这让勒索攻击行为缺乏了主动性；同时，这种广撒网式的攻击不一定能够有效定位到高价值的受害者，毕竟经济利益才是犯罪团伙的终极追求，这让勒索攻击的效果过于随机而不可控。
近年来，勒索犯罪团伙的手段一直在不断进化，于旸指出，“如今的勒索攻击在持续向‘APT化’演进”。
他解释道，自动化的病毒感染只是勒索攻击的一部分，犯罪团伙会针对高价值的目标，利用一切渠道、弱点进行入侵。他们通过前期对选定目标相关信息的收集，持续渗透，找出薄弱攻击面，最终实现致命一击。攻击完成后加密数据，用勒索的方式索要经济利益，如果被害者拒绝支付赎金，选择恢复备份，他们将会威胁公开其核心数据资产来进行双重勒索。
在这种演进下，勒索攻击已经走向了产业化，具有更强的组织性、更专业的攻击手法、更多样化的传播途径。同时随着勒索即服务成为新模式，攻击者只需要购买勒索服务就可以发起攻击，门槛极低。未来或有更多新的网络犯罪团伙加入到勒索攻击活动当中，寻求快速获利。
勒索攻击团伙究竟喜欢勒索谁？RansomEXX攻击CNT并不是勒索犯罪团伙第一次盯上运营商。2020年7月，阿根廷电信公司遭到REVil勒索软件攻击，短短一个周末就造成约18000万台计算机被感染；同一时期，法国移动网络运营商子公司被Netfilim勒索软件入侵，敏感数据遭到窃取。
勒索攻击团伙在下手时有特殊的行业偏好吗？马劲松对此表示，勒索犯罪团伙在选择攻击对象时是有一定的针对性的，多集中于信息化程度较高的大中型企业，其共同的特点是业务对计算机系统的依赖程度比较高，被勒索后造成的经济或政治上的负面影响比较严重，这会促使被害者更有动力去支付赎金，让勒索攻击的经济诉求得逞。